2023年高校計(jì)算機(jī)網(wǎng)絡(luò)實(shí)驗(yàn)指導(dǎo)書(shū)一、前言計(jì)算機(jī)網(wǎng)絡(luò)作為計(jì)算機(jī)類專業(yè)的核心課程，實(shí)驗(yàn)環(huán)節(jié)是理論知識(shí)轉(zhuǎn)化為實(shí)踐能力的關(guān)鍵載體。本指導(dǎo)書(shū)面向高校計(jì)算機(jī)科學(xué)與技術(shù)、網(wǎng)絡(luò)工程等專業(yè)學(xué)生，結(jié)合2023年網(wǎng)絡(luò)技術(shù)發(fā)展趨勢(shì)（如IPv6規(guī)?；渴稹⒕W(wǎng)絡(luò)安全實(shí)戰(zhàn)需求等），設(shè)計(jì)了從基礎(chǔ)到綜合的實(shí)驗(yàn)體系，旨在幫助學(xué)生理解網(wǎng)絡(luò)協(xié)議工作機(jī)制、掌握網(wǎng)絡(luò)設(shè)備配置方法、具備網(wǎng)絡(luò)設(shè)計(jì)與排障能力，為后續(xù)網(wǎng)絡(luò)工程實(shí)踐或科研創(chuàng)新奠定基礎(chǔ)。二、實(shí)驗(yàn)環(huán)境搭建（一）硬件環(huán)境1.網(wǎng)絡(luò)設(shè)備：包含二層交換機(jī)（如Cisco2960系列）、三層交換機(jī)（如Cisco3750系列）、路由器（如Cisco2811系列）、無(wú)線AP（如CiscoWAP125）、PC終端（建議配置雙網(wǎng)卡，支持IPv4/IPv6雙棧）。2.連接方式：設(shè)備間通過(guò)雙絞線（UTP）連接，交換機(jī)與PC使用直通線，交換機(jī)與路由器（或交換機(jī)級(jí)聯(lián)）使用交叉線（或支持自動(dòng)翻轉(zhuǎn)的直通線）；無(wú)線終端通過(guò)WiFi接入AP。（二）軟件環(huán)境1.仿真工具：CiscoPacketTracer：支持網(wǎng)絡(luò)拓?fù)淇梢暬罱?、設(shè)備配置模擬，適合基礎(chǔ)實(shí)驗(yàn)（如VLAN、路由協(xié)議）。GNS3：支持真實(shí)IOS鏡像加載，可模擬復(fù)雜網(wǎng)絡(luò)場(chǎng)景（如多區(qū)域OSPF、BGP），適合進(jìn)階實(shí)驗(yàn)。EVE-NG：企業(yè)級(jí)網(wǎng)絡(luò)仿真平臺(tái)，支持多廠商設(shè)備模擬，適合綜合項(xiàng)目實(shí)訓(xùn)。2.協(xié)議分析工具：tcpdump：命令行抓包工具，適合Linux環(huán)境下的協(xié)議分析。3.服務(wù)配置工具：WindowsServer：搭建DHCP、DNS、ActiveDirectory等服務(wù)。Linux（Ubuntu/CentOS）：配置Web（Nginx/Apache）、FTP（vsftpd）、郵件（Postfix）等服務(wù)。三、基礎(chǔ)實(shí)驗(yàn)?zāi)K實(shí)驗(yàn)一：網(wǎng)絡(luò)設(shè)備基本配置與連通性測(cè)試（一）實(shí)驗(yàn)?zāi)康恼莆战粨Q機(jī)、路由器的初始化配置（如設(shè)備命名、端口IP、默認(rèn)網(wǎng)關(guān)），理解OSI模型下不同設(shè)備的工作層次，通過(guò)`ping`命令驗(yàn)證網(wǎng)絡(luò)連通性。（二）實(shí)驗(yàn)原理交換機(jī)工作在數(shù)據(jù)鏈路層，通過(guò)MAC地址表轉(zhuǎn)發(fā)數(shù)據(jù)；路由器工作在網(wǎng)絡(luò)層，基于IP地址路由數(shù)據(jù)包。`ping`命令利用ICMP協(xié)議測(cè)試網(wǎng)絡(luò)可達(dá)性，通過(guò)往返時(shí)間（RTT）判斷鏈路質(zhì)量。（三）實(shí)驗(yàn)步驟1.交換機(jī)配置：進(jìn)入特權(quán)模式：`Switch>enable`全局配置模式：`Switch#configureterminal`設(shè)備命名：`Switch(config)#hostnameSW1`端口配置（以FastEthernet0/1為例）：`SW1(config)#interfaceFastEthernet0/1``SW1(config-if)#switchportmodeaccess`（接入模式，用于連接PC）`SW1(config-if)#switchportaccessvlan10`（劃分VLAN，可選）`SW1(config-if)#noshutdown`（激活端口）2.路由器配置：特權(quán)模式：`Router>enable`全局配置：`Router#configureterminal`端口IP配置（以GigabitEthernet0/0為例）：`Router(config)#interfaceGigabitEthernet0/0``Router(config-if)#ipaddress``Router(config-if)#noshutdown`默認(rèn)網(wǎng)關(guān)配置（可選，用于PC訪問(wèn)外網(wǎng)）：`Router(config)#iproute`3.PC終端配置：手動(dòng)設(shè)置IP地址（如）、子網(wǎng)掩碼（）、默認(rèn)網(wǎng)關(guān)（）。