數據通信實習報告 學 院 機電學院 班 級 075092 學 號 20091002028 姓 名 黃浩坤 指導老師 聞兆海 2012 年 6 月 28日 前 言隨著互聯網技術的不斷發展和廣泛應用 ，計算機網絡在現代生活中的作用越來越重要 ，如今 ，個人、企業以及政府部門，國家軍事部門，不管是天文的還是地理的都依靠網絡傳遞信息，這已成為主流 ，人們也越來越依賴網絡。然而 ，網絡的開放性與共享性容易使它受到外界的攻擊與破壞 ，網絡信息的各種入侵行為和犯罪活動接踵而至 ，信息的安全保密性受到嚴重影響。因此 ，網絡安全問題已成為世界各國政府、企業及廣大網絡用戶最關心的問題之一。21世紀全世界的計算機都將通過Internet聯到一起，信息安全的內涵也就發生了根本的變化。它不僅從一般性的防衛變成了一種非常普通的防范，而且還從一種專門的領域變成了無處不在。當人類步入21世紀這一信息社會、網絡社會的時候，我國將建立起一套完整的網絡安全體系，特別是從政策上和法律上建立起有中國自己特色的網絡安全體系。網絡安全技術指致力于解決諸如如何有效進行介入控制，以及何如保證數據傳輸的安全性的技術手段，主要包括物理安全分析技術，網絡結構安全分析技術，系統安全分析技術，管理安全分析技術，及其它的安全服務和安全機制策略。在網絡技術高速發展的今天，對網絡安全技術的研究意義重大，它關系到小至個人的利益，大至國家的安全。對網絡安全技術的研究就是為了盡最大的努力為個人、國家創造一個良好的網絡環境，讓網絡安全技術更好的為廣大用戶服務。 目 錄1 計算機網絡概述 1.什么是計算機網絡 （1）計算機網絡的定義 （2）計算機網絡的基本功能 1）資源共享 2）分布式處理與負載均衡 3）綜合信息服務 2.計算機網絡中的基本概念 （1）局域網，城域網和廣域網 （2）電路交換，報文交換和分組交換 （3）帶寬和延遲 3.OSI參考模型與TCP/IP參考模型 （1）OSI七層參考模型 （2）TCP/IP模型 （3）小結 二.網絡設備 1.路由器 （1）定義 （2）作用 （3）特點 （4）以H3C路由器為例 2.交換機 （1）定義 （2）作用 （3）特點 （4）以H3C交換機為例 3.H3C網絡設備操作系統Comware 三網絡安全技術基礎 1.網絡安全的定義 2.網絡安全的關注范圍 3.網絡安全的關鍵技術 （1）ACL包過濾技術 （2）網絡地址轉換技術 （3）認證，授權和計時 （4）交換機端口安全技術 （5）VPN虛擬私有網技術 （6）終端準入控制實驗一 網絡設備基本操作 1.實驗目的 2.實驗器材設備 3.實驗組網圖 4.實驗過程（1）通過Console口登錄（2）通過Telnet登錄實驗二 RIP 1.實驗目的 2.實驗器材設備 3.實驗組網圖 4.實驗過程實驗三 OSPF 1.實驗目的 2.實驗器材設備 3.實驗組網圖 4.實驗過程總 結 一計算機網絡概述1. 什么是計算機網絡 （1）計算機網絡的定義 計算機網絡，顧名思義是由計算機組成的網絡系統。根據IEEE高級委員會坦尼鮑姆博士的定義：計算機網絡是一組自治計算機互聯的集合。自治是指每個計算機都有自主權，不受別人控制；互聯則是指使用通信介質進行計算機連接，并達到相互通信的目的。通俗地講，計算機網絡就是把分布在不同地理區域的獨立計算機以及專門的外部設備利用通信線路連成一個規模大，功能強的網絡系統，從而使眾多的計算機可以方便地互相傳遞信息，共享信息。其結構圖模型如下圖所示： （2） 計算機網絡的基本功能 1）資源共享 資源分為軟件資源和硬件資源。軟件資源包括形式多樣的數據，如數字信息，消息，聲音，圖像等；硬件資源包括各種設備，如打印機，FAX,MODEM等。網絡的出現使資源共享變得簡單，交流的雙方可以跨越時空的障礙，隨時隨地傳遞信息，共享資源。 2）分布式處理與負載均衡 通過計算機網絡，海量的處理任務可以分配到分散在全球各地的計算機上。例如，一個大型ICP網絡訪問量相當之大，為了支持更多的用戶訪問其網站，在全世界多個地方部署了相同內容的WWW服務器；通過一定技術使不同地域的用戶看到放置在離他最近的服務器上的相同頁面，這樣可以實現各服務器的負荷均衡，并使得通信距離縮短。 