1、簡單組網組網R1Inter e 0/0Ip add 192.168.2.1 24inter e0/1ip add 192.168.3.1 24NAT實驗【R1】：inter e0/1ip add192.168.5.1 24inter e0/0ip add 192.168.2.1 24/配置訪問控制列表（系統視圖）acl number 2001rule permit source 192.168.2.0 .255rule deny source any/配置地址池（系統視圖）/配置NAT轉換（出接口視圖）inter e0/1nat outbound 2001 address-group 1/配置

2、靜態路由（系統視圖）ip route-static 鏈路層和網絡層實驗ppp協議R1R2S0/0S0/0【R1】inter s0/0ip add 192.0.0.1 24link-protocol pppshutdownundo shutdown/在s口上的配置一般都要shut和undo shut，切記！【R2】inter s1/0ip add 192.0.0.2 24link-protocol pppshutdownundo shutdown /在s口上的配置一般都要shut和undo shut，切記！此時，可以ping通，修改IP后，也可以，因為PPP只用于點對點通訊，IP字段不起作用。p

3、pp-PAP驗證設R1為主驗證方，R2為被驗證方，用戶名為XXX，密碼為yyy 【R1】local-user XXXservice-type ppppassword simple yyyinter S 0/0ppp authentication pap /授權PAP驗證shutdownundo shutdown【R2】inter s 1/0ppp pap local-user XXX password simple yyy可以ping通，建立連接采用兩次握手方式。被驗證方主驗證方用戶名密碼(明文傳輸)通過 / 拒絕ppp-CHAP驗證設R1為主驗證方，R2為被驗證方，本地名稱RTA，用戶名為X

4、XX，密碼為yyy 【R1】local-user XXX /用戶列表service-type ppppassword simple yyy /用戶對應密碼inter s0/0ppp authentication-mode chapppp chap user RTAshutundo shut【R2】local-userRTA service-type ppppassword simple yyy /驗證方和密碼inter s1/0ppp chap user XXX /本地用戶名被驗證方主驗證方主機名加密后報文通過 / 拒絕主機名隨機報文CHAP是三次握手驗證協議，不發送口令，主驗證方首先發起驗證

5、請求，安全性比PAP高。幀中繼（Flame Relay）【R1】為DTE端，在S0口封裝幀中繼接口inter s 0/0link-protocol fr【R2】為DCE端fr switchingR2-serial 0link-protocol frR2-serial 0fr interface-type DCER2-serial 0fr dlci 20比較幀中繼：VLAN間路由E0/24E0/1E0/1E0/24E0/13E0/13PCAPCBPCCPCD網關： 網關： S1Vlan2Vlan3S2網關： 網關： VLAN2:VLAN3:ARP Request清空交換機MAC地址表：undo

6、mac-address清空交換機ARP緩存：reset arp清空計算機ARP緩存：arp d【S1】vlan 2port e0/1inter vlan 2vlan3port e0/24inter vlan 3/配置trunkinter e0/13S1-ethernet 0/13port link-type trunkS1-ethernet 0/13port trunk permit vlan 2 3【S2】vlan 2port e 0/1vlan 3port e0/24/配置trunkinter e0/13S1-ethernet 0/13 port link-type trunkS1-eth

7、ernet 0/13 port trunk permit vlan 2 3清空交換機和主機的MAC地址表和ARP緩存：【S】 reset arp【S】 undo mac-address【PC】arp d設計性實驗1三層交換機二層交換機二層交換機VLAN 2VLAN n網絡服務商路由器E0：VLAN1：【R1】inter e0/0ip add 211.100.217.192 24 27 【S】inter vlan1ip add 211.100.217.193 24vlan 2port e0/1 to e0/4inter vlan2 27ip route-static 2 /用戶訪問網絡設計性實驗

