高校計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)實(shí)驗(yàn)指導(dǎo)手冊計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)實(shí)驗(yàn)是理論知識落地實(shí)踐的關(guān)鍵環(huán)節(jié)，本手冊圍繞網(wǎng)絡(luò)設(shè)備配置、協(xié)議分析、組網(wǎng)實(shí)踐、網(wǎng)絡(luò)安全四大核心模塊設(shè)計(jì)實(shí)驗(yàn)，幫助你構(gòu)建從理論到實(shí)操的完整知識體系，提升網(wǎng)絡(luò)工程核心技能。實(shí)驗(yàn)一：網(wǎng)絡(luò)設(shè)備基礎(chǔ)配置（交換機(jī)/路由器）實(shí)驗(yàn)?zāi)繕?biāo)熟悉網(wǎng)絡(luò)設(shè)備的啟動(dòng)流程與命令行界面（CLI）操作，掌握設(shè)備基本配置（主機(jī)名、密碼、端口）與配置文件管理，理解不同設(shè)備模式（用戶、特權(quán)、全局）的功能差異。實(shí)驗(yàn)環(huán)境硬件：Cisco2960交換機(jī)、Cisco7200路由器、PC（帶串口）、Console線、直連線軟件：CiscoPacketTracer（或真實(shí)設(shè)備+SecureCRT/超級終端）實(shí)驗(yàn)步驟1.設(shè)備連接與初始化用Console線連接PC串口與設(shè)備Console口，打開終端工具（如SecureCRT），設(shè)置參數(shù)：波特率9600、數(shù)據(jù)位8、停止位1、無校驗(yàn)、無流控。開機(jī)觀察設(shè)備啟動(dòng)過程，等待出現(xiàn)`>`提示符（用戶模式），輸入`enable`（或`en`）進(jìn)入特權(quán)模式（`#`提示符）。2.基礎(chǔ)配置操作修改主機(jī)名：在特權(quán)模式下輸入`configureterminal`（或`conft`）進(jìn)入全局配置模式，執(zhí)行`hostnameSW1`（以交換機(jī)為例），設(shè)備提示符變?yōu)閌SW1(config)#`。設(shè)置特權(quán)密碼：在全局模式下，輸入`enablesecretcisco`（`secret`密碼會(huì)加密存儲(chǔ)，比`enablepassword`更安全）。配置控制臺密碼：進(jìn)入控制臺線路配置：`lineconsole0`，輸入`passwordcisco`、`login`（啟用登錄驗(yàn)證）。保存配置：返回特權(quán)模式（`end`或`Ctrl+Z`），執(zhí)行`copyrunning-configstartup-config`（或`wr`），將當(dāng)前配置保存到啟動(dòng)配置文件。3.驗(yàn)證與排錯(cuò)重啟設(shè)備（`reload`，需確認(rèn)保存），觀察啟動(dòng)后是否自動(dòng)加載配置，嘗試用新密碼進(jìn)入特權(quán)模式。若配置失效，檢查`startup-config`是否存在（`showstartup-config`），或重新執(zhí)行配置命令。思考與拓展對比`enablepassword`與`enablesecret`的存儲(chǔ)差異（用`showrunning-config`查看）。嘗試配置Telnet遠(yuǎn)程管理（`linevty04`、`passwordtelnet`、`login`），并用另一臺PC測試連接。實(shí)驗(yàn)二：TCP/IP協(xié)議分析（Wireshark實(shí)戰(zhàn)）實(shí)驗(yàn)?zāi)繕?biāo)理解TCP、UDP、ICMP等協(xié)議的報(bào)文結(jié)構(gòu)與交互邏輯，掌握Wireshark的捕獲、過濾與分析方法，能從協(xié)議層面解釋網(wǎng)絡(luò)連通性問題。實(shí)驗(yàn)環(huán)境操作系統(tǒng)：Windows10/11（或Linux）軟件：Wireshark（最新版）、瀏覽器（如Chrome）實(shí)驗(yàn)步驟1.網(wǎng)絡(luò)連通性測試2.Wireshark捕獲與過濾啟動(dòng)Wireshark，在“捕獲接口”中選擇當(dāng)前聯(lián)網(wǎng)的網(wǎng)卡（如以太網(wǎng)、WLAN），點(diǎn)擊“開始”。