計算機網(wǎng)絡(luò)安全與工程專題實驗報告-C

計算機網(wǎng)絡(luò)安全與工程專題實驗報告學(xué)院：班級：學(xué)號：姓名：2013年12月26日

報告撰寫注意事項：每位同學(xué)獨立寫一份，盡量體現(xiàn)個人實驗現(xiàn)場及特點，避免同組二人完全拷貝。報告提交截至時間：實驗完成后一周內(nèi)文件名：學(xué)號+姓名地址：jsjlab1@

VLAN配置與協(xié)議分析實驗報告概述時間：2013年12月4日上午地點：西一樓A201網(wǎng)絡(luò)與信息安全實驗室實驗名稱：VLAN配置與協(xié)議分析實驗?zāi)康牧私釼LAN的作用，掌握在一臺交換機上劃分VLAN的方法和跨交換機的VLAN配置方法；掌握trunk端口的配置方法；了解VLAN數(shù)據(jù)幀的格式、VLAN標志的添加和刪除的過程。使用設(shè)備及軟件PC機4臺，DCRS-5650交換機兩臺，Ethereal。實驗關(guān)鍵步驟簡述將PC機連接在同一臺交換機上并劃分VLAN，測試同一VLAN以及不同VLAN下主機的連通性。將PC機連接在不同交換機上，使用配置trunk端口的方法劃分VLAN，測試同一VLAN以及不同VLAN下主機的連通性。將交換機S1與PCA以及S1與另一交換機S2的通信端口鏡像到PCB所連接端口，在PCB上運行Ethereal截獲PCA與連接在S2上的PCC的通信報文，觀察并分析VLAN標記出現(xiàn)與否的原因。在S1上配置VLAN2和VLAN3的IP地址，并將該IP地址作為其劃分下的PC機的網(wǎng)關(guān)，觀察不同VLAN下主機的連通性。實驗結(jié)果及分析同一交換機下，在同一VLAN劃分下的PC機之間可以連通，而不同VLAN下的PC機不能連通。這是因為通過VLAN的劃分將主機間的通信進行了隔離，使得主機間通信受到了限制。不同交換機下，當未配置trunk端口時，同一VLAN間無法通信。這是因為交換機無法識別發(fā)往本交換機外的主機的數(shù)據(jù)包，因此無法進行轉(zhuǎn)發(fā)。配置trunk端口后，不同交換機下的同一VLAN劃分下的主機間可以通信。這是因為trunk端口配置后，交換機會會根據(jù)VLAN表示將數(shù)據(jù)包進行轉(zhuǎn)發(fā)，到達另外的交換機。不同VLAN下的主機依然無法進行通信。通過對通信報文的捕獲以及分析，發(fā)現(xiàn)當PC機發(fā)出數(shù)據(jù)包給交換機時，VLAN標識是不存在的；而交換機間轉(zhuǎn)發(fā)的數(shù)據(jù)包是存在VLAN標識的。這是因為在主機與交換機的通信過程中，主機不需要關(guān)心VLAN的劃分情況（它只需要關(guān)心本機與目標之間的連通性），因此沒有必要攜帶VLAN標識；而交換機需要關(guān)心網(wǎng)絡(luò)的拓撲結(jié)構(gòu)從而完成數(shù)據(jù)包的轉(zhuǎn)發(fā)，因此將主機傳來的數(shù)據(jù)包打上VLAN標識來進行轉(zhuǎn)發(fā)。通過配置VLAN的IP地址以及PC機的網(wǎng)關(guān)，交換機具備了路由器的部分功能（如路由表維護等），這種三層交換機具備了進行網(wǎng)絡(luò)層操作的能力，因此不同VLAN下或不同網(wǎng)段下的主機間的通信也能夠正常進行。遇到的問題及處理本次實驗比較基本，沒有遇到太大的問題。總結(jié)體會及建議通過本次實驗，熟悉了對實驗設(shè)備以及部分軟件的使用方法，加深了VLAN的實現(xiàn)以及二層通信原理的理解，達成了實驗的要求。