8、2配置各端口IP，劃分VLAN；本地路由器R1劃分NAT：acl number 2001rule permit source .63rule deny source any7 218.249.220.76inter e0/1nat outbound 2001 address-group 1ip route .0 0.0.0.0 【R2】ip route-static 【S1】OSPF協議分析實驗OSPF鄰居建立【R1】router id .1inter loop1ip add .1 24 inter E0/0ip add 168.1.1.1 24ospfarea 0network networ

9、k 168.1.1.0 .255【R2】router id .2inter loop1ip add .2 24inter e0/0ip add 168.1.1.2 24ospfarea 0network network 168.1.1.0 .255理論上，生成的DR應該是routerID較大的那個，即R2。如果實驗中DR為R1，則可能是R1先配好，聲明自己是DR，此時可對R1重啟ospf：reset ospf allRouterID:用于確定報文發送中的Master和Slave，也用來在廣播中選舉DR和BDR。一般需要手動配置，也可以自己生成，由某個接口的IP地址產生，一般是最大的那個，最好是

10、由loopback接口的ip，由于該IP是虛擬IP，出問題后可以很快地判斷設備出了故障。RT1RT2DownDownHello( DR = .0,Neighbors Seen = 0)Hello( DR = RT2,Neighbors Seen = RT1)DD (Seq = x,I = 1, M = 1, MS = 1)DD (Seq = y,I = 1, M = 1, MS = 1)DD (Seq = y,I = 0, M = 1, MS = 0)DD (Seq = y+1,I = 0, M = 1, MS = 1)DD (Seq = y+1,I = 0, M = 1, MS = 0)DD

11、 (Seq = y+n,I = 0, M = 0, MS = 1)DD (Seq = y+n,I = 0, M = 0, MS = 0)LS RequestLS UpdateLS AckExStartExStartInitExchangeExchangeLoadingFullFullI=1,第一個DD報文；M=1，不是最后一個DD報文；MS，發送者是Master；為什么要確定主從關系？ospf直接用IP報文來封裝，必須要考慮傳輸的可靠性，為此采用了序列號確認機制。當master發送一個報文，seq+1，slave發送DD報文時，使用上一個master的seq，是一種隱含的確認方式。LSA和LS

12、DB分析Loop1:.5/24S0:.2/24E0:.1/24Vlan5:.2/24Loop1:.6/24Loop1:.4/24RID:.2RID:.1S0:.1/24Area0Area1S1S2R1R2RID:.3E0/1E0/1組網圖18配置各接口IP，vlan，loop；啟動ospf【R1】ospfarea 0network network inter s0/0ip add .1 24shutundo shut【R2】ospfarea 1network network inter s1/0ip add .2 24查看LSA：display ospf lsdbdisplay ospf ls

13、db routerdisplay ospf lsdb summary設計性實驗1PC1：網關：PC2：網關：Area 0Area 1Area 2R1R2S1S2E0/1E0/24E0/1E0/24配置完成后，ospf的area之間可以互通，但PC所在網段沒有引入，有兩種方案：在S1、S2上引入直連路由ospfimport-route direct或者：【R1】ospf【R1】import-route static【R2】ip rout 192.168.6.0 24 192.168.4.2【R2】ospf【R2】import-route static注PS.【S1】ospf【S1】network

14、 192.168.5.0 .255【S2】ospf【S2】network 192.168.6.0 .255這樣可能也行，不過改變了網絡結構。設計性實驗2Internet網關：網關：R1R2S1200100200E0/1E0/2E0/23E0/24Area0S2【S1】vlan 2port e0/23vlan3 port e0/2vlan 4port e0/24inter vlan 1inter vlan 2inter vlan 3inter vlan 4ospfarea 0network 192.168.3.0 .255network 192.168.4.0 .255inter vlan 1o

15、spf cost 100inter vlan 3ospf cost 200【R1】inter e0/0ip add 202.112.1.1 24inter e0/1ip add 192.168.3.1 24inter s0/0 24shutundo shutospf area 0network 192.168.3.0 .255network 192.168.0.0 .255inter e0/1ospf cost 100inter s0/0ospf cost 200shutundoshut【R2】inter e0/0ip add 202.112.2.1 24inter e0/1ip add 19

