实验指导手册 信息安全实验 实验一:网络信息收集与漏洞扫描实验 实验目的 端口扫描:端口扫描攻击是一种探测技术,攻击者可将它用于寻找他们能够成功攻击的服务.连接在网络中的所有计算机都会运行许多使用 TCP 或UDP 端口的服务,而所提供的已定义端口达6000个以上.通常,端口扫描不会造成直接的损失.然而,端口扫描可让攻击者找到可用于发动各种攻击的端口.为了使攻击行为不被发现,攻击者通常使用缓慢扫描、跳跃扫描等技术来躲避检测. 通常进行端口扫描的工具是端口扫描软件,也通称之为"端口扫描器",端口扫描可以提供三个用途:(1)识别目标系统上正在运行的TCP协议和UDP协议服务; (2)识别目标系统的操作系统类型(Windows 9x, Windows NT,或UNIX,等);(3)识别某个应用程序或某个特定服务的版本号.本实验以广泛使用的端口扫描软件—SuperScan为例进行说明. 通过本实验,要求学员掌握以下技能: 1、 学习端口扫描基本原理,掌握信息收集的方法 2、 理解端口扫描技术在网络攻防中的作用 3、 熟练掌握网络扫描工具SuperScan的使用 实验工具简介 SuperScan是每个网络管理员必须具备的几种工具之一,作为安全审核工具包的一部分. SuperScan具有以下功能:(1)通过Ping来检验IP是否在线;(2)IP和域名相互转换;(3)检验目标计算机提供的服务类别;(4) 检验一定范围目标计算机的是否在线和端口情况;(5)工具自定义列表检验目标计算机是否在线和端口情况;(6)自定义要检验的端口,并可以保存为端口列表文件;(7)软件自带一个木马端口列表trojans.lst,通过这个列表我们可以检测目标计算机是否有木马;同时,我们也可以自己定义修改这个木马端口列表. SuperScan4.0是免费的,学员可以在如下地址下载: http://www.foundstone.com/index.htm?subnav=resources/navigation.htm&subcontent=/resources/proddesc/superscan.htm?(当然也可去其它软件网站下载汉化版,为方便学员学习,在讲解过程中使用汉化版) 实验原理 "端口扫描"通常指用同一信息对目标计算机的所有所需扫描的端口进行发送,然后根据返回端口状态来分析目标计算机的端口是否打开、是否可用."端口扫描"行为的一个重要特征是:在短时期内有很多来自相同的信源地址传向不同的目的地端口的包. 本实验介绍的SuperScan是一款具有TCP connect端口扫描、Ping和域名解析等功能的工具,它通过对指定范围内的IP地址进行ping和端口扫描,进而找到网络中可能的潜在危机,以备施以对策. 实验步骤 将SuperScan解压后,双击SuperScan4.exe,开始使用. 关于扫描(Scan) 打开主界面,默认为扫描(Scan)菜单,允许学员输入一个或多个主机名或IP范围.学员也可以选文件下的输入地址列表.输入主机名或IP范围后开始扫描,点,SuperScan开始扫描地址,如下图A.? 图1 SuperScan允许学员输入要扫描的IP范围 扫描进程结束后,SuperScan将提供一个主机列表,关于每台扫描过的主机被发现的开放端口信息.SuperScan还有选择以HTML格式显示信息的功能.如图B.? 图2 SuperScan显示扫描了哪些主机和在每台主机上哪些端口是开放的 2.关于主机和服务器扫描设置(Host?and?Service?Discovery) 到目前为止,从以上的例子,学员已经能够从一群主机中执行简单的扫描,然而,很多时候需要学员定制扫描.如图C上看到的"主机和服务器扫描设置"选项.这个选项让学员在扫描的时候看到的更多信息.? 图3 "主机和服务器扫描设置"决定具体哪些端口被扫描 在菜单顶部是"查找主机项"(Host?Discovery).默认的,发现主机的方法是通过"回显请求"(echo?requests).通过选择和取消各种可选的扫描方式选项,学员也能够通过利用"时间戳请求"(timestamp),"地址掩码请求"(address?mask?requests)和"信息请求"(information?requests)来发现主机.紧记,学员选择的选项越多,那么扫描用的时间就越长.如果学员正在试图尽量多的收集一个明确的主机的信息,建议学员首先执行一次常规的扫描以发现主机,然后再利用可选的请求选项来扫描.? 在菜单的底部,包括"UDP端口扫描"和"TCP端口扫描"项.通过屏幕的截图,注意到SuperScan最初开始扫描的仅仅是那几个最普通的常用端口.原因是有超过65000个的TCP和UDP端口.若对每个可能开放端口的IP地址,进行超过130000次的端口扫描,那将需要多长的时间.因此SuperScan最初开始扫描的仅仅是那几个最普通的常用端口,但给学员扫描额外端口的选项. 注意:红框中的扫描类型应选择"直接连接"(connect),SYN只是发送SYN包,为了扫描本地系统和扫描到TCP端口信息,应采用可以建立三次握手协议的connect方式. 3.关于扫描选项(Scan?Options) 扫描选项,如图D所示,允许进一步的控制扫描进程.菜单中的首选项是定制扫描过程中主机和通过审查的服务数.1是默认值,一般来说足够了,除非学员的连接不太可靠.? 图4 在"扫描选项"中,能够控制扫描速度和通过扫描的数量 "扫描选项"中的接下来的选项,能够设置主机名解析的数量.同样,数量1足够了,除非学员的连接不可靠. 另一个选项是"获取标志"(Banner?Grabbing)的设置,"获取标志"是根据显示一些信息尝试得到远程主机的回应.默认的延迟是8000毫秒,如果学员所连接的主机较慢,这个时间就显的不够长.? 旁边的滚动条是"扫描速度"调节选项,能够利用它来调节SuperScan在发送每个包所要等待的时间.最快的可能扫描,当然是调节滚动条为0.可是,扫描速度设置为0,有包溢出的潜在可能.如果学员担心由于SuperScan引起的过量包溢出,学员最好调慢SuperScan的速度.? 4.关于工具(Tools)选项 SuperScan的"工具选项"(Tools)是SuperScan很不错的部分.它允许学员很快的得到许多关于一个明确的主机信息.正确输入主机名或者IP地址和默认的连接服务器,然后点击学员要得到相关信息的按纽.如,学员能ping一台服务器,或traceroute,和发送一个HTTP请求.图E显示了得到的各种信息.? 图5 能够通过点选不同的按纽,收集各种主机信息 5.关于Windows枚举选项(Windows?Enumeration) 最后的功能选项是Windows枚举选项,就象学员大概猜测的一样,如果学员设法收集的信息是关于Linux/UNIX主机的,那这个选项是没什么用的.但若学员需要Windows主机的信息,它确实是很方便的.如图F所示,能够提供从单个主机到用户群组,再到协议策略的所有信息.这个选项给人的最深刻的印象是它产生大量的透明信息.? 图6 Windows枚举选项能够产生关于Windows主机的大量信息 实验注意事项 因为SuperScan有可能引起网络包溢出,所以Foundstone站点声明某些杀毒软件可能识别SuperScan是一款拒绝服务攻击(Dos)的代理.SuperScan4.0只能在Windows?XP或者Windows?2000上运行.需要管理员权限才能运行此软件.不能运行在Windows95/98/ME上.但对一些老版本的操作系统,可以下载SuperScan3.0版. 实验二:木马查杀工具的使用 实验目的和要求 木马,也称为后门,英文叫做"Trojan house",是一种基于远程控制的黑客工具,木马的特性一般有:①包含于正常程序中,当用户执行正常程序时,启动自身,在用户难以察觉的情况下,完成一些危害用户的操作,具有隐蔽性②具有自动运行性③具有自动恢复功能.④能自动打开特别的端口.⑤包含具有未公开且可能产生危险后果的功能和程序.木马一般有两个程序组成:一个是服务器程序,一个是控制器程序.当你的计算机运行了服务器程序后,恶意攻击者可以使用控制器程序进入你的计算机,通过指挥服务器程序达到控制你的计算机的目的.黑客可以利用它锁定你的鼠标、记录你的键盘按键、窃取你的口令屡屡拉、浏览及修改你的文件、修改注册表、远程关机、重新启动等等功能.所以,查杀木马是网络安全的一项重要内容. 通过本实验,要求学员掌握以下技能: 学会使用反黑精英(Anti Trojan Elite)通过网络查看TCP和UDP的连接状态. 学会通过对计算机系统的网络状态进行监控来查找列表中的木马,对木马进行有效的查杀. 学会使用Trojan Ender IE的修复、进程管理和系统优化等功能. 实验工具和原理 反黑精英(Anti Trojan Elite) 是一个可以工作于Windows 98/ME/2000/XP操作环境下的网络安全工具,程序可以快速的清除系统中恶意或者黑客程序、后门,包含各种木马程序、间谍程序和键盘记录程序等. 反黑精英(Anti Trojan Elite) 通过对内存的扫描,杀死不占进程的木马;通过经常升级更新木马数据库,可实现对硬盘、内存等各种存储设备中的木马进行有效的查杀;通过对计算机网络状态进行监控可以详细的列出协议类型、本地IP、本地端口、进程ID等信息,发现木马程序进行查杀. 实验步骤 1、强大的木马查杀功能 在网上很多网站都可以下载Trojan Ender软件,该软件的安装也很容易.安装Trojan Ender后,首先要对语言进行设置.因为该软件默认的是英文,此外它还支持繁体中文和简体中文.运行Trojan Ender主程序,在主程序窗口种选择菜单项"工具"|"预演"|Simple Chinese(简体中文版),这样程序操作界面就变成中文了. 木马查杀功能是该软件的最基本的功能,它可以对硬盘、内存等各种存储设备中的木马进行有效的查杀.该软件的查杀操作界面非常简洁(如图所示),只要钩选其中相应的查杀选项,如进程内存、硬盘盘符等,然后单击"扫描"按钮,就可以对内存和硬盘中的木马进行查杀.但一定要注意经常升级木马数据库,这样才能查杀最新的木马.Trojan Ender支持在线升级,选择菜单项"工具"|"在线升级",就可以自动完成程序和木马数据库的更新.另外,查杀木马要以预防为主,Trojan Ender木马监控器一定要随时打开. 图7 Trojan Ender操作界面 2、网络状态监控功能 Trojan Ender还提供网络状态监控功能.网络是木马传播感染的媒介,没有网络媒介木马就难以生存,因此对计算机系统的网络状态进行监控是非常有效的木马防范手段. 选择"工具"|"网络连接",在弹出的Network State窗口中(如图所示)会看到系统中所有进程的网络状态都在其中,而且它是在网络层对系统进程进行监控.监控信息非常详细,不管木马使用的是TCP协议还是UDP协议,木马端口号是某一固定端口号还是若干个可变的端口号,只要木马在系统中运行,Trojan Ender都可以进行监控,并能详细的列出协议类型、本地IP、本地端口、进程ID等信息.一旦发现列表中有木马存在,应该立刻选中该木马选项,然后单击"断开选中连接"按钮和"终止选中连接所对应的进程"按钮,最后在使用Trojan ender对系统中的木马进行查杀. 图8 网络连接监视窗口 3、IE修复功能 很多木马利用Web技术潜在网页中进行传播,在用户使用IE浏览器浏览含有恶意木马代码的网页同时,木马已经悄悄的潜入到用户的系统中,并修改用户的IE浏览器注册表的相关选项.手工恢复IE浏览器非常麻烦,使用Trojan Ender就很容易做到. 选择"工具"|"IE修复",弹出如图所示的IERepair窗口.在"IE修复选项"栏中,钩选想要修复的IE参数选想,然后单击"恢复"按钮即可. 另外,IERepair还可以删除IE右键菜单项,在"IE右键菜单"列表框中选中想删除的右键选项,然后单击"删除"按钮即可. 图9 IE修复窗口 4、进程管理 如今,木马的隐藏技术越来越高,很多木马采用DLL技术把木马功能压缩在DLL文件中,它自身不能直接运行,需要系统进程进行调用,及时发现了木马的存在也很难终止其运行. 在主界面,单击"工具"|"进程管理",再如图所示的Process窗口的进程列表框中,选中调用DLL木马的进程,然后在下面的模块名列表框中,找到DLL木马模块,然后单击"卸载选中DLL模块"按钮,这样就中止了DLL木马文件的调用,在使用木马查杀功能查杀DLL木马或手工删除这些DLL木马文件即可. 图10 进程管理器窗口 5、系统优化功能 很多Internet用户的系统默认设置是很不合理的,而且存在很多安全隐患.用户可在"系统优化"窗口中,单击相应的优化选项按钮,重启操作系统后,就可以完成优化设置.如果想把系统还原到原来的状态也很简单,单击"还原设置到使用软件前"按钮,在重启系统即可. 软件实验 实验一:DHCP服务器的安装、配置和管理(选做) 实验简介 通过对安装、配置和管理DHCP服务,理解DHCP的工作原理,掌握建立和管理DHCP服务器的方法. 实验目的 安装DHCP服务器 建立作用域 设置客户端,通过DHCP获取IP地址 实验步骤 DHCP服务器的安装 运行控制面板→添加或删除程序→添加/删除Windows组件; 在"组件"列表中双击"网络服务",在"网络服务的子组件"列表中勾选"动态主机配置协议(DHCP)",依次单击"确定/下一步"按钮. 建立作用域 运行"开始"→"管理工具"→"DHCP",打开"DHCP"控制台窗口; 鼠标右击DHCP服务器名称,执行"新建作用域"命令,打开"新建作用域向导"对话框,单击"下一步"按钮; 在"作用域名"页中.在"名称"编辑框中输入作用域名和一段描述性信息,单击"下一步"按钮; 在"IP地址范围"页中,分别在"起始IP地址"和"结束IP地址"编辑框中键入已经确定好的起止IP地址,单击"下一步"按钮; 在"添加排除"页中,指定需要排除的IP地址或IP地址范围.在"起始IP地址"编辑框中键入排除的IP地址并单击"添加"按钮,并可以重复操作.单击"下一步"按钮; 在 "租约期限"页中,设置客户端获取IP地址的使用期限,默认为8天.如果没有特殊要求保持默认值不变,单击"下一步"按钮; 在"配置DHCP选项"页,选中"是,我想现在配置这些选项"单选框,单击"下一步"按钮. 在"路由器(默认网关)"页中,键入网关地址,并单击"添加"按钮; 在"激活作用域"页中,选中"是,我想现在激活此作用域"单选框,并依次单击"下一步"→"完成"按钮完成配置. 客户端配置 在客户机上右击"网上邻居"图标,并执行"属性"命令; 右击"本地连接"图标并执行"属性"命令,打开"本地连接 属性"对话框; 双击"Internet协议(TCP/IP)"选项,选中"自动获得IP地址"单选框,并依次单击"确定"按钮. 在"命令提示符"窗口中,运行"ipconfig -all"命令,查看获得的IP 地址 实验注意事项 DHCP服务器的安装环境是Windows Server 2000或Windows Server2003. 实验二:DNS服务器的安装、配置和管理(选做) 实验简介 通过对安装、配置和管理DNS服务,理解DNS的工作原理,掌握建立和管理DNS服务器的方法. 