組網(wǎng)與接入認證實驗報告概述時間：2013年11月30日晚地點：西一樓A201網(wǎng)絡(luò)與信息安全實驗室實驗名稱：組網(wǎng)與接入認證實驗?zāi)康恼莆章酚善?、交換機進行簡單組網(wǎng)的方法，理解交換機、路由器的工作原理；網(wǎng)路接入安全方案的設(shè)計與實現(xiàn)。使用設(shè)備及軟件PC機4臺，DCRS-5650交換機兩臺，DCR-2600路由器一臺。實驗關(guān)鍵步驟簡述配置路由器的接口IP地址和各PC的IP地址及網(wǎng)關(guān)，測試不同PC之間的連通性。在交換機上啟用802.1x認證，并在PC機上啟用接入認證服務(wù)，測試接入認證效果。實驗結(jié)果及分析通過在路由器上配置接口IP和在PC機上配置網(wǎng)關(guān)的做法，不同網(wǎng)段下的主機之間也能夠進行通信。路由器通過維護路由表，確定不同網(wǎng)段間數(shù)據(jù)包的轉(zhuǎn)發(fā)策略，使得不同網(wǎng)段下的主機間能夠確定是否在網(wǎng)絡(luò)層可達以及相應(yīng)的可達路徑，從而使得通信順利進行。而主機在向其他網(wǎng)段下的其他主機發(fā)起通信時，首先經(jīng)過網(wǎng)關(guān)，由網(wǎng)關(guān)攜帶的路由信息處理轉(zhuǎn)發(fā)事宜。未啟用接入認證時，組網(wǎng)內(nèi)任何主機均能訪問目標主機上的資源；啟用接入認證后，只有通過身份認證后（輸入指定的用戶名和密碼）才能夠訪問指定的資源。遇到的問題及處理本次實驗比較基本，沒有遇到太大的問題?？偨Y(jié)體會及建議通過本次實驗，熟悉了對實驗設(shè)備以及部分軟件的使用方法，加深了對接入認證和網(wǎng)關(guān)原理的理解，達成了實驗的要求。

防火墻與SSLVPN實驗報告概述時間：2013年12月6日上午地點：西一樓A201網(wǎng)絡(luò)與信息安全實驗室實驗名稱：防火墻與SSLVPN實驗?zāi)康睦脤嶒炇业腃ISCOASA5505防火墻設(shè)備的SSLVPN技術(shù)構(gòu)建一個虛擬專用網(wǎng)VPN解決企業(yè)內(nèi)部資源的安全訪問問題。使用設(shè)備及軟件PC機4臺，CISCOASA5505防火墻設(shè)備1臺，Ethereal。實驗關(guān)鍵步驟簡述將PC機分別劃分為不同的VLAN用以代表內(nèi)網(wǎng)和外網(wǎng)，并配置DHCP服務(wù)來為內(nèi)網(wǎng)和外網(wǎng)的主機分配IP地址。在CISCOASA5505上配置SSLVPN參數(shù)，WEBVPN隧道組與組策略，并在組策略中啟用SSLVPN。創(chuàng)建SSLVPN用戶，并將組策略賦予用戶；分別在內(nèi)網(wǎng)和外網(wǎng)嘗試獲取內(nèi)網(wǎng)PC上的指定資源，截獲兩種情況下的報文并進行分析。實驗結(jié)果及分析在按要求進行配置并啟用SSLVPN后，內(nèi)網(wǎng)的資源訪問并沒有受到限制，而外網(wǎng)用戶的訪問需要事先通過用戶名和密碼進行認證才能夠繼續(xù)進行。通過對捕獲的報文進行分析，發(fā)現(xiàn)外網(wǎng)用戶的訪問過程是經(jīng)過SSL加密的，因此其他人無法準確的獲悉此次通信行為的具體內(nèi)容，而且用戶通過VPN用戶池分配了代理IP，因此真實IP地址也被屏蔽，進一步提高了通信的安全性。遇到的問題及處理在本組首次對防火墻進行配置時，由于設(shè)備上還保留著之前的部分配置，因此造成了某些配置的沖突而無法生效。將設(shè)備執(zhí)行writeerase操作后重新進行配置，解決了該問題?？偨Y(jié)體會及建議通過本次實驗，對SSLVPN的工作機制以及通過捕獲報文進行分析的方法有了更加深刻的認識，達成了實驗的要求。