16、2.168.4.1 24inter s1/0ip add 192.168.0.2 24ospfarea 0network 192.168.4.0 .255network 192.168.0.0 .255inter s1/0ospf cost 200shutundoshutinter e0/1ospf cost 200【S2】vlan 2port e0/1inter vlan 2vlan 3port e0/2inter vlan 3ip add 202inter loop1/其他配置靜態路由【S1-ospf】import-route direct【R1-ospf】import-route sta

17、tic【R2-ospf】import-route static【S2】ip route-static 192.168.0.0 255.255.0（默認路由亦可）【S2】ip route-static 192.168.0.0 255.255.0.0 202.112.2.1（默認路由亦可）配置結束，首先全網通，PC上tracert 211.100.2.1，經過S1R1S2。BGP協議分析BGP基本分析E0/1VLAN2:.2/16E0/2Vlan2:.1/16E0/2Vlan3:.2/16Vlan3:.1/16E0/1Loopback1:.4/8Loopback1:.5/8AS100AS200AS

18、300E0:.1/16E0:.2/16S1S2R1R2PCA【R1】inter loop 1ip add .5 8bgp 100group r1s1 externalpeer r1s1 as-number 300peer .2 group r1s1【R2】inter loop 1ip add .4 8bgp 200group r2s2 external /如果是在一個AS內，則使用internalpeer r2s2 as-number 300peer .1 group r2s2【S1】bgp 300peer .1 as-number 100peer .2 ad-number 300peer .

19、2 next-hop-local【S2】bgp 300peer .2 as-number 200peer .1 as-number 300peer .1 next-hop-local/諸如路由信息【R1-BGP】network .0 255.0.0.0 【R2-BGP】network 此時，【R1】ping .5 4.4.4.4可以ping通。因為路由器默認E0口ping，但E0口的IP地址未引入到BGP中，所以不能作為目的地址，但可以作為下一跳地址，即可以通過。BGP同步機制驗證：在圖上配置的基礎上：【S2】ip rout 【S2】ip rout BGP狀態轉換分析PCAR2R1S2S1E0

20、:.2/16E0:.1/16AS300AS200AS100Loopback1:.5/8Loopback1:.4/8E0/1Vlan3:.1/16Vlan3:.2/16E0/2Vlan2:.1/16E0/2VLAN2:.2/16E0/1BGP協議狀態機：【R】路由器和交換機均可，但推薦用路由器。1. Debug bgp event (或all)2. Terminal debugging3. Reset bgp allbgp路由分析E0/1VLAN1:.2/16E0/2Vlan1:.1/16E0/2Vlan2:.2/16Vlan2:.1/16E0/1Loopback1:.5/8AS100AS200

21、AS300E0:.1/16E0:.2/16Loopback1:.6/8S1R1S2R2Loopback1:.4/8【R1】配置ip，vlan，loop，啟動bgpbgp 100group r1s1 externalpeer r1s1 as-number 300peer .2 group r1s1network 【S1】配置ip，vlan，loop，啟動bgpbgp 300peer .1 as-number 100peer .2 as-number 300peer .2 next-hop-local【R2】【S2】類似。BGP的路由策略（過濾）在S2上阻止AS100的.0/8的路由傳給自治系統2

22、00。【S2】acl number 2000rule 0 deny source rule 1 permit source qbgp 300peer .2 filtr-policy 2000 export注：設備中提示0100，兩條rule的編號不能相同，rule 0/rule 1基于AS-path的路由過濾在S1上阻止as100的路由通告，只通告AS300內部路由【S1】ip as-path-acl 1 deny b100$ip as-path-acl 1 permit 300ip as-path-acl 1 perimit source anybgp 300peer .2 as-path-