輸入過濾規(guī)則（如`icmp`、`tcp.port==80`、`udp.port==53`）縮小捕獲范圍，避免冗余數(shù)據(jù)。3.協(xié)議報(bào)文分析ICMP分析：找到ping的ICMP包，展開“InternetControlMessageProtocol”，觀察“類型”（8為請求，0為響應(yīng)）、“代碼”、“校驗(yàn)和”等字段。4.應(yīng)用層協(xié)議解析思考與拓展對比WiFi與有線網(wǎng)絡(luò)環(huán)境下的協(xié)議開銷（如802.11頭部與以太網(wǎng)頭部的差異）。實(shí)驗(yàn)三：局域網(wǎng)組建與VLAN配置實(shí)驗(yàn)?zāi)繕?biāo)掌握VLAN的劃分與端口配置（Access/Trunk），理解VLAN對廣播域的隔離作用，能通過三層設(shè)備（路由器/三層交換機(jī)）實(shí)現(xiàn)VLAN間通信。實(shí)驗(yàn)環(huán)境硬件：支持VLAN的交換機(jī)（如Cisco3560）、PC（2臺）、直連線、交叉線（或自動(dòng)協(xié)商線）軟件：CiscoPacketTracer（或真實(shí)設(shè)備）實(shí)驗(yàn)步驟1.拓?fù)浯罱▋膳_PC（PC1、PC2）分別連接交換機(jī)的`Gig0/1`、`Gig0/2`端口；交換機(jī)間用`Gig0/24`端口通過直連線互聯(lián)。2.VLAN創(chuàng)建與端口配置創(chuàng)建VLAN：在交換機(jī)特權(quán)模式下，執(zhí)行`vlan10`、`nameVLAN10`；`vlan20`、`nameVLAN20`（可通過`showvlanbrief`查看已創(chuàng)建的VLAN）。Access端口配置：進(jìn)入PC1的端口（`interfaceGig0/1`），執(zhí)行`switchportmodeaccess`、`switchportaccessvlan10`；PC2的端口（`interfaceGig0/2`）配置為`accessvlan20`。Trunk端口配置：進(jìn)入交換機(jī)間的互聯(lián)端口（`interfaceGig0/24`），執(zhí)行`switchportmodetrunk`、`switchporttrunkallowedvlanall`（允許所有VLAN通過Trunk鏈路）。3.連通性測試為PC1、PC2配置同網(wǎng)段IP（如PC1：`192.168.1.10/24`，PC2：`192.168.1.20/24`），執(zhí)行`ping`測試：同一VLAN（如PC1與另一臺VLAN10的PC）：應(yīng)能ping通。不同VLAN（PC1與PC2）：默認(rèn)無法ping通（廣播域隔離）。若需VLAN間通信，可在路由器上配置子接口（如`interfaceGig0/0.10`、`encapsulationdot1q10`、`ipaddress192.168.1.1255.255.255.0`），并在交換機(jī)Trunk端口允許VLAN10、20通過。思考與拓展嘗試配置VLAN間路由（單臂路由），實(shí)現(xiàn)PC1與PC2的跨VLAN通信。分析Trunk鏈路中“本征VLAN”（`switchporttrunknativevlan`）的作用，修改本征VLAN后觀察報(bào)文變化。實(shí)驗(yàn)四：網(wǎng)絡(luò)安全基礎(chǔ)實(shí)驗(yàn)（攻擊與防御）實(shí)驗(yàn)?zāi)繕?biāo)理解ARP欺騙、端口掃描等攻擊的原理，掌握防火墻（ACL）的配置方法，能通過Wireshark識別攻擊特征并制定防御策略。實(shí)驗(yàn)環(huán)境虛擬機(jī)：KaliLinux（攻擊端）、WindowsServer2019（目標(biāo)端）軟件：Wireshark、GNS3（或EVE-NG，模擬防火墻）實(shí)驗(yàn)步驟1.攻擊模擬（僅限實(shí)驗(yàn)環(huán)境）ARP欺騙：在Kali中執(zhí)行`arpspoof-ieth0-t192.168.1.100192.168.1.1`（將目標(biāo)主機(jī)的ARP緩存中網(wǎng)關(guān)的MAC地址替換為攻擊機(jī)的MAC），觀察目標(biāo)主機(jī)的網(wǎng)絡(luò)訪問是否異常（如網(wǎng)頁加載緩慢、斷網(wǎng)）。端口掃描：執(zhí)行`nmap-sS192.168.1.100`（SYN掃描），查看目標(biāo)主機(jī)開放的端口與服務(wù)。