实验目的 安装DNS服务器 建立域 建立服务器域名 解析器配置 实验步骤 DNS服务器的安装 运行控制面板→添加或删除程序→添加/删除Windows组件; 在"组件"列表中双击"网络服务",在"网络服务的子组件"列表中勾选"域名系统 (DNS)",依次单击"确定/下一步"按钮. 建立域 运行"开始"→"管理工具"→"DNS",打开"DNS"控制台窗口; 鼠标右击DNS服务器名称,选择"配置服务器",打开"配置DNS服务器向导"对话框,选择"创建正向查找区域",单击"下一步"按钮; 在"主服务器位置"页中,选择"由这台服务器维护该区域",单击"下一步"按钮; 在"区域名称"页中,在名称框中输入用户需要解析的域名,如"abc.com".单击"下一步"按钮; 在"区域文件"页中,系统默认将把域名后在加上一个".DNS"作为文件名,保持默认值不变,单击"下一步"按钮; 在"动态更新"页中,选择"不允许动态更新",单击"下一步"按钮; 在"反向查找区域"页中.选择"创建反向查找区域",这样就允许根据IP地址反向查询相关的主机名.单击"下一步"; 在"反向查找区域名称"页中,输入反向域名名称.注意反向域名的顶级域名为:in-addr.arpa,IP地址为192.128.20.0的反向域名名称为"20.168.192.in-addr.arpa",单击"下一步"; 在"区域文件"页中,保持默认值不变,单击"下一步"按钮,直至完成. 建立服务器域名 在DNS管理控制窗口中,右击"abc.com",选择"新建主机"、"新建别名"、"新建邮件交换器",分别建立主机对应的IP地址、别名和邮件交换地址 解析器配置 在客户机上右击"网上邻居"图标,并执行"属性"命令; 右击"本地连接"图标并执行"属性"命令,打开"本地连接 属性"对话框; 双击"Internet协议(TCP/IP)"选项,在DNS服务器地址中输入刚建立的DNS服务器的IP地址,并依次单击"确定"按钮. 实验注意事项 DNS服务器的安装环境是Windows Server 2000或Windows Server2003. DNS服务器一定要有固定的IP地址. 实验三:WWW服务器的安装、配置和管理 实验简介 通过对安装、配置和管理WWW服务,理解WWW的工作原理,掌握建立和管理WWW服务器的方法. 实验目的 安装IIS 修改网站属性 建立虚拟目录 实验步骤 IIS服务器的安装 运行控制面板→添加或删除程序→添加/删除Windows组件; 在组件列表里,选择"Web应用程序服务器",单击"详细信息",选择"Internet信息服务(IIS)",然后单击"详细信息",查看IIS可选组件列表,选择公共文件、FrontPage 2002 Server Extentions、Internet信息服务管理单元、Internet信息服务管理器、World Wide Web服务等组件.依次单击"确定/下一步"按钮. 修改网站属性 运行"开始"→"管理工具"→" Internet 信息服务",打开IIS控制台窗口; 左窗格中用鼠标右键单击"ServerName(本地计算机)→网站→默认网站".在弹出的菜单中执行"属性"命令,修改默认网站属性.在"网站"窗口中,修改TCP端口为8080;在"主目录"窗口中,设定本地路径为本地硬盘的任意非空目录;,并选中"读取"和"目录访问"权限.点击"确定"按钮. 用浏览器访问http://服务器IP:8080,检验修改结果. 建立虚拟目录 左窗格中用鼠标右键单击"ServerName(本地计算机)→网站→默认网站".在弹出的菜单中执行"新建→虚拟目录"命令,弹出"虚拟目录创建向导"对话框,点击"下一步"按钮; 在"虚拟目录别名"页中,输入虚拟目录的名字,点击"下一步"按钮; 在"网站内容目录"页中,输入要发布到Web站点的内容的目录路径,点击"下一步"按钮; 在"访问权限"页中,为此目录设置访问权限,点击"下一步"按钮,直至完成; 用浏览器访问http://服务器IP:网站端口/虚拟目录名,检验结果. 实验注意事项 以上步骤是在Windows XP环境下完成的,如果需要更强的功能,需要在Windows Server 2000或Windows Server 2003环境下实现. 要确保网站服务的端口没有被其他服务占用. 实验四:BT服务器的安装、配置和使用(选做) 实验简介 通过对安装和配置BT服务器软件,掌握建立和管理BT服务器的方法;通过制作种子、上传种子、下载种子、下载文件等操作,实现资源的交流和共享. 实验目的 安装和配置BT服务器 制作种子并上传种子 下载种子并下载资源 实验步骤 BT服务器的安装 运行33159_ddooo.exe 点击"管理服务"窗口中的"一键安装服务器" BT服务器的配置和管理 用户权限控制:"系统设置"窗口 修改下载分类:"目录设置"窗口 维护种子:管理员帐号登录,点击"删除" 上传 注册普通用户:http://127.0.0.1:6969 用BitComet制作种子,上传种子,开始上传任务 下载 下载种子 用BitComet下载文件 实验注意事项 在制作种子时,Tracker服务器的地址设置为:udp://BT服务器的IP地址:6969/announce 种子上传后,保持客户端的BitComet的运行状态,并保证种子处于允许下载的状态. 实验五:Email服务器的安装、配置和使用 实验简介 建立电子邮件服务器,在同一台邮件服务器上实现多邮件域,实现用户管理、邮件管理以及邮件收发.通过邮件过滤规则的制定,了解邮件网关的功能和作用. 实验目的 安装电子邮件服务器 域和用户的管理 收发邮件 邮件过滤 实验步骤 安装: 下载IT168.com-7605winmail43_0302.exe,该软件可以从教学网站中下载; 运行该软件,按照默认值点击"下一步"; 在"密码设置"窗口,输入"管理工具的登录密码"和"系统邮箱postmaster的密码",这两个密码要记住,在以后登录邮件管理系统的时候要使用; 在"安装完成"窗口,选择"现在就启动Winmail Mail Server"; 在"快速设置向导"窗口,输入要建立的邮箱"abc"和邮件域"test.com",并输入密码,点击"设置"按钮,最后点击"关闭"按钮. 域和用户的管理 运行桌面上的"Magic Winmail管理端工具",在打开的"连接服务器"窗口中,输入安装时设置的管理员密码,点击"确定"按钮; 在管理窗口左侧的目录树中,点击"域名设置→域名管理",点击"新增"按钮; 在"基本参数"窗口中,输入新建域的域名和描述,其他信息保持默认值; 在"邮箱默认容量"窗口,设置本域下邮箱默认容量为"100M",本域下邮箱默认邮件数为"1000",点击"确定"按钮; 在管理窗口左侧的目录树中,点击"用户和组→用户管理",在右侧窗口上方的"域名"下拉列表框中选择刚建立的"stu.com"域,点击"新增"按钮; 在"基本设置"窗口中,输入用户名、真实姓名和密码信息,其他信息保持默认值,点击"下一步"; 点击"下一步",直至完成. 收发邮件 使用浏览器访问http://127.0.0.1:6080,分别用安装时建立的abc@test.com和刚刚建立的xyz@stu.com登录,并互相收发邮件. 邮件过滤 在管理窗口左侧的目录树中,点击"系统设置"→"邮件过滤",点击"新增"按钮; 在"新增邮件过滤规则"窗口中,输入规则名称,过滤关键字选择"主题";过滤类型选择"包含(不区分大小写)";过滤内容输入"test",选择"丢弃此邮件"动作,表示删除标题包含"test"的邮件.点击"确定"按钮; 采用同样的方法增加其他过滤规则; 以abc@test.com用户给xyzstu.com发送一封标题包含"test"的邮件,检查是否能收到邮件. 实验六:Blog服务器的安装和使用 实验简介 通过安装和管理Blog服务器软件,掌握如何在IIS下设置PHP的运行环境、安装和管理Mysql数据库以及Blog服务器软件的设置和管理. 实验目的 在IIS下设置PHP的运行环境 安装并管理Mysql数据库 安装Blog服务器软件 实验步骤 软件下载 从教学网站上下载php-4.4.4-Win32.zip; 从教学网站上下载MYSQL3.23.46a_win.rar; 从教学网站上下载blog.zip. 在IIS下安装PHP 将php-4.4.4-Win32.zip解到c:\php 将c:\php目录下的php.ini-recommended放到c:\windows目录下,并改名为php.ini; 修改c:\windows\php.ini,将extension_dir = "./"改为 extension_dir="c:\php\extensions" 将c:\php、c:\php\dlls下的所有dll文件复制到c:\windows\system32文件夹下.或者修改环境变量,在Path后追加";c:\php;c:\php\dlls" 运行iis,打开默认网站的属性窗口. 选择"ISAPI筛选器",按"添加",在弹出的窗口中,筛选器名称输入"php",可执行文件输入"c:\php\sapi\php4isapi.dll"; 选择"主目录",按"配置"按钮,按"添加",可执行文件选"c:\php\sapi\php4isapi.dll",文件扩展名为".php";设置"执行权限"为"纯脚本". 网站执行权限为"纯脚本" MySql的安装和设置 双击从教学网站上下载的MYSQL3.23.46a_win.rar,安装MYSQL数据库.选择安装目录为c:\mysql; 启动 进入"命令提示符"工作模式 在c:\mysql\bin下运行: c:\mysql\bin\mysqld-nt -install 运行"程序→管理工具→服务",启动"MySql"服务 建立数据库 在"命令提示符"工作模式下,在c:\mysql\bin下运行:mysql 在MySql环境下运行:create database blog Blog的安装和设置 解包blog.zip到c:\blog 在IIS中建立名为blog的虚拟目录,对应的实际文件夹是c:\blog\upload,虚拟目录的权限为"纯脚本",设置默认文档为index.php; 在浏览器中运行http://localhost/blog/install.php,安装blog; 在浏览器中运行http://localhost/blog/admin.php,管理Blog服务.点击"网站核心设置→网站基本设置",修改博客地址中的"localhost"为本级的IP地址. 在浏览器中运行http://localhost/blog,访问自己的Blog服务 实验注意事项 MySql环境下所有的命令后面都要加";" 确保"MySql"服务已经启动; 网络技术实验 网络技术实验介绍:本实验指导包括四部分实验内容.第一部分为网线的制作,包括实验一;第二部分为常见网络命令介绍,包括实验二;第三部分为路由器的相关实验,包括实验三,实验四,实验五;第四部分为交换机的相关实验,包括实验六,实验七.必做实验包括网线制作、常用网络基本命令、静太路由配置、以太端口汇聚,其余实验为选做实验. 实验一:网线制作(必做实验) 实验简介 了解双绞线的结构,动手做线. 实验目的 每位同学动手做网线,用测线器检查应通过. 实验注意事项 注意做线时线的顺序.双绞线的两种线序(T568A,T568B) T568A的线序是:白绿、绿、白橙、蓝、白蓝、橙、白棕、棕. T568B的线序是:白橙、橙、白绿、蓝、白蓝、绿、白棕、棕. 直通线:T568B-T568B 交叉线:T568A-T568B 实验二:常用网络基本命令(必做实验) 实验目的 掌握如何为PC配置IP地址 掌握如何使用IPCONFIG命令验证PC的网络配置 掌握如何使用PING命令验证目标主机的连通性 掌握如何使用TRACERT命令跟踪目标主机路由 掌握如何使用NETSTAT命令查询主机当前网络连接 掌握如何使用TELNET命令验证目标主机端口开放情况 掌握如何使用NSLOOKUP命令进行域名查询 掌握如何使用路由器上的Ping命令 实验命令 IPCONFIG---IP地址相关配置查询命令 PING---网络连通性测试命令 TRACERT---路由跟踪命令 NETSTAT---网络连接查询命令 TELNET---远程登录命令 NSLOOKUP---域名查询命令 实验环境 图11 Tracert命令实验网络结构图 实验步骤 为PC配置IP地址、子网掩码、网关和DNS 为PC配置正确的IP地址及相关参数. 第一,点击开始->控制面板->网络连接->网卡. 图12 第二,点击属性按钮. 图13 第三,选择TCP/IP协议,选择属性. 图14 第四,配置IP地址、子网掩码、网关、DNS. 图15 第五,验证PC的IP地址及相关参数配置 使用IPCONFIG命令查询主机的网络配置 图16 使用PING命令验证目标主机的连通性 使用PING命令测试连通性 C:\Documents and Settings\Administrator>ping www.163.com Pinging www.cache.split.netease.com [202.108.9.38] with 32 bytes of data: Reply from 202.108.9.38: bytes=32 time=3ms TTL=56 Reply from 202.108.9.38: bytes=32 time=1ms TTL=56 Reply from 202.108.9.38: bytes=32 time=1ms TTL=56 Reply from 202.108.9.38: bytes=32 time=2ms TTL=56 Ping statistics for 202.108.9.38: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 1ms, Maximum = 3ms, Average = 1ms 使用PING命令对目标主机PING 1000字节数据包 C:\Documents and Settings\Administrator>ping -l 1000 www.163.com Pinging www.cache.split.netease.com [202.108.9.33] with 1000 bytes of data: Reply from 202.108.9.33: bytes=1000 time=3ms TTL=56 Reply from 202.108.9.33: bytes=1000 time=7ms TTL=56 Reply from 202.108.9.33: bytes=1000 time=3ms TTL=56 Reply from 202.108.9.33: bytes=1000 time=6ms TTL=56 Ping statistics for 202.108.9.33: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 3ms, Maximum = 7ms, Average = 4ms 使用PING命令对目标主机连续PING 10次C:\Documents and Settings\Administrator>ping -n 10 www.163.com Pinging www.cache.split.netease.com [202.108.9.33] with 32 bytes of data: Reply from 202.108.9.33: bytes=32 time=1ms TTL=56 Reply from 202.108.9.33: bytes=32 time=1ms TTL=56 Reply from 202.108.9.33: bytes=32 time=1ms TTL=56 Reply from 202.108.9.33: bytes=32 time=6ms TTL=56 Reply from 202.108.9.33: bytes=32 time=3ms TTL=56 Reply from 202.108.9.33: bytes=32 time=3ms TTL=56 Reply from 202.108.9.33: bytes=32 time=2ms TTL=56 Reply from 202.108.9.33: bytes=32 time=5ms TTL=56 Reply from 202.108.9.33: bytes=32 time=4ms TTL=56 Reply from 202.108.9.33: bytes=32 time=2ms TTL=56 Ping statistics for 202.108.9.33: Packets: Sent = 10, Received = 10, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 1ms, Maximum = 6ms, Average = 2ms 使用PING命令持续PING目标主机,使用Ctrl-C结束 C:\Documents and Settings\Administrator>ping -t www.163.com Pinging www.cache.split.netease.com [202.108.9.33] with 32 bytes of data: Reply from 202.108.9.33: bytes=32 time=5ms TTL=56 Reply from 202.108.9.33: bytes=32 time=5ms TTL=56 Reply from 202.108.9.33: bytes=32 time=2ms TTL=56 Reply from 202.108.9.33: bytes=32 time=3ms TTL=56 Reply from 202.108.9.33: bytes=32 time=2ms TTL=56 Reply from 202.108.9.33: bytes=32 time=2ms TTL=56 Reply from 202.108.9.33: bytes=32 time=7ms TTL=56 Reply from 202.108.9.33: bytes=32 time=7ms TTL=56 Reply from 202.108.9.33: bytes=32 time=5ms TTL=56 Reply from 202.108.9.33: bytes=32 time=7ms TTL=56 Reply from 202.108.9.33: bytes=32 time=8ms TTL=56 Reply from 202.108.9.33: bytes=32 time=7ms TTL=56 Reply from 202.108.9.33: bytes=32 time=7ms TTL=56 Ping statistics for 202.108.9.33: Packets: Sent = 13, Received = 13, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 2ms, Maximum = 8ms, Average = 5ms Control-C ^C 使用TRACERT命令跟踪目标主机路由 C:\Documents and Settings\Administrator>tracert -d www.163.com Tracing route to www.cache.split.netease.com [202.108.9.33] over a maximum of 30 hops: 1 <1 ms <1 ms <1 ms 58.135.192.62 2 <1 ms <1 ms <1 ms 211.153.251.97 3 186 ms 190 ms 198 ms 211.153.5.22 4 177 ms 172 ms 167 ms 61.148.82.89 5 1 ms 1 ms 1 ms 61.148.3.5 6 1 ms 1 ms 1 ms 61.148.143.26 7 9 ms 9 ms 8 ms 210.74.176.194 8 7 ms 6 ms 7 ms 202.108.9.33 Trace complete. 使用NETSTAT检查PC当前的网络连接 C:\Documents and Settings\Administrator>netstat -an Active Connections Proto Local Address Foreign Address State TCP 0.0.0.0:25 0.0.0.0:0 LISTENING TCP 0.0.0.0:80 0.0.0.0:0 LISTENING TCP 0.0.0.0:135 0.0.0.0:0 LISTENING TCP 0.0.0.0:445 0.0.0.0:0 LISTENING TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING TCP 0.0.0.0:1027 0.0.0.0:0 LISTENING TCP 0.0.0.0:1028 0.0.0.0:0 LISTENING TCP 0.0.0.0:1029 0.0.0.0:0 LISTENING TCP 0.0.0.0:1433 0.0.0.0:0 LISTENING TCP 0.0.0.0:3389 0.0.0.0:0 LISTENING TCP 0.0.0.0:8080 0.0.0.0:0 LISTENING TCP 0.0.0.0:8888 0.0.0.0:0 LISTENING TCP 0.0.0.0:56737 0.0.0.0:0 LISTENING TCP 0.0.0.0:56738 0.0.0.0:0 LISTENING TCP 58.135.192.57:139 0.0.0.0:0 LISTENING TCP 58.135.192.57:1433 58.135.192.57:2125 ESTABLISHED TCP 58.135.192.57:1433 58.135.192.57:2134 ESTABLISHED 使用NSLOOKUP命令查询域名 C:\Documents and Settings\Administrator>nslookup Default Server: ns.bjedu.gov.cn Address: 202.106.116.1 > www.bjedu.gov.cn Server: ns.bjedu.gov.cn Address: 202.106.116.1 Name: www.bjedu.gov.cn Addresses: 211.153.19.129, 211.153.32.1 > server 202.106.116.1 Default Server: ns.bjedu.gov.cn Address: 202.106.116.1 > set querytype=mx > mail.bjedu.gov.cn Server: ns.bjedu.gov.cn Address: 202.106.116.1 mail.bjedu.gov.cn canonical name = server-ii.bjedu.gov.cn bjedu.gov.cn primary name server = ns.bjedu.gov.cn responsible mail addr = administrator.bjedu.gov.cn serial = 7 refresh = 3600 (1 hour) retry = 600 (10 mins) expire = 604800 (7 days) default TTL = 3600 (1 hour) > > set querytype=ptr > 202.106.116.1 Server: ns.bjedu.gov.cn Address: 202.106.116.1 1.116.106.202.in-addr.arpa name = ns.bjedu.gov.cn 116.106.202.in-addr.arpa nameserver = ns.bjedu.gov.cn ns.bjedu.gov.cn internet address = 202.106.116.1 > 7)使用路由器上的Ping命令(路由命令) (1)实验环境 组网如下图所示.使用2台路由器,串口封装PPP协议,IP地址配置如图所示. 图17 ping命令的一个故障现象示意图 首先如上图所示,正确配置了各个接口的IP地址,然后在RouterA上配置一条指向2.0.0.0/8的静态路由: [RouterA]ip route-static 2.0.0.0 255.0.0.0 1.1.1.2 配置完毕. (2)实验步骤 在RouterA上ping路由器RouterB的以太网地址2.2.2.2,显示无法正常ping通.网络出现故障.我们可以考虑采用分段故障排除法来解决问题. 首先在RouterA上ping路由器RouterB的串口地址,同样也无法ping通.这样我们就把问题定位在路由器之间的网段1.0.0.0/8.对于同一链路问题,我们考虑采用分层故障排除法来解决问题.首先从物理层开始排查故障.在RouterA输入以下命令: [RouterA]display interface serial 0 Serial0 is up, line protocol is up physical layer is synchronous, baudrate is 64000 bps, no cable Maximum Transmission Unit is 1500 Link-protocol is PPP LCP opened, IPCP initial, IPXCP initial, CCP initial, BRIDGECP initial 5 minutes input rate 0.00 bytes/sec, 0.00 packets/sec 5 minutes output rate 0.00 bytes/sec, 0.00 packets/sec Input queue : (size/max/drops) 0/50/0 FIFO queueing: FIFO Output queue: (size/max/drops) FIFO: 0/75/0 input packets:0, bytes:0, no buffers:0 output packets:0, bytes:0, no buffers:0 input errors:0, CRC:0, frame errors:0 overrunners:0, aborted sequences:0, input no buffers:0 DCD=UP DTR=up DSR=UP RTS=up CTS=UP 从输出信息看到,接口已经up,表明物理层没有故障;如果显示为down,表明接口出现硬件故障,或者没有加电. 下面检查数据链路层,显示"line protocol is up","LCP opened,IPCP initial",表明PPP协商的LCP协商已经通过,但是NCP(IPCP)协商仍然处于初始化阶段,没有协商通过.这时我们需要重起路由器串行接口,使协商通过.输入以下命令: [RouterA-Serial0]shutdown % Interface Serial0 is shutdown Interface Serial0 changed state to DOWN [RouterA-Serial0]undo shutdown 再次输入display interface serial 0 命令,显示"LCP opened,IPCP opened". 这时再在RouterA 上ping路由器RouterB 的以太网地址2.2.2.2,显示正常ping通;但是在RouterB上ping路由器RouterA的以太网地址3.3.3.3,却无法ping通.那么原因在那里哪? 首先我们想到由于在RouterB 上没有相应的配置到3.0.0.0/8 路由,所以从RouterB 上ping不通RouterA的以太网口3.3.3.3 .因此需要在RouterB配置到RouterA的静态路由. [RouterB]ip route-static 3.0.0.0 255.0.0.0 1.1.1.1 但是为何在RouterA上可以ping 通2.2.2.2 呢?同样是没有回程路由呀?这时打开路由器RouterA上的IP报文调试开关: [RouterA]debugging ip packet IP: Version = 4, HdrLen = 5, TOS = 0, Total Len = 84 ID = 20737, Offset = 0, TTL = 255, Protocol = 1, Chksum = 0 s = 1.1.1.1, d = 2.2.2.2, if = Serial0, Sending IP: Version = 4, HdrLen = 5, TOS = 0, Total Len = 84 ID = 34138, Offset = 0, TTL = 255, Protocol = 1, Chksum = 18736 s = 2.2.2.2, d = 1.1.1.1, if = Serial0, Received 原来从RouterA上发出的ICMP报文的源地址填写的是1.1.1.1而不是3.3.3.3,由于两台路由器的s0口处于同一网段,所以响应报文可以顺利到达RouterB. (3)建议和总结 排除路由器网络故障时要特别注意广域网接口的状态,查看广域网接口是否工作正常. A能够ping通B则B一定能够ping通A(不考虑防火墙的因素),这句话的对错取决于A和B到底是指主机还是指路由器. 如果是指两台主机,那么这句话就是正确的. 如果是指两台路由器,那就是错误的.因为路由器通常会有多个IP地址.现在就有如下问题:当从一台路由器上执行ping命令它发出的ICMP Echo报文的源地址究竟选择哪一个呢?实际情况是路由器选择发出报文的接口的IP地址,也就是上面的串行接口地址1.1.1.1/8. 实验三:路由器的相关实验----静态路由典型配置举例(必做实验) 实验目的 路由器各接口及主机的IP地址和掩码如下图所示.要求采用静态路由,使图中任意两台主机之间都能互通. 实验要求及组网图 图18 静态路由配置组网图 配置步骤 配置静态路由 # 进入系统视图.