23、acl 1 export注：b是as號碼之間的分隔符，$匹配本地路由，b200$（或者200$）匹配從AS200始發的路由。基于route policy的路由過濾使S1不向外通告.0/8的路由，并使cost都為888【S1】bgppeer .1 route-policy deny6 exportroute-policy deny6 permit node 10if-match acl 2000applay cost 888qacl number 2000rule deny source rule permit rule 1 permit source 200rule 2 permit sour

24、ce 300rule 3 permit source any設計性實驗1 R1可經下一跳.2到達可經下一跳.3到達.0/8.1/8S1S2R1R2.1/8.2.1.2.3.1AS100AS200IBGPIBGPEBGP S1可經下一跳.2到達可經下一跳.3到達可經下一跳.1到達 S2 可經下一跳.1到達可經下一跳.3到達R2S2S1如圖上所配，即可滿足要求：disp rgp rout但此時雖有對應路由信息，但無法聯通。解決方法：1，【S1】bgp100peer .1 next-hop-local這樣雖然可以達到ping通的目的，但R1路由表的下一條發生變換，不符合要求。2，【R1】ip rou

25、te bgp100import-route static設計性實驗2Loop1:.1/8Loop2:.1/8R1E0:.1/16AS100VALN1:.2/16Loop1:.3/8Loop1:.2/8E0:.1/16VLAN1:.2/16VLAN2:.1/16VLAN2:.2/16Loop1:.4/8Loop2:.1/24AS200S1S2AS300AS400E0/24E0/1R2E0/1E0/24利用AS-path使S1不向R1通告AS300內的路由。如圖上配置vlan,loop及對應IP【R1】bgp 100group r1s1 externalpeer r1s1 as-number 20

26、0peer .2 group r1s1network /子網掩碼為正network .0 255.0.0.0 【S1】bgp 200peer peer 【S2】bgp 200peer peer 【R2】bgp 400group r2s2 externalpeer r2s2 as-number 300peer .2 group r2s2network 【S1】ip as-path-acl 1 deny b300$ /設計拒絕來自as300的路由ip as-path-acl 1 permit source 300 /允許其它的路由ip as-path-acl 1 permit source any

27、bgp 200peer .1 as-path-acl 1 export /配置基于AS-PATH的路由過濾設計性實驗3配置local-preference，實現優先S2-R2-R1。S1-bgpdefault local-preference 10R2-bgpdefault local-preference 100注：Local-preference只影響出AS的路由，越大，優先級越高。設計性實驗4配置Med，使得到.0/8的路由優先R1-S1S1-bgpdefault med 10注：Med只影響進AS的路由，越小，優先級越高。默認為0網絡管理實驗網管軟件QuidView：先啟動Quid S

28、erver，再啟動QuidView Client，輸入用戶名/密碼:admin/quidviewR/S設置:snmp-agentsnmp sys version v1snmp com write privatesnmp com read public配置trapsnmp trap enablesnmp target-host trap address udp-domain .11 params security name public注：.11為運行Quidview軟件的主機地址。傳輸層協議分析TCP協議的理解靜：TCP報文格式，首部各字段；動：協議運行的各種機制1. 連接建立、釋放PC AP

29、C Bsyn seq=N ctl=syn syn seq=M ctl=syn ack=N+1 seq=N+1 ctl=ack ack=M+1 數據 PC APC BFin P Ack P+1Ack Q+1 Fin Q 2. 傳輸管理：定時器管理即超時與重傳機制3. 流量控制：滑動窗口機制4. 擁塞控制：慢啟動、擁塞避免、快重傳、快恢復5. 糊涂窗口綜合癥避免：發送端Nagle算法、接收端推遲確認技術配置命令Vlan 2Vlan 3E0/24E0/23E0/2E0/1PCAPCBIP：網關：IP：網關：E0/1：E0/0：運行TCPTest軟件，采用默認參數，接收端休眠和計數器閾值均設為0.先點

