前人种树1-华电计网综合大实验验优

前言

        之所以开设“前人种树”专栏，是因为笔者十分推崇某位牛马前辈，当初刚入学对实验一筹莫展时偶然接触到这位前辈分享的材料，且不说对我有没有帮助，反正从那以后我经常看他分享的实验材料。慢慢地看多了之后才发现，原来这位前辈发材料的初衷可能没有我想的那么高尚，不是为了作为前人种树让后来人乘凉的，纯纯为了炫耀。为什么这么说呢？因为基本上他所有的公开分享的材料，都是要么缺斤少两，要么就在某个细节上把原来正确的改成错的。而他收费恰米的材料，都是完全正确可以直接拿来用的。

        所以我呢，就把自己的实验材料也做个分享，不缺斤少两，更不故意把对的改成错的让后面的学弟们找半天，故意捉弄人嘛这不是？【楽】希望我这个种树的前人能对后人们有些许帮助，也希望各位是在弄懂我的东西后才去套用甚至自创。

        说远了，这个实验要求三到四个人组队完成，而且你电的打分制度很恶心人，一组最多只能有一个人得优（也可以没有），一个人得良，其余人得中或者更低。不得不说一句，你电是懂得矛盾转移的，有矛盾？那就引到学生内部自己消化去好了😂所以，组队也是很关键的一环，要提前找队友商量好成绩怎么分配，两个人都想拿优就别凑一起了（如果你不想最后和同学把关系闹僵的话，像笔者同一届的其他有的专业上学期就做计网实验的，就有因为分配不均而吵架的）。

        笔者这队的情况是三个人组队，基本都是我在做，四台机子来回跑，对体力也是个考验哈😂。这里不是想自我彪炳劳苦功高，另外两位队员也帮了不少忙，只是这个实验真的其实适合一个人自己做，因为整体布局构思都在脑子里，把脑子里的东西和队员交流的话其实效率更低，所以基本上另外两位队员最多只能听我念代码然后他们照着敲。盲猜一波组队是因为资金不够支撑一个人配四台电脑而出的下策。

        计网实验正如那位牛马前辈所言，开窍的一个早上就做完了。不过这实验要求一年比一年高，各个专业难度也有区分，不好说。像笔者专业是要求最高最难的，多配了NAPT、DHCP等协议，虽说总共花了一天半的时间才做完，但其实第一天整天都卡在DHCP（这要怪机房机子获取IP太慢导致误会），第二天上午过去直接就把所有内容从头开始做完了。所以开窍的大佬真的是能半天就做完的。

实验任务书的主要内容

1. 网络设备认知及基本配置操作

1. 了解路由器、交换机等网络设备结构。
2. 完成以下实验，掌握路由器、交换机等的配置方法，理解相关网络协议。
   • 交换机、路由器的基本配置；
   • OSPF基本配置；
   • RIP v2配置；
   • 静态路由配置；
   • 跨交换机实现VLAN，并利用单臂路由实现VLAN间路由；
   • 用三层交换机实现VLAN间路由
   • 静态NAT、NAT地址复用以及动态NAT。

2. 互联网综合设计与网络协议分析 

设计网络拓扑结构，尽可能充分利用实验设备资源，完成如下内容：

（1）VLAN划分与VLAN间通信

结合实验环境，设计并完成组网，要求：

• • 在交换机上进行VLAN划分；
  • 用三层交换机或者单臂路由实现VLAN间通信。

（2）路由协议配置

结合实验环境，设计并完成组网，要求：

• 采用OSPF配置路由；
• 划分区域，不少于3个区域；
• 通过改变cost值，观察路由的变化；
• 查看路由表及OSPF链路状态数据库；

（3）NAT综合实验

结合实验环境，设计并完成组网，要求：

• 所设计网络局域网内部采用内部IP地址，配置DHCP协议进行分配；
• 配置动态路由协议，实现网络互通。
• 配置动态NAT或NAPT协议实现局域网访问互联网。

（4）数据帧捕获与协议分析

 设置WEB服务器或者FTP服务器，通过抓包软件捕获TCP建立连接及释放连接的报文并进行协议分析：

• 数据链路层帧格式分析；
• IPv4数据报首部分析；
• TCP传输控制协议首部分析。

（5）访问控制列表ACL安全配置（选做）

设置标准访问控制列表或扩展访问控制列表，对数据报进行过滤。

一、综合实验的目的与要求

1.  第一部分（7个小实验）

        要求就是能够按照机房平台的网络工程“预习实验”各个教程中的步骤一步步完成，目的是为了让我们先熟悉机房设备及其配置方法，并且掌握划分vlan+实现不同vlan间的通信+动态路由协议的配置+内外网划分+实现内外网通信的几种不同方法。