執(zhí)行`ping`測(cè)試與路由器連通性，`ping`（若配置了默認(rèn)路由）測(cè)試跨網(wǎng)段連通性。（四）注意事項(xiàng)設(shè)備端口需執(zhí)行`noshutdown`激活，否則物理層鏈路為“down”狀態(tài)。路由器端口若未配置IP，無(wú)法參與網(wǎng)絡(luò)層通信。實(shí)驗(yàn)二：以太網(wǎng)VLAN劃分與Trunk配置（一）實(shí)驗(yàn)?zāi)康睦斫釼LAN（虛擬局域網(wǎng)）的隔離機(jī)制，掌握Access端口與Trunk端口的配置方法，驗(yàn)證不同VLAN間的通信限制。（二）實(shí)驗(yàn)原理VLAN通過(guò)劃分廣播域，減少網(wǎng)絡(luò)風(fēng)暴，增強(qiáng)安全性；Access端口僅允許一個(gè)VLAN的流量通過(guò)，Trunk端口可承載多個(gè)VLAN的標(biāo)簽流量（802.1Q協(xié)議）。（三）實(shí)驗(yàn)步驟1.多VLAN創(chuàng)建：交換機(jī)全局配置：`SW1(config)#vlan10``SW1(config-vlan)#nameSales`（VLAN命名，可選）`SW1(config-vlan)#exit``SW1(config)#vlan20``SW1(config-vlan)#nameR&D`2.Access端口分配：端口0/1-0/5分配給VLAN10：`SW1(config)#interfacerangeFastEthernet0/1-5``SW1(config-if-range)#switchportmodeaccess``SW1(config-if-range)#switchportaccessvlan10`端口0/6-0/10分配給VLAN20：`SW1(config)#interfacerangeFastEthernet0/6-10``SW1(config-if-range)#switchportmodeaccess``SW1(config-if-range)#switchportaccessvlan20`3.Trunk端口配置（交換機(jī)級(jí)聯(lián)）：端口0/24作為T(mén)runk端口：`SW1(config)#interfaceFastEthernet0/24``SW1(config-if)#switchportmodetrunk``SW1(config-if)#switchporttrunkallowedvlan10,20`（允許VLAN10、20的流量）4.連通性測(cè)試：VLAN10內(nèi)的PC（如）ping同VLAN的PC（），應(yīng)連通；pingVLAN20的PC（），應(yīng)不通（需三層設(shè)備路由）。實(shí)驗(yàn)三：TCP/IP協(xié)議棧分析（Wireshark抓包）（一）實(shí)驗(yàn)?zāi)康模ǘ?shí)驗(yàn)原理（三）實(shí)驗(yàn)步驟1.Wireshark捕獲設(shè)置：2.發(fā)起網(wǎng)絡(luò)請(qǐng)求：3.報(bào)文分析：TCP三次握手：找到源端口為隨機(jī)端口、目的端口為80的TCP報(bào)文，第一個(gè)報(bào)文（SYN）的標(biāo)志位為`SYN=1`，第二個(gè)報(bào)文（SYN+ACK）的`SYN=1、ACK=1`，第三個(gè)報(bào)文（ACK）的`ACK=1`。4.數(shù)據(jù)導(dǎo)出與分析：四、進(jìn)階實(shí)驗(yàn)?zāi)K實(shí)驗(yàn)四：動(dòng)態(tài)路由協(xié)議（OSPF）配置與優(yōu)化（一）實(shí)驗(yàn)?zāi)康恼莆誒SPF（開(kāi)放最短路徑優(yōu)先）協(xié)議的配置方法，理解區(qū)域（Area）劃分、DR/BDR選舉機(jī)制，通過(guò)`show`命令分析路由表與鄰居關(guān)系。（二）實(shí)驗(yàn)原理OSPF基于鏈路狀態(tài)算法，通過(guò)Hello報(bào)文建立鄰居關(guān)系，LSA（鏈路狀態(tài)通告）傳播網(wǎng)絡(luò)拓?fù)?，SPF算法計(jì)算最短路徑。（三）實(shí)驗(yàn)步驟1.路由器基礎(chǔ)配置：三臺(tái)路由器（R1、R2、R3）分別配置端口IP，確保物理連通。2.OSPF進(jìn)程配置：R1配置：`R1(config)#routerospf1``R1(config-router)#router-id`（指定Router-ID，可選，默認(rèn)取環(huán)回口IP）`R1(config-router)#network55area0`（宣告直連網(wǎng)段，區(qū)域0）`R1(config-router)#network55area0`3.鄰居關(guān)系驗(yàn)證：執(zhí)行`R1#showipospfneighbors`，查看鄰居狀態(tài)（`Full`表示鄰接完成）。4.區(qū)域劃分與DR選舉：新增R4，配置`routerospf1`，`network55area1`，觀察Area1內(nèi)的DR/BDR（優(yōu)先級(jí)高或Router-ID大的設(shè)備當(dāng)選）。5.