TCP協(xié)議分析與傳輸安全實驗報告概述時間：2013年12月11日上午地點：西一樓A201網(wǎng)絡(luò)與信息安全實驗室實驗名稱：TCP協(xié)議分析與傳輸安全實驗?zāi)康睦斫釺CP報文首部格式和字段的作用，TCP連接的建立和釋放的過程，TCP數(shù)據(jù)傳輸中的編號與確認的過程。使用設(shè)備及軟件PC機2臺，DCRS-5650交換機一臺，DCR-2600路由器一臺，Ethereal。實驗關(guān)鍵步驟簡述按要求配置PC機和路由器。在各PC機上運行TCP協(xié)議測試程序，使用Ethereal截獲TCP報文并進行分析。實驗結(jié)果及分析通過配置實驗設(shè)備和軟件，對截獲的TCP報文進行分析：TCP的報文首部主要包含有源端口號和目的端口號（用于確認發(fā)送端和接收端的進程），順序號字段SEQ（用于標識源主機向目標主機發(fā)送的TCP數(shù)據(jù)字節(jié)流），確認號字段ACK（用于標識目標端所希望收到的下一個數(shù)據(jù)字節(jié)）以及控制標志。TCP協(xié)議連接的建立是通過“三次握手”的方式，而連接的釋放采用“四次握手”的方式，提升了連接建立的穩(wěn)定性，并且保證了連接完全釋放時所有剩余在連接上的數(shù)據(jù)包均能到達目的主機。TCP協(xié)議使用滑動窗口協(xié)議來進行流量的擁塞控制以及快速重傳。通過本次實驗中的報文觀察，滑動窗口的大小是由發(fā)送方根據(jù)發(fā)送的數(shù)據(jù)來進行調(diào)整的，具體為：發(fā)送方將一定大小數(shù)據(jù)包發(fā)送后，將窗口減小這一大小，直到接收方的ACK報文到來后將這一大小的窗口進行恢復(fù)。遇到的問題及處理總結(jié)體會及建議通過本次實驗，熟悉了對實驗設(shè)備以及部分軟件的使用方法，加深了VLAN的實現(xiàn)以及二層通信原理的理解，達成了實驗的要求。