3）綜合信息服務網絡發展的趨勢是應用日益多元化，即在一套系統上提供集成的信息服務，如圖像，語音，數據等。在多元化發展的趨勢下，新形勢的網絡應用不斷涌現，如電子郵件，IP電話，視頻點播，網上交易，視頻會議等。 2,計算機網絡的基本概念 （1） 局域網，城域網和廣域網 局域網: 通常指幾千米以內的，可以通過某種介質互聯的計算機、打印機、modem或其 他設備的集合。傳統局域網的傳輸速度為10Mbps-100Mbps，傳輸延遲低，出錯率低。而新的局域網傳輸速度可超過1Gbps。城域網：覆蓋范圍為中等規模，介于局域網和廣域網之間，通常是在一個城市內的網絡連接（距離為10KM左右）。城域網作為本地公共信息服務平臺的組成部分，負責承載各種多媒體業務，為用戶提供各種接入方式，滿足政府部門，企事業單位，個人用戶對基于IP的各種多媒體業務的需求。廣域網：分布距離遠，它通過各種類型的串行連接以便在更大的地理區域內實現接入。它包含復雜的互連設備處理其中的管理工作，互連設備通過通信鏈路連接，構成網狀結構。其中，入網站點只負責數據的收發工作；互連設備負責數據包的路由等重要管理工作。(2) 電路交換，報文交換和分組交換電路交換：電路交換是電話通信網中使用的一種交換信息的方式。 通信前，先建立路由，并且一直保持占用該路由，直到通話完畢，拆除路由為止，這樣的一種交換方式稱為電路交換。電路交換的優點有：信息傳輸時延小，透明傳輸，信息傳輸的吞吐量大，無差錯控制。缺點為：所占帶寬固定，網絡資源利用率低，有呼損。報文交換：用于電報網中，終端信息+目的地址+源地址 形成報文送交換機存儲。與電路交換的原理不同，不需要預先提供通信雙方的物理連接，而是交換機將接收的報文先暫時存儲，待路由空閑時再轉發，直至到達終端。優點有：電路利用率高，不同速率、碼型的終端可互通；缺點為：存儲器容量大，傳輸時延大。分組交換：終端信息分割成若干個比較短的、規格化了的的分組，每個分組加上地址、控制信息、順序信息后，再采用存儲轉發的方式傳送。根據交換機對分組的不同的處理方式，分組交換可以提供兩種數據傳輸方式：數據報方式和虛電路方式。分組交換的優點：可靠性高，采用統計復用，網絡資源利用率高，為不同速率、代碼的數據終端之間的通信提供靈活的通信環境；缺點：時延，技術實現復雜。（3） 帶寬和延遲 帶寬：描述在一定時間范圍內能夠從一個節點傳送到另一個節點的數據量。通常以bps 為單位，例如以太網帶寬為10Mbps，快速以太網為100Mbps。 延遲：又稱時延，描述網絡上數據從一個節點傳送到另一個節點所經歷的時間。主要由傳播時延，交換時延，介質訪問延遲和隊列延遲等組成。3. OSI參考模型與TCP/IP模型 （1) OSI七層參考模型 為了解決網絡之間的兼容性問題，實現網絡設備間的相互通信，ISO于1984年提出了OSI參考模型。它說明了網絡的架構體系和標準，并描述了網絡中信息是如何傳輸的。多年以來，OSI模型極大地促進了網絡通信的發展，也充分體現了為網絡軟件和硬件的實施標準化做出的努力。 OSI參考模型自下而上分為七層，分別是：物理層，數據鏈路層，網絡層，傳輸層，會話層，表示層，應用層。如下圖所示：在OSI參考模型中，終端主機的每一層都與另一方的對等層進行通信，但這種通信并非直接進行的，而是通過下一層為其提供的服務來間接與對端的對等層交換數據。下一層通過服務訪問點SAP為上一層提供服務。為了保證對等層之間能夠準確無誤地傳遞數據，對等層之間應運行相同的網絡協議。如下圖所示： 封裝是指網絡節點將要傳送的數據用特定的協議打包后傳送。多數協議是通過在原有數據之前加上封裝頭來實現封裝的，一些協議還要在數據之后加上封裝尾，而原有數據此時便成為載荷。在發送方，OSI七層模型的每一層對上層數據進行封裝，以保證數據能夠正確無誤地到達目的地；而在接收方，每一層又對本層的封裝數據進行解封裝，并傳送給上層，以便數據被上層所理解。其過程如下圖所示：（2）TCP/IP模型 OSI參考模型的誕生為清晰地理解互聯網絡，開發網絡產品和網絡設計等帶來了極大的方便。但是OSI過于復雜，效率較低，再加上OSI提出時，TCP/IP協議已逐漸占據主導地位，所以它已成為“全球互聯網”或“因特網”的基礎協議族。