2.  第二部分（综合大实验）

具体要求如下：

• 跨交换机划分vlan；
• 配置DHCP协议来自动为内网vlan的主机分配IP地址；
• 通过单臂路由或者三层交换机的第三层网络功能来实现不同vlan间的通信；
• 配置动态路由协议（OSPF/RIP v2）；
• 内外网划分；
• 配置动态NAPT协议来实现局域网访问互联网；
• 建立FTP站点或者WEB服务器；
• 抓取访问站点的包进行报文分析。

二、综合实验正文

1.  第一部分（7个小实验）

        小实验的网络拓扑大都比较简单（下面列出其中两个的拓扑图），对应着后面综合大实验的其中一小部分，对照着平台的教程一步步做并不难，关键是要理解为什么要这样做，每一个步骤的目的要搞懂，平台系统的体系架构也要清楚，为后面做第二部分的综合大实验打好基础。

2.  第二部分（综合大实验）

2.1.      拓扑图设计

        本着尽可能将设备都利用到的设计原则，我选用了全部4台路由器+全部两台2层交换机+1台3层交换机+全部4台主机。其中，因为我是用单臂路由子接口来实现不同vlan之间的通信的，所以3层交换机其实是当作2层来用的，不需要分配IP。

        最初设计的网络拓扑没考虑到“查看不同cost下的OSPF路由选择”的要求，路由器全部直连，只有一条路由可走，如下左上图1；

        为了体现OSPF不同的路由选择，我改进了网络拓扑，设计了两条路径，把R4提上去构造新路径，让R3和三层交换机相连，如下右上图2；

        期间还改动过一次，如左下图3，不过后面又作废了，最后定下来如右下图4；

    后来因为配DHCP的过程中PC1获取IP地址太慢，把PC1和PC4对调，最终网络拓扑图如下所示：

2.2.      划分vlan

    最终要实现vlan 20的主机PC2和vlan 10的主机PC3/PC4之间互相ping不通，而位于同一个vlan中的两台主机PC3、PC4之间互相能ping通。

    不能用机房原先配好的192.168.1.0/24网段的地址，因为机房已经把这个网段的地址主机连到一个网里了，不管划没划分vlan，即使是属于不同vlan的主机，肯定都是互相ping得通的，如图所示：

        要测试vlan间通信情况，得手动分配其他网段的地址给这3台主机，我记得当时我是随便编了一组全球地址：

                PC2:19.168.20.2/24 默认网关19.168.20.1

                PC3:19.168.10.3/24 默认网关19.168.10.1

                PC4:19.168.10.4/24 默认网关19.168.10.1

        验证vlan间通信的情况：

                PC2 ping PC3 ping不通

                PC2 ping PC4 ping不通

                PC3 ping PC4 ping通

        验证vlan间通信的情况都正确后我就改回原来机房自动给的地址了（192.168.1.0/24网段的那组地址）。

        因为当时做的急，忘了拍在两个二层交换机上划分vlan的命令行，回来后我凭印象写下关键内容，未必全部正确：

2.3.      在R1上配置DHCP协议

    验证完vlan划分都正确以后，在用单臂路由实现vlan间通信之前，需要先把内网的两个vlan中的3台主机IP地址改成172.16.？.0/24网段的地址，因为要求自动分配这些地址，所以要在网关路由器R1那里配置DHCP协议：

    配好后分别到这3台主机上查看他们的IP地址（少拍了一张）：

    可以看到，3台主机的IP变成了：

                PC2（vlan20）：172.16.20.2/24

                PC3（vlan10）：172.16.10.2/24

                PC4（vlan10）：172.16.10.3/24

        这样就说明DHCP协议成功配置了。

2.4.      单臂路由实现vlan间通信

    原理是通过路由器gi 0/0端口下的两个子端口，分别分配和相应vlan相同的网段地址，实现vlan间通信。如vlan 10（网段是172.16.10.0/24）对应的子端口gi 0/0.10分配的IP地址也应为172.16.10.0/24网段的一个主机地址，这里我分配的是172.16.10.1/24；同理，我给vlan 20（网段是172.16.20.0/24）对应的子端口gi 0/0.20分配的IP地址是172.16.20.1/24。如图：

        在路由器R1上给两个子端口分配好相应vlan网段的IP地址之后，不同vlan的主机之间就能通过路由器进行通信，如下图所示，PC2（vlan20）ping通PC3（vlan10）：

        至此，已成功通过单臂路由实现vlan间通信。

2.5.      在R1上配置动态NAPT协议

    根据网络拓扑图，分配好各个路由器端口和远程主机PC1的IP。由于外部网络均采用全球地址，而内部两个vlan均采用172.16.？.0/24网段的专用地址，所以需要在内外网交界处的路由器R1上配置动态NAPT协议，实现内外网IP的转换，从而实现内外网的通信。命令如下：

        因为还没给整个网络配置动态路由协议，内外网目前肯定是无法通信的，所以暂时无法验证NAPT是否真的配好了，得等OSPF路由协议配好后再一起验证，如果内外网的主机能互相ping通，则证明NAPT和OSPF都成功配置。