RIP協(xié)議分析實驗報告概述時間：2013年12月13日晚地點：西一樓A201網(wǎng)絡(luò)與信息安全實驗室實驗名稱：RIP協(xié)議分析實驗?zāi)康睦斫饴酚蓞f(xié)議的分類，掌握靜態(tài)路由和RIP協(xié)議的配置方法；分析掌握RIP報文結(jié)構(gòu)及各字段的含義；分析兩個路由設(shè)備之間RIP報文的交換以及路由表的構(gòu)建。使用設(shè)備及軟件PC機2臺，DCRS-5650交換機一臺，DCR-2600路由器兩臺，Ethereal。實驗關(guān)鍵步驟簡述在路由器，三層交換機上依次配置靜態(tài)路由、缺省路由和RIP協(xié)議，分別測試網(wǎng)絡(luò)的連通性。在路由器和三層交換機上配置RIP協(xié)議，使用Ethereal捕獲RIP報文，進行分析。采用鏡像技術(shù)捕獲路由設(shè)備之間交換的RIP報文，分析其路由表的構(gòu)建情況。實驗結(jié)果及分析通過對路由信息進行配置之后，能夠在主機之間進行通信。其中RIP協(xié)議產(chǎn)生的路由表項是以跳數(shù)(metric)為衡量路由開銷的標準的，而其下一跳(NextHop)的信息為該條路由信息所連接的子網(wǎng)的網(wǎng)關(guān)地址。RIP協(xié)議啟動的初始，其路由表項只包含與其直連的網(wǎng)絡(luò)；對于需要通過路由設(shè)備來連通的網(wǎng)絡(luò)，RIP協(xié)議通過向相鄰路由設(shè)備發(fā)送RIP請求以及接收其回復(fù)的RIP應(yīng)答來維護或是更新該網(wǎng)絡(luò)所對應(yīng)的路由表項。相鄰路由設(shè)備的RIP協(xié)議應(yīng)答報文具體包含了該報文的目的地址和端口號，以及本設(shè)備上的路由表項的具體信息（命令字段，版本號，地址族標識，網(wǎng)絡(luò)地址，跳數(shù)等）。路由設(shè)備收到應(yīng)答報文后將收到的路由表信息與本地的路由表項進行比較，如果端口號相同，則按照最近的路由信息對本地路由表進行更新；如果端口號不同，選擇到達相同目的網(wǎng)絡(luò)中metric值最小的那條路由表項保留下來。路由器每30秒將自己的路由信息廣播出去（RIPv2為組播方式）以便相鄰設(shè)備進行更新。在實驗網(wǎng)絡(luò)拓撲的基礎(chǔ)上，我們添加了一臺路由器，并在上面啟動了RIP協(xié)議，希望得到路由表建立過程的完整報文，但是可能由于RIP協(xié)議的版本問題，新添加的路由器沒有能夠識別三層交換機的路由信息，因此該想法未能實現(xiàn)。遇到的問題及處理總結(jié)體會及建議通過本次實驗，熟悉了對實驗設(shè)備以及部分軟件的使用方法，加深了VLAN的實現(xiàn)以及二層通信原理的理解，達成了實驗的要求。

OSPF鄰居建立及報文交換分析實驗報告概述時間：2013年12月18日上午地點：西一樓A201網(wǎng)絡(luò)與信息安全實驗室實驗名稱：OSPF鄰居建立及報文交換過程分析實驗?zāi)康脑敿毞治鯫SPF的5種報文結(jié)構(gòu)，掌握OSPF鄰居建立及報文交換過程。使用設(shè)備及軟件PC機4臺，DCRS-5650交換機一臺，DCR-2600路由器兩臺，Ethereal。實驗關(guān)鍵步驟簡述在路由器上啟動OSPF協(xié)議，同時在計算機上運行Ethereal捕獲報文，然后詳細分析OSPF鄰居建立和報文交換過程。實驗結(jié)果及分析OSPF協(xié)議共5種報文結(jié)構(gòu)：HelloPacket,DatabaseDescriptor,LSRequest,LSUpdate和LSAcknowledge。在路由器上啟動OSPF協(xié)議后，路由器之間先通過HelloPacket確定鄰居關(guān)系，通過接口優(yōu)先級選出DesignatedRouter以及BackupDesignatedRouter。DR的工作是管理整個區(qū)域內(nèi)與其相連的路由器的路由信息的維護和更新。當某一路由器更新時，發(fā)送LSA給DR，再由DR以組播的形式發(fā)送給整個網(wǎng)絡(luò)，節(jié)省網(wǎng)絡(luò)的帶寬。BDR的作用是作為DR的后備，防止DR失效后帶來的單點故障。DD報文只需在OSPF初始化時進行交換。其包括了本地鏈路信息數(shù)據(jù)庫LSDB的鏈路摘要信息，通過交換DD報文可以讓路由器確定有哪些鏈路信息需要進行交換。當通過DD報文的交換，確