system-view # 在RouterA上配置缺省路由. [RouterA] ip route-static 0.0.0.0 0.0.0.0 1.1.4.2 # 在RouterB上配置两条静态路由. [RouterB] ip route-static 1.1.1.0 255.255.255.0 1.1.4.1 [RouterB] ip route-static 1.1.3.0 255.255.255.0 1.1.4.6 # 在RouterC上配置缺省路由. [RouterB] ip route-static 0.0.0.0 0.0.0.0 1.1.4.5 配置主机 配置主机PC1的缺省网关为1.1.1.1,主机PC2的缺省网关为1.1.2.1,主机PC3的缺省网关为1.1.3.1. 实验注意事项,查看配置结果 # 显示RouterA的IP路由表. [RouterA] display ip routing-table Routing Tables: Public Destinations : 8 Routes : 8 Destination/Mask Proto Pre Cost NextHop Interface 0.0.0.0/0 Static 60 0 1.1.4.2 Serial2/0 1.1.1.0/24 Direct 0 0 1.1.1.1 Ethernet1/0 1.1.1.1/32 Direct 0 0 127.0.0.1 InLoopBack0 1.1.4.0/30 Direct 0 0 1.1.4.1 Serial2/0 1.1.4.1/32 Direct 0 0 127.0.0.1 InLoopBack0 1.1.4.2/32 Direct 0 0 1.1.4.2 Serial2/0 127.0.0.0/8 Direct 0 0 127.0.0.1 InLoopBack0 127.0.0.1/32 Direct 0 0 127.0.0.1 InLoopBack0 # 使用Ping命令验证连通性. [RouterA] ping 1.1.3.1 PING 1.1.3.1: 56 data bytes, press CTRL_C to break Reply from 1.1.3.1: bytes=56 Sequence=1 ttl=254 time=62 ms Reply from 1.1.3.1: bytes=56 Sequence=2 ttl=254 time=63 ms Reply from 1.1.3.1: bytes=56 Sequence=3 ttl=254 time=63 ms Reply from 1.1.3.1: bytes=56 Sequence=4 ttl=254 time=62 ms Reply from 1.1.3.1: bytes=56 Sequence=5 ttl=254 time=62 ms --- 1.1.3.1 ping statistics --- 5 packet(s) transmitted 5 packet(s) received 0.00% packet loss round-trip min/avg/max = 62/62/63 ms # 使用tracert命令验证连通性. [RouterA] tracert 1.1.3.1 traceroute to 1.1.3.1(1.1.3.1) 30 hops max,40 bytes packet 1 1.1.4.2 31 ms 32 ms 31 ms 2 1.1.4.6 62 ms 63 ms 62 ms 实验四:路由器的相关实验----配置RIP路由协议 实验简介,组网需求 如下图所示,要求在RouterA和RouterB的所有接口上使能RIP,并使用RIP-2进行网络互连. 实验目的:熟练使用RIP路由协议 组网图 图19 配置RIP版本组网图 实验配置步骤 配置RIP基本功能 # 配置RouterA. system-view [RouterA] rip [RouterA-rip-1] network 192.168.1.0 [RouterA-rip-1] network 172.16.0.0 [RouterA-rip-1] network 172.17.0.0 # 配置RouterB. system-view [RouterB] rip [RouterB-rip-1] network 192.168.1.0 [RouterB-rip-1] network 10.0.0.0 实验注意事项 查看RouterA的RIP路由表. [RouterA] display rip 1 route Route Flags: R - RIP, T - TRIP P - Permanent, A - Aging, S - Suppressed, G - Garbage-collect Peer 192.168.1.2 on Serial2/0 Destination/Mask Nexthop Cost Tag Flags Sec 10.0.0.0/8 192.168.1.2 1 0 RA 14 从路由表中可以看出,RIP-1发布的路由信息使用的是自然掩码. 配置RIP的版本 # 在RouterA上配置RIP-2. [RouterA] rip [RouterA-rip-1] version 2 # 在RouterB上配置RIP-2. [RouterB] rip [RouterB-rip-1] version 2 # 查看RouterA的RIP路由表. [RouterA] display rip 1 route Route Flags: R - RIP, T - TRIP P - Permanent, A - Aging, S - Suppressed, G - Garbage-collect Peer 192.168.1.2 on Serial2/0 Destination/Mask Nexthop Cost Tag Flags Sec 10.2.1.0/24 192.168.1.2 1 0 RA 32 10.1.1.0/24 192.168.1.2 1 0 RA 32 从路由表中可以看出,RIP-2发布的路由中带有更为精确的子网掩码信息. 实验五:路由器的相关实验----配置OSPF基本功能 实验简介,组网需求 所有的路由器都运行OSPF,并将整个自治系统划分为3个区域. 其中RouterA和RouterB作为ABR来转发区域之间的路由. 配置完成后,每台路由器都应学到AS内的到所有网段的路由. 实验目的:熟练使用OSPF路由协议 组网图 图20 OSPF基本配置组网图 实验配置步骤 配置OSPF基本功能 # 配置RouterA. system-view [RouterA] ospf [RouterA-ospf-1] area 0 [RouterA-ospf-1-area-0.0.0.0] network 192.168.0.0 0.0.0.255 [RouterA-ospf-1-area-0.0.0.0] quit [RouterA-ospf-1] area 1 [RouterA-ospf-1-area-0.0.0.1] network 192.168.1.0 0.0.0.255 [RouterA-ospf-1-area-0.0.0.1] quit [RouterA-ospf-1] quit # 配置RouterB. system-view [RouterB] ospf [RouterB-ospf-1] area 0 [RouterB-ospf-1-area-0.0.0.0] network 192.168.0.0 0.0.0.255 [RouterB-ospf-1-area-0.0.0.0] quit [RouterB-ospf-1] area 2 [RouterB-ospf-1-area-0.0.0.2] network 192.168.2.0 0.0.0.255 [RouterB-ospf-1-area-0.0.0.2] quit [RouterB-ospf-1] quit # 配置RouterC. system-view [RouterC] ospf [RouterC-ospf-1] area 1 [RouterC-ospf-1-area-0.0.0.1] network 192.168.1.0 0.0.0.255 [RouterC-ospf-1-area-0.0.0.1] network 172.16.1.0 0.0.0.255 [RouterC-ospf-1-area-0.0.0.1] quit [RouterC-ospf-1] quit # 配置RouterD. system-view [RouterD] ospf [RouterD-ospf-1] area 2 [RouterD-ospf-1-area-0.0.0.2] network 192.168.2.0 0.0.0.255 [RouterD-ospf-1-area-0.0.0.2] network 172.17.1.0 0.0.0.255 [RouterD-ospf-1-area-0.0.0.2] quit [RouterD-ospf-1] quit 实验注意事项 检验配置结果 # 查看RouterA的OSPF邻居. [RouterA] display ospf peer OSPF Process 1 with Router ID 192.168.1.1 Neighbors Area 0.0.0.0 interface 192.168.0.1(Serial2/0)'s neighbors Router ID: 192.168.2.1 Address: 192.168.0.2 GR State: Normal State: Full Mode: Nbr is Master Priority: 1 DR: None BDR: None MTU: 0 Dead timer due in 32 sec Neighbor is up for 00:04:09 Authentication Sequence: [ 0 ] Neighbors Area 0.0.0.1 interface 192.168.1.1(Serial2/1)'s neighbors Router ID: 192.168.1.2 Address: 192.168.1.2 GR State: Normal State: Full Mode: Nbr is Master Priority: 1 DR: None BDR: None MTU: 0 Dead timer due in 34 sec Neighbor is up for 00:04:21 Authentication Sequence: [ 0 ] # 显示RouterA的OSPF路由信息. [RouterA] display ospf routing OSPF Process 1 with Router ID 192.168.1.1 Routing Tables Routing for Network Destination Cost Type NextHop AdvRouter Area 172.16.1.0/24 1563 Stub 192.168.1.2 192.168.1.2 0.0.0.1 172.17.1.0/24 3125 Inter 192.168.0.2 192.168.2.1 0.0.0.0 192.168.0.0/24 1562 Stub 192.168.0.1 192.168.1.1 0.0.0.0 192.168.1.0/24 1562 Stub 192.168.1.1 192.168.1.1 0.0.0.1 192.168.2.0/24 3124 Inter 192.168.0.2 192.168.2.1 0.0.0.0 Total Nets: 5 Intra Area: 3 Inter Area: 2 ASE: 0 NSSA: 0 # 显示RouterA的LSDB. [RouterA] display ospf lsdb OSPF Process 1 with Router ID 192.168.1.1 Link State Database Area: 0.0.0.0 Type LinkState ID AdvRouter Age Len Sequence Metric Router 192.168.1.1 192.168.1.1 478 48 80000007 0 Router 192.168.2.1 192.168.2.1 479 48 80000007 0 Sum-Net 192.168.1.0 192.168.1.1 489 28 80000001 1562 Sum-Net 172.17.1.0 192.168.2.1 492 28 80000001 1563 Sum-Net 192.168.2.0 192.168.2.1 492 28 80000001 1562 Sum-Net 172.16.1.0 192.168.1.1 467 28 80000001 1563 Area: 0.0.0.1 Type LinkState ID AdvRouter Age Len Sequence Metric Router 192.168.1.2 192.168.1.2 448 60 80000007 0 Router 192.168.1.1 192.168.1.1 472 48 80000004 0 Sum-Net 172.17.1.0 192.168.1.1 473 28 80000001 3125 Sum-Net 192.168.2.0 192.168.1.1 473 28 80000001 3124 Sum-Net 192.168.0.0 192.168.1.1 489 28 80000001 1562 # 查看RouterD的路由表,并使用Ping进行测试连通性. [RouterD] display ospf routing OSPF Process 1 with Router ID 192.168.2.2 Routing Tables Routing for Network Destination Cost Type NextHop AdvRouter Area 172.16.1.0/24 4687 Inter 192.168.2.1 192.168.2.1 0.0.0.2 172.17.1.0/24 1 Stub 172.17.1.1 192.168.2.2 0.0.0.2 192.168.0.0/24 3124 Inter 192.168.2.1 192.168.2.1 0.0.0.2 192.168.1.0/24 4686 Inter 192.168.2.1 192.168.2.1 0.0.0.2 192.168.2.0/24 1562 Stub 192.168.2.2 192.168.2.2 0.0.0.2 Total Nets: 5 Intra Area: 2 Inter Area: 3 ASE: 0 NSSA: 0 [RouterD] ping 172.16.1.1 PING 172.16.1.1: 56 data bytes, press CTRL_C to break Reply from 172.16.1.1: bytes=56 Sequence=1 ttl=253 time=62 ms Reply from 172.16.1.1: bytes=56 Sequence=2 ttl=253 time=16 ms Reply from 172.16.1.1: bytes=56 Sequence=3 ttl=253 time=62 ms Reply from 172.16.1.1: bytes=56 Sequence=4 ttl=253 time=94 ms Reply from 172.16.1.1: bytes=56 Sequence=5 ttl=253 time=63 ms --- 172.16.1.1 ping statistics --- 5 packet(s) transmitted 5 packet(s) received 0.00% packet loss round-trip min/avg/max = 16/59/94 ms 实验六:以太网交换机的相关实验----以太网端口汇聚(必做实验) 实验简介,组网需求 以太网交换机Switch A使用3个端口(Ethernet1/0/1~Ethernet1/0/3)汇聚接入以太网交换机Switch B,实现出/入负荷在各成员端口中的负载分担. 