30、發送后點接收，連接沒法成功原因：C/S模式，Server沒啟，Client也就連接不上了。如果沒有應用進程被動打開，則主動打開的應用進程也就無法成功建立起一個連接。結合看TCP狀態機，必須有被動打開方才能連。Linux下報文分析組網圖同上。Linux下：設置Ip:ifconfig eth0 ip add 192.168.1.2 24 或者圖形界面。ifconfig eth0 downifconfig eth0 up重啟使用新的接口地址。 # etc/init.d/network restart此時全網通，可用ping命令驗證。啟動ethereal，# /root/ethereal/ethere

31、al，使用TCP報文過濾。linux發送端啟動實時監控模塊# cd /root/TCPLog# ./init.sh啟動TCPTest# cd /root/TCPTest# /root /j2re/bin/java TcpTestwindows接收端啟動TCPTest，計數器閾值為10，休眠時間為5000。獲取報文保存于/root/DATA下，運行腳本讀取監控模塊的記錄：# cd /root/TCPLog# ./read.sh在/root/TCPLog下生成TXT文件。分析456號報文，填表慢啟動，超時重傳將路由器的端口配置轉發速度為xx，單位bps:inter e 0/0qos lr cir

32、100000 /100kbpsinter e0/1qos lr cir 100000 /100kbps啟動ethereal# /root/ethereal/ethereal，并啟用TCP報文過濾。# cd /root/TCPlog# ./init.sh# cd /root/TCPTest# /root/j2re/bin/java TcpTest接收端休眠時間和計數器閾值改為0，點接收，發送后，shutdown一個端口，等幾秒再undo shutn 能夠明顯看出接收端開始休眠是X1號報文n 因為其后通告的接收窗口越來越小，（左邊沿在不斷向右移動，而右邊沿不再移動），接收方在窗口范圍外的可用緩存已

33、被使用完，表明接收方在窗口范圍外的可用緩存被已確認的數據占據著，應用程序進程沒有再從緩存中讀取這些已確認的數據，即表明其已開始休眠。分別穩定在RTO1和RTO2。n 發生超時時，RTT值不變，因為RTT的變化主要依據ACK的報文到達才能得到往返時間樣本進而更新RTT值，而RTO在每次重傳發生時則加倍。原因是Karn算法起作用。n 繼續正常報文傳輸時，RTT隨著ACK報文的到來一度變大，因為超時期間沒有收到任何ACK報文，新到達的ACK報文使得往返時間樣本急劇增大，按平均往返時間計算算法更新RTT值；RTO值不再加倍但還是很大，因為超時結束，Karn算法不再起作用，又開始按照RTT的值進行更新計

34、算（依據重傳超時時間計算算法計算），而此時RTT值很大。n快重傳算法針對收到三個重復ACK報文后，即重傳重復ACK序號的那條DATA報文快恢復算法針對收到三個重復ACK報文后，對擁塞窗口的修正IPV6實驗路由和前綴發現RT1E0/0: 1:1/64PC APC BPC CPC D在PC機上啟動IPv6的步驟如下：首先，在網絡鄰居屬性添加協議中選取IPv6 ；其次，在命令提示符中輸入以下命令使能，IPv6：ipv6 install【RT1】ipv6inter e0/0ipv6 address 1:1/64undo ipv6 nd ra halt在PC上查看組播組cmd-netshinterfac

35、eipv6show joinshow addressshow routereference 2表示的是該接口上應該屬于這個組播組(ff02:1:ff*)的地址數。主機針對一個要加入的組播組有一個計時器，計時器到了就會發送一個multicast listener report報文，對于收到此報文的路由器，如果此時該地址已經在其組播組列表里了，說明已經加入組播組成功，若不是，則將此地址添加進入該列表，加入成功。啟動抓包，斷開網線再連上觀察Multicast Listener report;n （1）因為hop-by-hop選項中包含著一個router alert選項【RTR-ALERT】，用來告知路由器一定要檢查MLD報文，即使這個組播地址路由器本身不感興趣。n （2）因為并不是所有的節點都對該報文消息感興趣，并且可以有效減少網絡流量，降