與OSI一樣，TCP/IP也采用層次化結構，每一層負責不同的通信功能。但是，TCP/IP協議簡化了層次設計，只為四層-應用層，傳輸層，網絡層，網絡接口層。其結構圖如下圖所示： 其各層的功能介紹如下： 1）網絡層網絡層是TCP/IP體系的關鍵部分。主要功能是使主機能夠將信息發往任何網絡并傳送到正確的目標。包括數據包的路由和路由的維護。主要協議有IP，ICMP，IGMP。 2）傳輸層主要負責提供端到端通信，其協議主要包括TCP協議和UDP協議。其協議主要作用包括：提供面向連接或無連接的服務，維持連接狀態，對應用層數據進行分段和封裝，實現多路復用，可靠地傳輸數據，執行流量控制。 3）應用層TCP/IP模型沒有單獨的會話層和表示層，其功能層融合在應用層中。應用層直接與用戶和應用程序打交道，負責對軟件提供接口以使程序能使用網絡服務，包括遠程訪問，資源共享等。其主要協議包括：Telnet，FTP/TFTP，SMTP/POP3，SNMP/HTTP。 4）網絡接口層主要協議負責處理與傳輸介質相關的細節，包括物理線路和接口，鏈路層通信等。以太網/FDDI/令牌環，SLIP/HDLC/PPP，X.25/幀中繼/ATM等。（3）小結 OSI參考模型和TCP/IP的出現，為清晰地理解互聯網絡、開發網絡產品和網絡設計等帶來了極大的方便，推動了計算機網絡的飛速發展。 二網絡設備 1.路由器 （1）定義：路由器是利用三層IP地址信息進行報文轉發的互聯設備。 （2）作用：連接具有不同介質的鏈路，連接網絡或子網，隔離廣播，對數據報文執行尋路和轉發，交換和維護路由信息。如下圖所示： （3）特點：主要工作在OSI模型的物理層、數據鏈路層和網絡層；根據網絡層信息進行路由轉發；提供豐富的接口類型；支持豐富的鏈路層協議；支持多種路由協議。 （4）以H3C路由器為例 2. 交換機（1）定義：交換機是利用二層MAC信息進行數據幀交換的互聯設備（2）作用：連接多個以太網物理段，隔離沖突域；對以太網幀進行高速而透明的交換轉發； 自行學習和維護MAC地址信息。如下圖所示： （3） 特點：主要工作在OSI模型的物理層、數據鏈路層；提供以太網間的透明橋接和交換； 依據鏈路層的MAC地址，將以太網數據幀在端口間進行轉發。（4） 以H3C交換機為例 3.H3C網絡設備操作系統Comware H3C Comware軟件平臺是H3C IP網絡設備的核心軟件平臺。其作用有：Comware是設備運行的網絡操作系統，H3C產品的核心軟件平臺；對硬件驅動和底層操作系統進行屏蔽與封裝；集成了豐富的鏈路層協議、以太網交換、IP路由及轉發、安全等功能模塊；制定了軟硬件接口標準規范，對第三方廠商提供開放平臺與接口。 其特點有：支持IPv4及IPv6多協議；支持多核CPU；路由和交換功能融合；高可靠性和彈性擴展；靈活的裁減和定制功能。 三網絡安全技術基礎1. 網絡安全的定義從本質上講，網絡安全就是網絡上的信息安全，是指網絡系統的硬件，軟件及其系統中的數據受到保護，不受偶然的或者惡意的原因而遭到破壞，更改，泄露，系統連續可靠正常地運行，網絡服務不中斷。從廣義上講，凡是涉及到網絡上信息的保密性，完整性，可用性，真實性和可控性的相關技術和理論都是網絡安全的研究領域。網絡安全是一門涉及計算機科學，網絡技術，通信技術，密碼技術，信息安全技術，應用科學，數論，信息論等多種學科的綜合性學科。2. 網絡安全的關注范圍 （1）保護網絡物理線路不會輕易遭受攻擊； （2）有效識別合法的和非法的用戶； （3）實現有效的訪問控制； （4）保證內部網絡的隱蔽性； （5）有效的防偽手段，重要的數據重點保護； （6）對網絡設備、網絡拓撲的安全管理； （7）病毒防范； （8）提高安全防范意識。3. 網絡安全的關鍵技術（1） ACL包過濾技術ACL（訪問控制列表）由一系列有順序的規則組成。這些規則根據數據包的源地址，目的地址，端口號等來定義匹配條件，并執行permit或deny操作。ACL包過濾通過引用ACL，使用ACL中的規則對數據包進行分類，并根據指定的permit或deny操作對數據包放行或丟棄。ACL包過濾應用在網絡設備的接口上，網絡設備根據ACL包過濾的配置對進入和離開設備的數據包進行過濾。