下面的实际配置中,将采用汇聚方式进行举例. 实验目的:熟练使用交换机的常用命令,会使用工程中常见的端口汇聚功能. 组网图 图21 以太网端口汇聚配置示例图 实验配置步骤 以下只列出了Switch A的配置,Switch B上应作相应的配置,汇聚才能实际有效. 采用手工汇聚方式: # 创建手工汇聚组1. system-view [H3C] link-aggregation group 1 mode manual # 将以太网端口Ethernet1/0/1至Ethernet1/0/3加入汇聚组1. [H3C] interface Ethernet1/0/1 [H3C-Ethernet1/0/1] port link-aggregation group 1 [H3C-Ethernet1/0/1] interface Ethernet1/0/2 [H3C-Ethernet1/0/2] port link-aggregation group 1 [H3C-Ethernet1/0/2] interface Ethernet1/0/3 [H3C-Ethernet1/0/3] port link-aggregation group 1 实验注意事项 以太网交换机采用汇聚方式在工程中是很常见的一种操作,要熟练掌握,注意在配置过程中,两端的交换机都要配置. 实验七:以太网交换机的相关实验----VLAN和级联 实验简介 掌握VLAN和级联的基本配置. 实验目的:熟练使用以太网交换机的常见命令,掌握VLAN的使用技巧. 实验环境 2~3台S3000系列交换机,4台PC. 图22 实验组网图 实验步骤 实验基本配置准备 本实验的主要目的是掌握VLAN的基本配置.在完成VLAN的相关配置之后,要求能够达到同一VLAN内的PC可以互通,不同VLAN间的PC不能互通的目的.首先按照上图连接各实验设备,然后配置PCA IP地址为10.1.1.2/24,PCB IP地址为10.1.2.2/24,PCC IP地址为10.1.1.3/24,PCD IP地址为10.1.2.3/24. 具体的配置如下: 配置交换机端口属于特定VLAN [Quidway]sysname S3026A [S3026A]vlan 2 [S3026A-vlan2]port Ethernet 0/9 to e0/16 [S3026A-vlan2]vlan 3 [S3026A-vlan3]port Ethernet 0/17 to e0/24 [Quidway]sysname S3026B [S3026B]vlan 2 [S3026B-vlan2]port Ethernet 0/9 to e0/16 [S3026B-vlan2]vlan 3 [S3026B-vlan3]port Ethernet 0/17 to e0/24 当配置交换机端口属于特定VLAN时,有两种方法:一种是上面介绍的在VLAN配置模式下进行,另一种是在端口配置模式下进行,大家有兴趣可以试试看. 配置交换机之间的端口为Trunk端口,并且允许所有VLAN通过 [S3026A]int e0/1 [S3026A-Ethernet0/1]port link-type trunk //设置端口工作在trunk模式(系统默认为access模式) [S3026A-Ethernet0/1]port trunk permit vlan all //允许所有VLAN通过Trunk端口 [S3026B]int e0/1 [S3026B-Ethernet0/1]port link-type trunk [S3026B-Ethernet0/1]port trunk permit vlan all 配置完成后,可以看到,同一VLAN内部的PC可以互相访问,不同VLAN间的PC不能够互相访问. 在S3026A和S3026B之间增加交换机S3526C,同样实现上述实验目标:VLAN内互通,VLAN间隔离.组网图如下: 图23 继续上面的实验,这时候,我们需要修改三台交换机e0/1和e0/2接口的配置. 配置步骤如下: 配置三台交换机之间链路为trunk链路 [Quidway]sysname S3526C [S3526C]int e0/1 [S3526C-Ethernet0/1]port link-type trunk [S3526C-Ethernet0/1]port trunk permit vlan all [S3526C-Ethernet0/1]int e0/2 [S3526C-Ethernet0/2]port link-type trunk [S3526C-Ethernet0/2]port trunk permit vlan all 完成上述配置之后,我们可以测试一下VLAN内的主机之间是否可以ping通.结果是否定的,这是因为在交换机S3526C没有配置VLAN2和VLAN3,所以来自VLAN2和VLAN3的帧不能通过.必须在交换机上创建VLAN2和VLAN3,这样,这二个VLAN的帧才能够通过S3526C. 在S3526C上创建VLAN2和VLAN3 [S3526C]vlan 2 [S3526C-vlan2]vlan 3 实验注意事项 如果S3026A和S3026B之间连接了多台交换机,是否需要在每一台交换机上都创建VLAN2和VLAN3?如果接入用户的交换机配置了许多VLAN,是否需要在每一台交换机上都创建这些VLAN? 答案是肯定的.如果VLAN众多,这样的静态VLAN配置工作会很复杂. 实验八:综合实验(选做实验) 实验简介 利用学习的路由交换知识,解决实际组网问题. 实验目的:了解实际工程中组网案例,掌握各种网络常见的命令,工程技术. 组网需求描述 本实验中用到了1台路由器,4台交换机,其中3层交换机1台,2层交换机3台.网络模型接近实际组网,有一定的实用性. 本实验以VLAN、VLAN路由、I交换机和路由器的配合、要求所有的VLAN用户都能够正常访问外网,并能够对所有的交换设备通过管理VLAN进行网络管理.另外不允许将外网的路由40.0.1.1引入S3526. 实验中设备之间的连接如图所示,AR28配置loopback接口1,用于模仿连接Internet的接口,在实验中我们成为外网接口.在所有交换设备上配置管理IP地址,网段为11.0.1.X/24,VLAN为1000,也就是配置在VLAN 1000的3层接口上.图中S3526作为3层交换机使用,用于实现不同VLAN间的路由功能.在S3526上配置VLAN 2、VLAN 3和VLAN 5的三层虚接口地址10.0.1.254、10.0.2.254和10.0.5.254,在S3026-1和S3026-2上分别配置VLAN 2和VLAN 3,并包含端口2和端口3. 图24 实验配置步骤 [AR28]display current-configuration # sysname AR28 # router id 1.1.1.1 # l2tp domain suffix-separator @ # radius scheme system # domain system # interface Aux0 async mode flow # interface NULL0 # interface Ethernet0/0 ip address 11.0.1.254 255.255.255.0 # interface LoopBack1 ip address 40.0.1.1 255.255.255.255 # Rip network 11.0.1.0 0.0.0.255 # user-interface con 0 user-interface aux 0 user-interface vty 0 4 # return [S3526] display current-configuration # sysname S3526 # radius scheme system server-type huawei primary authentication 127.0.0.1 1645 primary accounting 127.0.0.1 1646 user-name-format without-domain domain system radius-scheme system access-limit disable state active idle-cut disable domain default enable system # local-server nas-ip 127.0.0.1 key huawei local-user huawei password simple Huawei service-type lan-access # router id 1.1.1.2 # # vlan 1 # vlan 2 # vlan 3 # vlan 5 # vlan 1000 # interface Vlan-interface2 ip address 10.0.1.254 255.255.255.0 # interface Vlan-interface3 ip address 10.0.2.254 255.255.255.0 # interface Vlan-interface5 ip address 10.0.5.254 255.255.255.0 # interface Vlan-interface1000 ip address 11.0.1.1 255.255.255.0 # interface Aux0/0 # interface Ethernet0/1 port access vlan 1000 # interface Ethernet0/2 # interface Ethernet0/3 …… interface Ethernet0/22 # interface Ethernet0/23 port link-type trunk port trunk permit vlan all # interface Ethernet0/24 port link-type trunk port trunk permit vlan all # interface NULL0 # Rip network 11.0.1.0 0.0.0.255 import-route direct # ip route-static 0.0.0.0 0.0.0.0 11.0.1.254 preference 60 # user-interface aux 0 user-interface vty 0 4 # return [S3026-1]display current-configuration # sysname S3026-1 # radius scheme system server-type huawei primary authentication 127.0.0.1 1645 primary accounting 127.0.0.1 1646 user-name-format without-domain domain system radius-scheme system access-limit disable state active idle-cut disable domain default enable system # local-server nas-ip 127.0.0.1 key huawei # interface Aux0/0 # vlan 1 # vlan 2 # vlan 3 # vlan 1000 # interface Vlan-interface1000 ip address 11.0.1.2 255.255.255.0 # interface Ethernet0/1 port link-type trunk port trunk permit vlan all # interface Ethernet0/2 port access vlan 2 # interface Ethernet0/3 port access vlan 3 # interface Ethernet0/4 # interface Ethernet0/5 …… interface Ethernet0/23 # interface Ethernet0/24 # interface NULL0 # ip route-static 0.0.0.0 0.0.0.0 11.0.1.1 preference 60 # user-interface aux 0 user-interface vty 0 4 # return [S3026-2]display current-configuration # sysname S3026-2 # radius scheme system server-type huawei primary authentication 127.0.0.1 1645 primary accounting 127.0.0.1 1646 user-name-format without-domain domain system radius-scheme system access-limit disable state active idle-cut disable domain default enable system # local-server nas-ip 127.0.0.1 key huawei # interface Aux0/0 # vlan 1 # vlan 2 # vlan 3 # vlan 5 # vlan 1000 # interface Vlan-interface1000 ip address 11.0.1.3 255.255.255.0 # interface Ethernet0/1 port link-type trunk port trunk permit vlan all # interface Ethernet0/2 port access vlan 2 # interface Ethernet0/3 port access vlan 3 # interface Ethernet0/4 # interface Ethernet0/5 …… interface Ethernet0/23 # interface Ethernet0/24 port link-type trunk port trunk permit vlan all # interface NULL0 # user-interface aux 0 user-interface vty 0 4 # return 实验注意事项 完成上述配置之后,在PC上正确设置IP地址和网关地址,从每个PC上应该可以Ping通40.0.1.1,从路由器上可以Ping通所有设备的管理IP地址和用户的PC机IP地址,说明用户可以正常上网,并且可以对所有的设备进行管理.从用户PC上不能Ping通管理IP地址(11.0.1.1除外),实现了管理VLAN和业务VLAN的隔离.