2.防火墻防御配置在GNS3中拖入CiscoASA防火墻，配置接口IP（如`interfaceGig0/0`，`ipaddress192.168.1.1255.255.255.0`，`noshutdown`）。配置ACL禁止ICMP（ping）：`access-list101denyicmpanyany`、`access-list101permitipanyany`；將ACL應(yīng)用到入站接口：`interfaceGig0/0`、`ipaccess-group101in`。3.攻擊檢測與分析用Wireshark捕獲攻擊機(jī)與目標(biāo)機(jī)的流量，分析ARP欺騙的特征（大量ARP響應(yīng)包，源MAC與真實(shí)網(wǎng)關(guān)不符）、SYN掃描的特征（大量SYN包，無后續(xù)ACK）。驗(yàn)證防火墻效果：攻擊機(jī)執(zhí)行`ping192.168.1.100`，應(yīng)被防火墻攔截；目標(biāo)機(jī)執(zhí)行`ping192.168.1.1`，應(yīng)正常響應(yīng)（ACL僅禁止入站ICMP）。思考與拓展嘗試配置基于端口的防火墻策略（如禁止TCP8080端口），分析DDoS攻擊的常見防御手段（如流量清洗、速率限制）。對比“白名單”與“黑名單”ACL的安全策略差異，設(shè)計(jì)一個(gè)企業(yè)內(nèi)網(wǎng)的安全訪問規(guī)則。實(shí)驗(yàn)注意事項(xiàng)與常見問題解決注意事項(xiàng)1.設(shè)備操作安全連接電源前檢查線纜是否插緊，避免短路；配置時(shí)及時(shí)保存（`copyrunstart`），防止意外斷電丟失配置。真實(shí)設(shè)備操作時(shí)，禁止隨意插拔光纖、模塊，避免損壞接口。2.軟件使用規(guī)范Wireshark需以管理員/root權(quán)限運(yùn)行，捕獲時(shí)避免在公共網(wǎng)絡(luò)（如校園網(wǎng)）中抓取他人流量，保護(hù)隱私。攻擊實(shí)驗(yàn)僅限隔離的實(shí)驗(yàn)環(huán)境（如虛擬機(jī)、模擬器），禁止在真實(shí)網(wǎng)絡(luò)中執(zhí)行，違反《網(wǎng)絡(luò)安全法》需承擔(dān)法律責(zé)任。3.實(shí)驗(yàn)室紀(jì)律保持實(shí)驗(yàn)環(huán)境整潔，設(shè)備使用后歸位；遇到硬件故障（如設(shè)備無法啟動(dòng)），及時(shí)聯(lián)系管理員，禁止私自拆機(jī)。常見問題解決1.ping不通的排查步驟檢查IP地址/子網(wǎng)掩碼：`ipconfig`（Windows）或`ifconfig`（Linux）確認(rèn)地址是否正確，是否在同一網(wǎng)段。檢查VLAN配置：`showvlanbrief`確認(rèn)端口所屬VLAN，`showinterfacesstatus`確認(rèn)端口是否Up。檢查防火墻/ACL：`showaccess-lists`查看是否有規(guī)則攔截流量，嘗試臨時(shí)關(guān)閉防火墻（`noipaccess-group`）測試。2.設(shè)備配置不生效檢查命令拼寫：如`interface`誤寫為`interfce`，`switchport`誤寫為`switch`。檢查端口狀態(tài)：`showinterfaces`查看端口是否被`shutdown`，執(zhí)行`noshutdown`啟用。檢查配置層級：全局配置（`configt`）、接口配置（`interface`）、線路配置（`line`）需在對應(yīng)模式下執(zhí)行命令。3.Wireshark抓不到包確認(rèn)網(wǎng)卡選擇正確：在“捕獲接口”中選擇正在聯(lián)網(wǎng)的網(wǎng)卡（如WLAN或以太網(wǎng)）。檢查過濾規(guī)則：避免使用過嚴(yán)的過濾（如`ip.addr==1.2.3.4`但目標(biāo)IP不符），可先關(guān)閉過濾（`clear`）捕獲所有流量。確認(rèn)有流量產(chǎn)生：執(zhí)行`ping`、瀏覽網(wǎng)頁等操作，觀察Wireshark的“數(shù)據(jù)包”計(jì)數(shù)是否增加。結(jié)語計(jì)算機(jī)網(wǎng)絡(luò)實(shí)驗(yàn)是理論知識“落地”的關(guān)鍵，本手冊的實(shí)驗(yàn)設(shè)計(jì)覆蓋了從基礎(chǔ)配置到安全防御