路由優(yōu)化：調(diào)整接口優(yōu)先級(jí)（`interfaceGigabitEthernet0/0`→`ipospfpriority100`），強(qiáng)制指定DR；配置OSPF認(rèn)證（`area0authenticationmessage-digest`+`keychain`），增強(qiáng)安全性。實(shí)驗(yàn)五：網(wǎng)絡(luò)安全——ACL與防火墻配置（一）實(shí)驗(yàn)?zāi)康睦斫釧CL（訪問(wèn)控制列表）的過(guò)濾原理，掌握標(biāo)準(zhǔn)ACL與擴(kuò)展ACL的配置方法；通過(guò)防火墻（如CiscoASA）實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）與流量過(guò)濾。（二）實(shí)驗(yàn)原理標(biāo)準(zhǔn)ACL（基于源IP）：`access-list10permit55`；擴(kuò)展ACL（基于源/目的IP、端口）：`access-list100permittcp55hosteq80`；NAT將私有IP（如/24）轉(zhuǎn)換為公有IP（如），實(shí)現(xiàn)內(nèi)網(wǎng)訪問(wèn)外網(wǎng)。（三）實(shí)驗(yàn)步驟1.標(biāo)準(zhǔn)ACL配置（路由器）：拒絕VLAN10（/24）訪問(wèn)服務(wù)器（）：`R1(config)#access-list10deny55``R1(config)#access-list10permitany``R1(config)#interfaceGigabitEthernet0/0``R1(config-if)#ipaccess-group10in`（入方向應(yīng)用ACL）2.擴(kuò)展ACL配置（路由器）：`R1(config)#access-list100permittcp55hosteq80``R1(config)#access-list100denyip55host``R1(config)#access-list100permitipanyany``R1(config)#interfaceGigabitEthernet0/0``R1(config-if)#ipaccess-group100in`3.防火墻NAT配置（CiscoASA）：配置內(nèi)網(wǎng)接口（inside）與外網(wǎng)接口（outside）：`ASA(config)#interfaceGigabitEthernet0/0``ASA(config-if)#nameifinside``ASA(config-if)#security-level100``ASA(config-if)#ipaddress``ASA(config-if)#noshutdown``ASA(config)#interfaceGigabitEthernet0/1``ASA(config-if)#nameifoutside``ASA(config-if)#security-level0``ASA(config-if)#ipaddress48``ASA(config-if)#noshutdown`配置PAT（端口地址轉(zhuǎn)換）：`ASA(config)#nat(inside,outside)dynamicinterface`（將內(nèi)網(wǎng)IP轉(zhuǎn)換為外網(wǎng)接口IP）4.測(cè)試驗(yàn)證：嘗試訪問(wèn)被ACL拒絕的服務(wù)，驗(yàn)證過(guò)濾效果。五、綜合實(shí)驗(yàn)?zāi)K實(shí)驗(yàn)六：企業(yè)級(jí)網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)與實(shí)現(xiàn)（一）實(shí)驗(yàn)?zāi)康哪M企業(yè)網(wǎng)絡(luò)場(chǎng)景，完成VLAN劃分、三層交換、冗余路由、無(wú)線接入、安全防護(hù)的全流程設(shè)計(jì)與配置，提升網(wǎng)絡(luò)工程實(shí)戰(zhàn)能力。（二）實(shí)驗(yàn)拓?fù)浜诵膶樱喝龑咏粨Q機(jī)（SW-Core），實(shí)現(xiàn)VLAN間路由、鏈路聚合（Eth-Trunk）。匯聚層：兩臺(tái)交換機(jī)（SW-Agg1、SW-Agg2），配置VRRP（虛擬路由冗余協(xié)議）實(shí)現(xiàn)網(wǎng)關(guān)冗余。接入層：多臺(tái)接入交換機(jī)（SW-Access1~3），劃分VLAN（辦公、服務(wù)器、無(wú)線）。服務(wù)器區(qū)：部署Web、DNS、DHCP服務(wù)器，通過(guò)端口安全限制接入。無(wú)線區(qū)：無(wú)線AP（WAP1），配置WPA2-PSK加密，接入控制列表。（三）實(shí)驗(yàn)步驟1.核心層配置：SW-Core配置VLAN10（辦公）、20（服務(wù)器）、30（無(wú)線），開(kāi)啟三層功能：`SW-Core(config)#iprouting`配置Eth-Trunk（端口0/23-24）連接匯聚層：`SW-Core(config)#interfacerangeGigabitEthernet0/23-24``SW-Core(config-if-range)#channel-group1modeon``SW-Core(config-if-range)#switchporttrunkallowedvlan10,20,30`2.匯聚層VRRP配置：SW-Agg1配置VLAN10的虛擬網(wǎng)關(guān)：`SW-Agg1