下载该文档
文档格式:DOC
更新时间:2014-08-03
下载次数:0
点击次数:1
实验指导手册 信息安全实验 实验一:网络信息收集与漏洞扫描实验 实验目的 端口扫描:端口扫描攻击是一种探测技术,攻击者可将它用于寻找他们能够成功攻击的服务.连接在网络中的所有计算机都会运行许多使用 TCP 或UDP 端口的服务,而所提供的已定义端口达6000个以上.通常,端口扫描不会造成直接的损失.然而,端口扫描可让攻击者找到可用于发动各种攻击的端口.为了使攻击行为不被发现,攻击者通常使用缓慢扫描、跳跃扫描等技术来躲避检测. 通常进行端口扫描的工具是端口扫描软件,也通称之为"端口扫描器",端口扫描可以提供三个用途:(1)识别目标系统上正在运行的TCP协议和UDP协议服务; (2)识别目标系统的操作系统类型(Windows 9x, Windows NT,或UNIX,等);(3)识别某个应用程序或某个特定服务的版本号.本实验以广泛使用的端口扫描软件—SuperScan为例进行说明. 通过本实验,要求学员掌握以下技能: 1、 学习端口扫描基本原理,掌握信息收集的方法 2、 理解端口扫描技术在网络攻防中的作用 3、 熟练掌握网络扫描工具SuperScan的使用 实验工具简介 SuperScan是每个网络管理员必须具备的几种工具之一,作为安全审核工具包的一部分. SuperScan具有以下功能:(1)通过Ping来检验IP是否在线;(2)IP和域名相互转换;(3)检验目标计算机提供的服务类别;(4) 检验一定范围目标计算机的是否在线和端口情况;(5)工具自定义列表检验目标计算机是否在线和端口情况;(6)自定义要检验的端口,并可以保存为端口列表文件;(7)软件自带一个木马端口列表trojans.lst,通过这个列表我们可以检测目标计算机是否有木马;同时,我们也可以自己定义修改这个木马端口列表. SuperScan4.0是免费的,学员可以在如下地址下载: http://www.foundstone.com/index.htm?subnav=resources/navigation.htm&subcontent=/resources/proddesc/superscan.htm?(当然也可去其它软件网站下载汉化版,为方便学员学习,在讲解过程中使用汉化版) 实验原理 "端口扫描"通常指用同一信息对目标计算机的所有所需扫描的端口进行发送,然后根据返回端口状态来分析目标计算机的端口是否打开、是否可用."端口扫描"行为的一个重要特征是:在短时期内有很多来自相同的信源地址传向不同的目的地端口的包. 本实验介绍的SuperScan是一款具有TCP connect端口扫描、Ping和域名解析等功能的工具,它通过对指定范围内的IP地址进行ping和端口扫描,进而找到网络中可能的潜在危机,以备施以对策. 实验步骤 将SuperScan解压后,双击SuperScan4.exe,开始使用. 关于扫描(Scan) 打开主界面,默认为扫描(Scan)菜单,允许学员输入一个或多个主机名或IP范围.学员也可以选文件下的输入地址列表.输入主机名或IP范围后开始扫描,点,SuperScan开始扫描地址,如下图A.? 图1 SuperScan允许学员输入要扫描的IP范围 扫描进程结束后,SuperScan将提供一个主机列表,关于每台扫描过的主机被发现的开放端口信息.SuperScan还有选择以HTML格式显示信息的功能.如图B.? 图2 SuperScan显示扫描了哪些主机和在每台主机上哪些端口是开放的 2.关于主机和服务器扫描设置(Host?and?Service?Discovery) 到目前为止,从以上的例子,学员已经能够从一群主机中执行简单的扫描,然而,很多时候需要学员定制扫描.如图C上看到的"主机和服务器扫描设置"选项.这个选项让学员在扫描的时候看到的更多信息.? 图3 "主机和服务器扫描设置"决定具体哪些端口被扫描 在菜单顶部是"查找主机项"(Host?Discovery).默认的,发现主机的方法是通过"回显请求"(echo?requests).通过选择和取消各种可选的扫描方式选项,学员也能够通过利用"时间戳请求"(timestamp),"地址掩码请求"(address?mask?requests)和"信息请求"(information?requests)来发现主机.紧记,学员选择的选项越多,那么扫描用的时间就越长.如果学员正在试图尽量多的收集一个明确的主机的信息,建议学员首先执行一次常规的扫描以发现主机,然后再利用可选的请求选项来扫描.? 在菜单的底部,包括"UDP端口扫描"和"TCP端口扫描"项.通过屏幕的截图,注意到SuperScan最初开始扫描的仅仅是那几个最普通的常用端口.原因是有超过65000个的TCP和UDP端口.若对每个可能开放端口的IP地址,进行超过130000次的端口扫描,那将需要多长的时间.因此SuperScan最初开始扫描的仅仅是那几个最普通的常用端口,但给学员扫描额外端口的选项. 注意:红框中的扫描类型应选择"直接连接"(connect),SYN只是发送SYN包,为了扫描本地系统和扫描到TCP端口信息,应采用可以建立三次握手协议的connect方式. 3.关于扫描选项(Scan?Options) 扫描选项,如图D所示,允许进一步的控制扫描进程.菜单中的首选项是定制扫描过程中主机和通过审查的服务数.1是默认值,一般来说足够了,除非学员的连接不太可靠.? 图4 在"扫描选项"中,能够控制扫描速度和通过扫描的数量 "扫描选项"中的接下来的选项,能够设置主机名解析的数量.同样,数量1足够了,除非学员的连接不可靠. 另一个选项是"获取标志"(Banner?Grabbing)的设置,"获取标志"是根据显示一些信息尝试得到远程主机的回应.默认的延迟是8000毫秒,如果学员所连接的主机较慢,这个时间就显的不够长.? 旁边的滚动条是"扫描速度"调节选项,能够利用它来调节SuperScan在发送每个包所要等待的时间.最快的可能扫描,当然是调节滚动条为0.可是,扫描速度设置为0,有包溢出的潜在可能.如果学员担心由于SuperScan引起的过量包溢出,学员最好调慢SuperScan的速度.? 4.关于工具(Tools)选项 SuperScan的"工具选项"(Tools)是SuperScan很不错的部分.它允许学员很快的得到许多关于一个明确的主机信息.正确输入主机名或者IP地址和默认的连接服务器,然后点击学员要得到相关信息的按纽.如,学员能ping一台服务器,或traceroute,和发送一个HTTP请求.图E显示了得到的各种信息.? 图5 能够通过点选不同的按纽,收集各种主机信息 5.关于Windows枚举选项(Windows?Enumeration) 最后的功能选项是Windows枚举选项,就象学员大概猜测的一样,如果学员设法收集的信息是关于Linux/UNIX主机的,那这个选项是没什么用的.但若学员需要Windows主机的信息,它确实是很方便的.如图F所示,能够提供从单个主机到用户群组,再到协议策略的所有信息.这个选项给人的最深刻的印象是它产生大量的透明信息.? 图6 Windows枚举选项能够产生关于Windows主机的大量信息 实验注意事项 因为SuperScan有可能引起网络包溢出,所以Foundstone站点声明某些杀毒软件可能识别SuperScan是一款拒绝服务攻击(Dos)的代理.SuperScan4.0只能在Windows?XP或者Windows?2000上运行.需要管理员权限才能运行此软件.不能运行在Windows95/98/ME上.但对一些老版本的操作系统,可以下载SuperScan3.0版. 实验二:木马查杀工具的使用 实验目的和要求 木马,也称为后门,英文叫做"Trojan house",是一种基于远程控制的黑客工具,木马的特性一般有:①包含于正常程序中,当用户执行正常程序时,启动自身,在用户难以察觉的情况下,完成一些危害用户的操作,具有隐蔽性②具有自动运行性③具有自动恢复功能.④能自动打开特别的端口.⑤包含具有未公开且可能产生危险后果的功能和程序.木马一般有两个程序组成:一个是服务器程序,一个是控制器程序.当你的计算机运行了服务器程序后,恶意攻击者可以使用控制器程序进入你的计算机,通过指挥服务器程序达到控制你的计算机的目的.黑客可以利用它锁定你的鼠标、记录你的键盘按键、窃取你的口令屡屡拉、浏览及修改你的文件、修改注册表、远程关机、重新启动等等功能.所以,查杀木马是网络安全的一项重要内容. 通过本实验,要求学员掌握以下技能: 学会使用反黑精英(Anti Trojan Elite)通过网络查看TCP和UDP的连接状态. 学会通过对计算机系统的网络状态进行监控来查找列表中的木马,对木马进行有效的查杀. 学会使用Trojan Ender IE的修复、进程管理和系统优化等功能. 实验工具和原理 反黑精英(Anti Trojan Elite) 是一个可以工作于Windows 98/ME/2000/XP操作环境下的网络安全工具,程序可以快速的清除系统中恶意或者黑客程序、后门,包含各种木马程序、间谍程序和键盘记录程序等. 反黑精英(Anti Trojan Elite) 通过对内存的扫描,杀死不占进程的木马;通过经常升级更新木马数据库,可实现对硬盘、内存等各种存储设备中的木马进行有效的查杀;通过对计算机网络状态进行监控可以详细的列出协议类型、本地IP、本地端口、进程ID等信息,发现木马程序进行查杀. 实验步骤 1、强大的木马查杀功能 在网上很多网站都可以下载Trojan Ender软件,该软件的安装也很容易.安装Trojan Ender后,首先要对语言进行设置.因为该软件默认的是英文,此外它还支持繁体中文和简体中文.运行Trojan Ender主程序,在主程序窗口种选择菜单项"工具"|"预演"|Simple Chinese(简体中文版),这样程序操作界面就变成中文了. 木马查杀功能是该软件的最基本的功能,它可以对硬盘、内存等各种存储设备中的木马进行有效的查杀.该软件的查杀操作界面非常简洁(如图所示),只要钩选其中相应的查杀选项,如进程内存、硬盘盘符等,然后单击"扫描"按钮,就可以对内存和硬盘中的木马进行查杀.但一定要注意经常升级木马数据库,这样才能查杀最新的木马.Trojan Ender支持在线升级,选择菜单项"工具"|"在线升级",就可以自动完成程序和木马数据库的更新.另外,查杀木马要以预防为主,Trojan Ender木马监控器一定要随时打开. 图7 Trojan Ender操作界面 2、网络状态监控功能 Trojan Ender还提供网络状态监控功能.网络是木马传播感染的媒介,没有网络媒介木马就难以生存,因此对计算机系统的网络状态进行监控是非常有效的木马防范手段. 选择"工具"|"网络连接",在弹出的Network State窗口中(如图所示)会看到系统中所有进程的网络状态都在其中,而且它是在网络层对系统进程进行监控.监控信息非常详细,不管木马使用的是TCP协议还是UDP协议,木马端口号是某一固定端口号还是若干个可变的端口号,只要木马在系统中运行,Trojan Ender都可以进行监控,并能详细的列出协议类型、本地IP、本地端口、进程ID等信息.一旦发现列表中有木马存在,应该立刻选中该木马选项,然后单击"断开选中连接"按钮和"终止选中连接所对应的进程"按钮,最后在使用Trojan ender对系统中的木马进行查杀. 图8 网络连接监视窗口 3、IE修复功能 很多木马利用Web技术潜在网页中进行传播,在用户使用IE浏览器浏览含有恶意木马代码的网页同时,木马已经悄悄的潜入到用户的系统中,并修改用户的IE浏览器注册表的相关选项.手工恢复IE浏览器非常麻烦,使用Trojan Ender就很容易做到. 选择"工具"|"IE修复",弹出如图所示的IERepair窗口.在"IE修复选项"栏中,钩选想要修复的IE参数选想,然后单击"恢复"按钮即可. 另外,IERepair还可以删除IE右键菜单项,在"IE右键菜单"列表框中选中想删除的右键选项,然后单击"删除"按钮即可. 图9 IE修复窗口 4、进程管理 如今,木马的隐藏技术越来越高,很多木马采用DLL技术把木马功能压缩在DLL文件中,它自身不能直接运行,需要系统进程进行调用,及时发现了木马的存在也很难终止其运行. 在主界面,单击"工具"|"进程管理",再如图所示的Process窗口的进程列表框中,选中调用DLL木马的进程,然后在下面的模块名列表框中,找到DLL木马模块,然后单击"卸载选中DLL模块"按钮,这样就中止了DLL木马文件的调用,在使用木马查杀功能查杀DLL木马或手工删除这些DLL木马文件即可. 图10 进程管理器窗口 5、系统优化功能 很多Internet用户的系统默认设置是很不合理的,而且存在很多安全隐患.用户可在"系统优化"窗口中,单击相应的优化选项按钮,重启操作系统后,就可以完成优化设置.如果想把系统还原到原来的状态也很简单,单击"还原设置到使用软件前"按钮,在重启系统即可. 软件实验 实验一:DHCP服务器的安装、配置和管理(选做) 实验简介 通过对安装、配置和管理DHCP服务,理解DHCP的工作原理,掌握建立和管理DHCP服务器的方法. 实验目的 安装DHCP服务器 建立作用域 设置客户端,通过DHCP获取IP地址 实验步骤 DHCP服务器的安装 运行控制面板→添加或删除程序→添加/删除Windows组件; 在"组件"列表中双击"网络服务",在"网络服务的子组件"列表中勾选"动态主机配置协议(DHCP)",依次单击"确定/下一步"按钮. 建立作用域 运行"开始"→"管理工具"→"DHCP",打开"DHCP"控制台窗口; 鼠标右击DHCP服务器名称,执行"新建作用域"命令,打开"新建作用域向导"对话框,单击"下一步"按钮; 在"作用域名"页中.在"名称"编辑框中输入作用域名和一段描述性信息,单击"下一步"按钮; 在"IP地址范围"页中,分别在"起始IP地址"和"结束IP地址"编辑框中键入已经确定好的起止IP地址,单击"下一步"按钮; 在"添加排除"页中,指定需要排除的IP地址或IP地址范围.在"起始IP地址"编辑框中键入排除的IP地址并单击"添加"按钮,并可以重复操作.单击"下一步"按钮; 在 "租约期限"页中,设置客户端获取IP地址的使用期限,默认为8天.如果没有特殊要求保持默认值不变,单击"下一步"按钮; 在"配置DHCP选项"页,选中"是,我想现在配置这些选项"单选框,单击"下一步"按钮. 在"路由器(默认网关)"页中,键入网关地址,并单击"添加"按钮; 在"激活作用域"页中,选中"是,我想现在激活此作用域"单选框,并依次单击"下一步"→"完成"按钮完成配置. 客户端配置 在客户机上右击"网上邻居"图标,并执行"属性"命令; 右击"本地连接"图标并执行"属性"命令,打开"本地连接 属性"对话框; 双击"Internet协议(TCP/IP)"选项,选中"自动获得IP地址"单选框,并依次单击"确定"按钮. 在"命令提示符"窗口中,运行"ipconfig -all"命令,查看获得的IP 地址 实验注意事项 DHCP服务器的安装环境是Windows Server 2000或Windows Server2003. 实验二:DNS服务器的安装、配置和管理(选做) 实验简介 通过对安装、配置和管理DNS服务,理解DNS的工作原理,掌握建立和管理DNS服务器的方法. 