訪問控制列表通常與包過濾，NAT，策略路由等配合使用。其原理圖如下圖所示：（2） 網絡地址轉換技術網絡地址轉換（NAT）在RFC1631中描述，它是將IP數據報報頭中的IP地址轉換為另一個IP地址的過程。在實際應用中，NAT主要用于實現私有網絡訪問外部網絡的功能。這種使用少量的公有IP地址代表大量的私有IP地址的方式將有助于減緩可用IP地址空間枯竭的速度。常見的NAT技術有多對一地址轉換，多對多地址轉換，NAPT,NAT Server，NAT Static，Easy IP，NAT ALG,雙向NAT等。其原理圖如下圖所示： （3） 認證，授權和計費 AAA（認證，授權和計費）提供了一個用來對認證，授權和計費這三種安全功能進行配置的一致性框架，實際上是對網絡安全的一種管理。RADIUS（遠程認證撥入用戶服務）是一種分布式的，客戶機/服務器結構的信息交互協議，能保護網絡不受未授權訪問的干擾，常被應用在既要求較高安全性，又要求允許遠程用戶訪問的網絡環境中。RADIUS服務器對用戶的認證過程通常需要利用NAS等設備的代理認證功能。在這一過程中，RADIUS客戶端和RADIUS服務器之間通過共享密鑰認證交互的消息，用戶密碼采用密文方式在網絡上傳輸，增強了安全性。RADIUS協議合并了認證和授權過程，即響應報文中攜帶了授權信息。其操作流程圖和步驟如下圖所示：（4） 交換機端口安全技術隨著以太網應用的日益普及，以太網安全成為日益迫切的需求。在沒有安全技術應用的以太網中，用戶只要能連接到交換機的物理端口，就可以訪問網絡中的所有資源，局域網的安全無法得到保證。以太網交換機針對網絡安全問題提供了多種安全機制，包括地址綁定，端口隔離，接入認證等技術。其中802.1X就是交換機端口安全技術的典型應用。802.1X協議是基于客戶端/服務器架構的訪問控制和認證協議。它可以限制未經授權的用戶/設備通過接入端口訪問LAN/WLAN。在獲得交換機或LAN提供的各種業務之前，802.1X對連接到交換機端口上的用戶/設備進行認證。在認證通過之前，802.1X只允許EAPoL數據通過設備連接的交換機端口。認證通過以后，正常的數據可以順利地通過以太網端口。如下圖所示： （5） VPN虛擬私有網技術VPN是近年來隨著Internet的廣泛應用而迅速發展起來的一種新技術，用以實現在公用網絡上構建私人專用網絡。“虛擬”主要指這種網絡是一種邏輯上的網絡。其原理圖如下圖所示： （6）終端準入控制EAD（終端準入控制）方案的主要目的是從網絡端點接入控制入手，加強網絡終端的主動防御能力，控制病毒的蔓延。EAD通過安全客戶端，iMC EAD服務器，網絡設備以及防病毒軟件產品，系統補丁管理產品，桌面管理產品的聯動，對接入網絡的用戶終端強制實施企業安全策略，嚴格控制終端用戶的網絡使用行為，將不符合安全要求的終端限制在“隔離區”內，防止“危險”終端對網絡安全的損害，避免“易感”終端受病毒，蠕蟲的攻擊。可以說，EAD解決方案的實驗原理就是通過將網絡接入控制和用戶終端安全策略控制相結合，以用戶終端對企業安全策略的符合度為條件，控制用戶訪問網絡的接入權限，從而降低病毒，非法訪問等安全威脅對網絡帶來的危害。其原理圖如下圖所示： 實驗一 網絡設備基本操作1. 實驗目的（1）學會使用Console口登錄設備；（2）學會使用Telnet口終端登錄設備；（3）掌握基本系統操作命令的使用。2.實驗設備器材 MSR30-20，PC，Console串口線，第五類UTP以太網連接線3.實驗組網圖 4. 實驗過程（1）通過Console登錄 其原理圖如下圖所示： 其步驟為： 1）創建新連接2） 選擇COM口3） 設置屬性參數 4） 進入設置配置界面 （2） 通過Telent登錄 其原理圖如下圖所示： Telnet配置例子： 實驗二 RIP1. 實驗目的（1）加深RIP協議原理的理解；（2）了解RIP實現運行機制；（3）熟悉RIP路由配置；（4）熟悉RIP路由維護。2.實驗設備器材MSR30-20，PC，Console串口線，第五類UTP以太網連接線，V.35DTE串口線3. 實驗組網圖 4. 實驗過程 RIP基本配置 實驗三 OSPF1. 實驗目的（1）掌握OSPF路由協議原理；（2）掌