实验目的 安装DNS服务器 建立域 建立服务器域名 解析器配置 实验步骤 DNS服务器的安装 运行控制面板→添加或删除程序→添加/删除Windows组件; 在"组件"列表中双击"网络服务",在"网络服务的子组件"列表中勾选"域名系统 (DNS)",依次单击"确定/下一步"按钮. 建立域 运行"开始"→"管理工具"→"DNS",打开"DNS"控制台窗口; 鼠标右击DNS服务器名称,选择"配置服务器",打开"配置DNS服务器向导"对话框,选择"创建正向查找区域",单击"下一步"按钮; 在"主服务器位置"页中,选择"由这台服务器维护该区域",单击"下一步"按钮; 在"区域名称"页中,在名称框中输入用户需要解析的域名,如"abc.com".单击"下一步"按钮; 在"区域文件"页中,系统默认将把域名后在加上一个".DNS"作为文件名,保持默认值不变,单击"下一步"按钮; 在"动态更新"页中,选择"不允许动态更新",单击"下一步"按钮; 在"反向查找区域"页中.选择"创建反向查找区域",这样就允许根据IP地址反向查询相关的主机名.单击"下一步"; 在"反向查找区域名称"页中,输入反向域名名称.注意反向域名的顶级域名为:in-addr.arpa,IP地址为192.128.20.0的反向域名名称为"20.168.192.in-addr.arpa",单击"下一步"; 在"区域文件"页中,保持默认值不变,单击"下一步"按钮,直至完成. 建立服务器域名 在DNS管理控制窗口中,右击"abc.com",选择"新建主机"、"新建别名"、"新建邮件交换器",分别建立主机对应的IP地址、别名和邮件交换地址 解析器配置 在客户机上右击"网上邻居"图标,并执行"属性"命令; 右击"本地连接"图标并执行"属性"命令,打开"本地连接 属性"对话框; 双击"Internet协议(TCP/IP)"选项,在DNS服务器地址中输入刚建立的DNS服务器的IP地址,并依次单击"确定"按钮. 实验注意事项 DNS服务器的安装环境是Windows Server 2000或Windows Server2003. DNS服务器一定要有固定的IP地址. 实验三:WWW服务器的安装、配置和管理 实验简介 通过对安装、配置和管理WWW服务,理解WWW的工作原理,掌握建立和管理WWW服务器的方法. 实验目的 安装IIS 修改网站属性 建立虚拟目录 实验步骤 IIS服务器的安装 运行控制面板→添加或删除程序→添加/删除Windows组件; 在组件列表里,选择"Web应用程序服务器",单击"详细信息",选择"Internet信息服务(IIS)",然后单击"详细信息",查看IIS可选组件列表,选择公共文件、FrontPage 2002 Server Extentions、Internet信息服务管理单元、Internet信息服务管理器、World Wide Web服务等组件.依次单击"确定/下一步"按钮. 修改网站属性 运行"开始"→"管理工具"→" Internet 信息服务",打开IIS控制台窗口; 左窗格中用鼠标右键单击"ServerName(本地计算机)→网站→默认网站".在弹出的菜单中执行"属性"命令,修改默认网站属性.在"网站"窗口中,修改TCP端口为8080;在"主目录"窗口中,设定本地路径为本地硬盘的任意非空目录;,并选中"读取"和"目录访问"权限.点击"确定"按钮. 用浏览器访问http://服务器IP:8080,检验修改结果. 建立虚拟目录 左窗格中用鼠标右键单击"ServerName(本地计算机)→网站→默认网站".在弹出的菜单中执行"新建→虚拟目录"命令,弹出"虚拟目录创建向导"对话框,点击"下一步"按钮; 在"虚拟目录别名"页中,输入虚拟目录的名字,点击"下一步"按钮; 在"网站内容目录"页中,输入要发布到Web站点的内容的目录路径,点击"下一步"按钮; 在"访问权限"页中,为此目录设置访问权限,点击"下一步"按钮,直至完成; 用浏览器访问http://服务器IP:网站端口/虚拟目录名,检验结果. 实验注意事项 以上步骤是在Windows XP环境下完成的,如果需要更强的功能,需要在Windows Server 2000或Windows Server 2003环境下实现. 要确保网站服务的端口没有被其他服务占用. 实验四:BT服务器的安装、配置和使用(选做) 实验简介 通过对安装和配置BT服务器软件,掌握建立和管理BT服务器的方法;通过制作种子、上传种子、下载种子、下载文件等操作,实现资源的交流和共享. 实验目的 安装和配置BT服务器 制作种子并上传种子 下载种子并下载资源 实验步骤 BT服务器的安装 运行33159_ddooo.exe 点击"管理服务"窗口中的"一键安装服务器" BT服务器的配置和管理 用户权限控制:"系统设置"窗口 修改下载分类:"目录设置"窗口 维护种子:管理员帐号登录,点击"删除" 上传 注册普通用户:http://127.0.0.1:6969 用BitComet制作种子,上传种子,开始上传任务 下载 下载种子 用BitComet下载文件 实验注意事项 在制作种子时,Tracker服务器的地址设置为:udp://BT服务器的IP地址:6969/announce 种子上传后,保持客户端的BitComet的运行状态,并保证种子处于允许下载的状态. 实验五:Email服务器的安装、配置和使用 实验简介 建立电子邮件服务器,在同一台邮件服务器上实现多邮件域,实现用户管理、邮件管理以及邮件收发.通过邮件过滤规则的制定,了解邮件网关的功能和作用. 实验目的 安装电子邮件服务器 域和用户的管理 收发邮件 邮件过滤 实验步骤 安装: 下载IT168.com-7605winmail43_0302.exe,该软件可以从教学网站中下载; 运行该软件,按照默认值点击"下一步"; 在"密码设置"窗口,输入"管理工具的登录密码"和"系统邮箱postmaster的密码",这两个密码要记住,在以后登录邮件管理系统的时候要使用; 在"安装完成"窗口,选择"现在就启动Winmail Mail Server"; 在"快速设置向导"窗口,输入要建立的邮箱"abc"和邮件域"test.com",并输入密码,点击"设置"按钮,最后点击"关闭"按钮. 域和用户的管理 运行桌面上的"Magic Winmail管理端工具",在打开的"连接服务器"窗口中,输入安装时设置的管理员密码,点击"确定"按钮; 在管理窗口左侧的目录树中,点击"域名设置→域名管理",点击"新增"按钮; 在"基本参数"窗口中,输入新建域的域名和描述,其他信息保持默认值; 在"邮箱默认容量"窗口,设置本域下邮箱默认容量为"100M",本域下邮箱默认邮件数为"1000",点击"确定"按钮; 在管理窗口左侧的目录树中,点击"用户和组→用户管理",在右侧窗口上方的"域名"下拉列表框中选择刚建立的"stu.com"域,点击"新增"按钮; 在"基本设置"窗口中,输入用户名、真实姓名和密码信息,其他信息保持默认值,点击"下一步"; 点击"下一步",直至完成. 收发邮件 使用浏览器访问http://127.0.0.1:6080,分别用安装时建立的abc@test.com和刚刚建立的xyz@stu.com登录,并互相收发邮件. 邮件过滤 在管理窗口左侧的目录树中,点击"系统设置"→"邮件过滤",点击"新增"按钮; 在"新增邮件过滤规则"窗口中,输入规则名称,过滤关键字选择"主题";过滤类型选择"包含(不区分大小写)";过滤内容输入"test",选择"丢弃此邮件"动作,表示删除标题包含"test"的邮件.点击"确定"按钮; 采用同样的方法增加其他过滤规则; 以abc@test.com用户给xyzstu.com发送一封标题包含"test"的邮件,检查是否能收到邮件. 实验六:Blog服务器的安装和使用 实验简介 通过安装和管理Blog服务器软件,掌握如何在IIS下设置PHP的运行环境、安装和管理Mysql数据库以及Blog服务器软件的设置和管理. 实验目的 在IIS下设置PHP的运行环境 安装并管理Mysql数据库 安装Blog服务器软件 实验步骤 软件下载 从教学网站上下载php-4.4.4-Win32.zip; 从教学网站上下载MYSQL3.23.46a_win.rar; 从教学网站上下载blog.zip. 在IIS下安装PHP 将php-4.4.4-Win32.zip解到c:\php 将c:\php目录下的php.ini-recommended放到c:\windows目录下,并改名为php.ini; 修改c:\windows\php.ini,将extension_dir = "./"改为 extension_dir="c:\php\extensions" 将c:\php、c:\php\dlls下的所有dll文件复制到c:\windows\system32文件夹下.或者修改环境变量,在Path后追加";c:\php;c:\php\dlls" 运行iis,打开默认网站的属性窗口. 选择"ISAPI筛选器",按"添加",在弹出的窗口中,筛选器名称输入"php",可执行文件输入"c:\php\sapi\php4isapi.dll"; 选择"主目录",按"配置"按钮,按"添加",可执行文件选"c:\php\sapi\php4isapi.dll",文件扩展名为".php";设置"执行权限"为"纯脚本". 网站执行权限为"纯脚本" MySql的安装和设置 双击从教学网站上下载的MYSQL3.23.46a_win.rar,安装MYSQL数据库.选择安装目录为c:\mysql; 启动 进入"命令提示符"工作模式 在c:\mysql\bin下运行: c:\mysql\bin\mysqld-nt -install 运行"程序→管理工具→服务",启动"MySql"服务 建立数据库 在"命令提示符"工作模式下,在c:\mysql\bin下运行:mysql 在MySql环境下运行:create database blog Blog的安装和设置 解包blog.zip到c:\blog 在IIS中建立名为blog的虚拟目录,对应的实际文件夹是c:\blog\upload,虚拟目录的权限为"纯脚本",设置默认文档为index.php; 在浏览器中运行http://localhost/blog/install.php,安装blog; 在浏览器中运行http://localhost/blog/admin.php,管理Blog服务.点击"网站核心设置→网站基本设置",修改博客地址中的"localhost"为本级的IP地址. 在浏览器中运行http://localhost/blog,访问自己的Blog服务 实验注意事项 MySql环境下所有的命令后面都要加";" 确保"MySql"服务已经启动; 网络技术实验 网络技术实验介绍:本实验指导包括四部分实验内容.第一部分为网线的制作,包括实验一;第二部分为常见网络命令介绍,包括实验二;第三部分为路由器的相关实验,包括实验三,实验四,实验五;第四部分为交换机的相关实验,包括实验六,实验七.必做实验包括网线制作、常用网络基本命令、静太路由配置、以太端口汇聚,其余实验为选做实验. 实验一:网线制作(必做实验) 实验简介 了解双绞线的结构,动手做线. 实验目的 每位同学动手做网线,用测线器检查应通过. 实验注意事项 注意做线时线的顺序.双绞线的两种线序(T568A,T568B) T568A的线序是:白绿、绿、白橙、蓝、白蓝、橙、白棕、棕. T568B的线序是:白橙、橙、白绿、蓝、白蓝、绿、白棕、棕. 直通线:T568B-T568B 交叉线:T568A-T568B 实验二:常用网络基本命令(必做实验) 实验目的 掌握如何为PC配置IP地址 掌握如何使用IPCONFIG命令验证PC的网络配置 掌握如何使用PING命令验证目标主机的连通性 掌握如何使用TRACERT命令跟踪目标主机路由 掌握如何使用NETSTAT命令查询主机当前网络连接 掌握如何使用TELNET命令验证目标主机端口开放情况 掌握如何使用NSLOOKUP命令进行域名查询 掌握如何使用路由器上的Ping命令 实验命令 IPCONFIG---IP地址相关配置查询命令 PING---网络连通性测试命令 TRACERT---路由跟踪命令 NETSTAT---网络连接查询命令 TELNET---远程登录命令 NSLOOKUP---域名查询命令 实验环境 图11 Tracert命令实验网络结构图 实验步骤 为PC配置IP地址、子网掩码、网关和DNS 为PC配置正确的IP地址及相关参数. 第一,点击开始->控制面板->网络连接->网卡. 图12 第二,点击属性按钮. 图13 第三,选择TCP/IP协议,选择属性. 图14 第四,配置IP地址、子网掩码、网关、DNS. 图15 第五,验证PC的IP地址及相关参数配置 使用IPCONFIG命令查询主机的网络配置 图16 使用PING命令验证目标主机的连通性 使用PING命令测试连通性 C:\Documents and Settings\Administrator>ping www.163.com Pinging www.cache.split.netease.com [202.108.9.38] with 32 bytes of data: Reply from 202.108.9.38: bytes=32 time=3ms TTL=56 Reply from 202.108.9.38: bytes=32 time=1ms TTL=56 Reply from 202.108.9.38: bytes=32 time=1ms TTL=56 Reply from 202.108.9.38: bytes=32 time=2ms TTL=56 Ping statistics for 202.108.9.38: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 1ms, Maximum = 3ms, Average = 1ms 使用PING命令对目标主机PING 1000字节数据包 C:\Documents and Settings\Administrator>ping -l 1000 www.163.com Pinging www.cache.split.netease.com [202.108.9.33] with 1000 bytes of data: Reply from 202.108.9.33: bytes=1000 time=3ms TTL=56 Reply from 202.108.9.33: bytes=1000 time=7ms TTL=56 Reply from 202.108.9.33: bytes=1000 time=3ms TTL=56 Reply from 202.108.9.33: bytes=1000 time=6ms TTL=56 Ping statistics for 202.108.9.33: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 3ms, Maximum = 7ms, Average = 4ms 使用PING命令对目标主机连续PING 10次C:\Documents and Settings\Administrator>ping -n 10 www.163.com Pinging www.cache.split.netease.com [202.108.9.33] with 32 bytes of data: Reply from 202.108.9.33: bytes=32 time=1ms TTL=56 Reply from 202.108.9.33: bytes=32 time=1ms TTL=56 Reply from 202.108.9.33: bytes=32 time=1ms TTL=56 Reply from 202.108.9.33: bytes=32 time=6ms TTL=56 Reply from 202.108.9.33: bytes=32 time=3ms TTL=56 Reply from 202.108.9.33: bytes=32 time=3ms TTL=56 Reply from 202.108.9.33: bytes=32 time=2ms TTL=56 Reply from 202.108.9.33: bytes=32 time=5ms TTL=56 Reply from 202.108.9.33: bytes=32 time=4ms TTL=56 Reply from 202.108.9.33: bytes=32 time=2ms TTL=56 Ping statistics for 202.108.9.33: Packets: Sent = 10, Received = 10, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 1ms, Maximum = 6ms, Average = 2ms 使用PING命令持续PING目标主机,使用Ctrl-C结束 C:\Documents and Settings\Administrator>ping -t www.163.com Pinging www.cache.split.netease.com [202.108.9.33] with 32 bytes of data: Reply from 202.108.9.33: bytes=32 time=5ms TTL=56 Reply from 202.108.9.33: bytes=32 time=5ms TTL=56 Reply from 202.108.9.33: bytes=32 time=2ms TTL=56 Reply from 202.108.9.33: bytes=32 time=3ms TTL=56 Reply from 202.108.9.33: bytes=32 time=2ms TTL=56 Reply from 202.108.9.33: bytes=32 time=2ms TTL=56 Reply from 202.108.9.33: bytes=32 time=7ms TTL=56 Reply from 202.108.9.33: bytes=32 time=7ms TTL=56 Reply from 202.108.9.33: bytes=32 time=5ms TTL=56 Reply from 202.108.9.33: bytes=32 time=7ms TTL=56 Reply from 202.108.9.33: bytes=32 time=8ms TTL=56 Reply from 202.108.9.33: bytes=32 time=7ms TTL=56 Reply from 202.108.9.33: bytes=32 time=7ms TTL=56 Ping statistics for 202.108.9.33: Packets: Sent = 13, Received = 13, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 2ms, Maximum = 8ms, Average = 5ms Control-C ^C 使用TRACERT命令跟踪目标主机路由 C:\Documents and Settings\Administrator>tracert -d www.163.com Tracing route to www.cache.split.netease.com [202.108.9.33] over a maximum of 30 hops: 1 <1 ms <1 ms <1 ms 58.135.192.62 2 <1 ms <1 ms <1 ms 211.153.251.97 3 186 ms 190 ms 198 ms 211.153.5.22 4 177 ms 172 ms 167 ms 61.148.82.89 5 1 ms 1 ms 1 ms 61.148.3.5 6 1 ms 1 ms 1 ms 61.148.143.26 7 9 ms 9 ms 8 ms 210.74.176.194 8 7 ms 6 ms 7 ms 202.108.9.33 Trace complete. 使用NETSTAT检查PC当前的网络连接 C:\Documents and Settings\Administrator>netstat -an Active Connections Proto Local Address Foreign Address State TCP 0.0.0.0:25 0.0.0.0:0 LISTENING TCP 0.0.0.0:80 0.0.0.0:0 LISTENING TCP 0.0.0.0:135 0.0.0.0:0 LISTENING TCP 0.0.0.0:445 0.0.0.0:0 LISTENING TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING TCP 0.0.0.0:1027 0.0.0.0:0 LISTENING TCP 0.0.0.0:1028 0.0.0.0:0 LISTENING TCP 0.0.0.0:1029 0.0.0.0:0 LISTENING TCP 0.0.0.0:1433 0.0.0.0:0 LISTENING TCP 0.0.0.0:3389 0.0.0.0:0 LISTENING TCP 0.0.0.0:8080 0.0.0.0:0 LISTENING TCP 0.0.0.0:8888 0.0.0.0:0 LISTENING TCP 0.0.0.0:56737 0.0.0.0:0 LISTENING TCP 0.0.0.0:56738 0.0.0.0:0 LISTENING TCP 58.135.192.57:139 0.0.0.0:0 LISTENING TCP 58.135.192.57:1433 58.135.192.57:2125 ESTABLISHED TCP 58.135.192.57:1433 58.135.192.57:2134 ESTABLISHED 使用NSLOOKUP命令查询域名 C:\Documents and Settings\Administrator>nslookup Default Server: ns.bjedu.gov.cn Address: 202.106.116.1 > www.bjedu.gov.cn Server: ns.bjedu.gov.cn Address: 202.106.116.1 Name: www.bjedu.gov.cn Addresses: 211.153.19.129, 211.153.32.1 > server 202.106.116.1 Default Server: ns.bjedu.gov.cn Address: 202.106.116.1 > set querytype=mx > mail.bjedu.gov.cn Server: ns.bjedu.gov.cn Address: 202.106.116.1 mail.bjedu.gov.cn canonical name = server-ii.bjedu.gov.cn bjedu.gov.cn primary name server = ns.bjedu.gov.cn responsible mail addr = administrator.bjedu.gov.cn serial = 7 refresh = 3600 (1 hour) retry = 600 (10 mins) expire = 604800 (7 days) default TTL = 3600 (1 hour) > > set querytype=ptr > 202.106.116.1 Server: ns.bjedu.gov.cn Address: 202.106.116.1 1.116.106.202.in-addr.arpa name = ns.bjedu.gov.cn 116.106.202.in-addr.arpa nameserver = ns.bjedu.gov.cn ns.bjedu.gov.cn internet address = 202.106.116.1 > 7)使用路由器上的Ping命令(路由命令) (1)实验环境 组网如下图所示.使用2台路由器,串口封装PPP协议,IP地址配置如图所示. 图17 ping命令的一个故障现象示意图 首先如上图所示,正确配置了各个接口的IP地址,然后在RouterA上配置一条指向2.0.0.0/8的静态路由: [RouterA]ip route-static 2.0.0.0 255.0.0.0 1.1.1.2 配置完毕. (2)实验步骤 在RouterA上ping路由器RouterB的以太网地址2.2.2.2,显示无法正常ping通.网络出现故障.我们可以考虑采用分段故障排除法来解决问题. 首先在RouterA上ping路由器RouterB的串口地址,同样也无法ping通.这样我们就把问题定位在路由器之间的网段1.0.0.0/8.对于同一链路问题,我们考虑采用分层故障排除法来解决问题.首先从物理层开始排查故障.在RouterA输入以下命令: [RouterA]display interface serial 0 Serial0 is up, line protocol is up physical layer is synchronous, baudrate is 64000 bps, no cable Maximum Transmission Unit is 1500 Link-protocol is PPP LCP opened, IPCP initial, IPXCP initial, CCP initial, BRIDGECP initial 5 minutes input rate 0.00 bytes/sec, 0.00 packets/sec 5 minutes output rate 0.00 bytes/sec, 0.00 packets/sec Input queue : (size/max/drops) 0/50/0 FIFO queueing: FIFO Output queue: (size/max/drops) FIFO: 0/75/0 input packets:0, bytes:0, no buffers:0 output packets:0, bytes:0, no buffers:0 input errors:0, CRC:0, frame errors:0 overrunners:0, aborted sequences:0, input no buffers:0 DCD=UP DTR=up DSR=UP RTS=up CTS=UP 从输出信息看到,接口已经up,表明物理层没有故障;如果显示为down,表明接口出现硬件故障,或者没有加电. 下面检查数据链路层,显示"line protocol is up","LCP opened,IPCP initial",表明PPP协商的LCP协商已经通过,但是NCP(IPCP)协商仍然处于初始化阶段,没有协商通过.这时我们需要重起路由器串行接口,使协商通过.输入以下命令: [RouterA-Serial0]shutdown % Interface Serial0 is shutdown Interface Serial0 changed state to DOWN [RouterA-Serial0]undo shutdown 再次输入display interface serial 0 命令,显示"LCP opened,IPCP opened". 这时再在RouterA 上ping路由器RouterB 的以太网地址2.2.2.2,显示正常ping通;但是在RouterB上ping路由器RouterA的以太网地址3.3.3.3,却无法ping通.那么原因在那里哪? 首先我们想到由于在RouterB 上没有相应的配置到3.0.0.0/8 路由,所以从RouterB 上ping不通RouterA的以太网口3.3.3.3 .因此需要在RouterB配置到RouterA的静态路由. [RouterB]ip route-static 3.0.0.0 255.0.0.0 1.1.1.1 但是为何在RouterA上可以ping 通2.2.2.2 呢?同样是没有回程路由呀?这时打开路由器RouterA上的IP报文调试开关: [RouterA]debugging ip packet IP: Version = 4, HdrLen = 5, TOS = 0, Total Len = 84 ID = 20737, Offset = 0, TTL = 255, Protocol = 1, Chksum = 0 s = 1.1.1.1, d = 2.2.2.2, if = Serial0, Sending IP: Version = 4, HdrLen = 5, TOS = 0, Total Len = 84 ID = 34138, Offset = 0, TTL = 255, Protocol = 1, Chksum = 18736 s = 2.2.2.2, d = 1.1.1.1, if = Serial0, Received 原来从RouterA上发出的ICMP报文的源地址填写的是1.1.1.1而不是3.3.3.3,由于两台路由器的s0口处于同一网段,所以响应报文可以顺利到达RouterB. (3)建议和总结 排除路由器网络故障时要特别注意广域网接口的状态,查看广域网接口是否工作正常. A能够ping通B则B一定能够ping通A(不考虑防火墙的因素),这句话的对错取决于A和B到底是指主机还是指路由器. 如果是指两台主机,那么这句话就是正确的. 如果是指两台路由器,那就是错误的.因为路由器通常会有多个IP地址.现在就有如下问题:当从一台路由器上执行ping命令它发出的ICMP Echo报文的源地址究竟选择哪一个呢?实际情况是路由器选择发出报文的接口的IP地址,也就是上面的串行接口地址1.1.1.1/8. 实验三:路由器的相关实验----静态路由典型配置举例(必做实验) 实验目的 路由器各接口及主机的IP地址和掩码如下图所示.要求采用静态路由,使图中任意两台主机之间都能互通. 实验要求及组网图 图18 静态路由配置组网图 配置步骤 配置静态路由 # 进入系统视图.