2.6.      配置OSPF动态路由协议

        动态路由协议我用的是OSPF协议，首先划分好区域，主干区域是area 0，与area  1和area 2相接，分区如图：

        显然，要在各个路由器（R1~R4）都配置各自端口对应的area，命令如下：

       

        其中，可以在4个路由器都配好OSPF需要的命令后，使用右边两条命令来查看路由器的OSPF配置情况。由于采用OSPF路由协议的路由器会通过洪泛和其他路由器交换各自的路由表，所以如果4个路由器都成功配置了OSPF协议后，又因为之前已经配置了NAPT协议，如果也成功配置的话，则show ip route时应该要看到每个路由器的路由表都有整个网络的路由信息。包括内网的两个专用地址网段和外部网络的路由信息，每个路由器会略有差异（local host不同），大概是这样：

172.16.10.0/24

172.16.20.0/24

200.1.1~5.0/24

    最后，让内外网主机互ping一下，如果都ping通则说明NAPT+OSPF均成功配置，能实现内外网互相访问了：

2.7.      建立、访问FTP站点并抓包分析

        在机房电脑平台安装的IIS平台上建立一个FTP站点，这里我选择建在内网的PC2（172.16.20.2/24）上，然后用外网的远程主机PC1（200.1.5.2/24）来访问这个站点，用Wireshark抓取访问过程产生的数据包，并进行报文分析。

①建立、访问FTP站点：

②抓包分析：

        因为报文分析方法都相同，所以这里仅以三报文握手的第二条报文为例进行分析，其余报文的协议树均截图列在后面了。

i.数据链路层帧格式分析：

        在MAC帧首部可以看到

目的MAC（6B）：14:14:4b:31:e2:06

源MAC（6B）：14:cf:92:e3:2e:9d

类型（2B）：0x 08 00 ，对应的网络层协议是IPv4；

ii.IPv4数据报首部分析：

        在IPv4数据报首部可以看到

版本：0x 01 00=4；

首部长度：0x 01 01=5,5*4B=20B；

区分服务：0x 00=0,不使用；

总长度：0x 34=52B；

标识：0x 26 64=9828；

Reserved bit：0；

DF：1，不分片；

MF：0，不分片也就没有下一片；

片偏移：0x0 0000 0000 0000=0B；

生存时间TTL：0x 40=64；

协议：0x 06，对应的运输层协议是TCP传输控制协议；

首部检验和：0x 87 4a；

源IP地址（4B）：ac.10.14.02(172.16.20.2)；

目的IP地址（4B）：c8.01.05.02(200.1.5.2)；

可选字段（0~40B）：0B；

填充字段：0B；

iii.TCP传输控制协议首部分析：

        在TCP报文（段）首部可以看到

源端口号（2B）：0x 0c 6a=3178；

目的端口号（2B）：0x 06 38=1592；

序号（sequence）：0x 4e 17 45 c3=1310148035；

确认号（acknowledgment）：0x f0 83 cf 97=4035170199；

数据偏移：0x 8=8，首部长度为8*4=32B；

保留：0；

URG：0；

ACK：1；

PSH：0；

RST：0；

SYN：1；

FIN：0；

窗口：0x 20 00=8192B；

检验和：0x 5b 52；

紧急指针：0x 00 00=0B，因为URG=0，所以不启用紧急指针；

选项字段（0~40B）：12B；

填充字段：0B；

     三报文握手：

     四报文握手：

补充：

        原先我还提前整理了一份各个协议层报文的首部格式，结果没想到Wireshark功能这么强大，居然可以帮我们把协议树构建好，各个字段也能随光标移动自动高亮显示出来，多此一举了T^T，画了好久的，也贴出来吧！

三、综合实验总结或结论

1.  注意事项：

        ①机房里的每台机子都有“本地连接”跟“本地连接2”，我估计应该是两个端口的意思，各有一个IP地址，“本地连接”的地址已经由机房默认分配好了，就是显示器底座上贴的标签上写的那个（192.168.1.0/24网段的），别动那个地址，测试vlan间通信情况的时候也别用这个端口的地址（192.168.1.？），因为机房已经把这个网段的地址主机连到一个网里了，不管划没划分vlan肯定都是互相ping得通的，要测试vlan间通信情况得手动分配其他网段的地址给这3台主机。平时生活中电脑都是用的“本地连接”的地址而非“本地连接2”的，手动分配地址的时候要去“本地连接2”取消自动分配，并启用备用配置，在那里输入地址；

        ②交换机和主机之间的端口mode是access，和交换机/路由器之间的端口mode是trunk；

        ③交换机的接口有2种，fast口、gi口；

        ④路由器的接口有3种，fast口、gi口、serial口。其中，serial口最特殊，是机房原本就用实际的物理网线连好的串口，要根据桌子上的连接图连接；

        ⑤OSPF分区中，主干area 0一定要有，而且主干area 0要和其他分区相接；

        ⑥还有，DHCP协议一定要先配好，把内网里3台主机的地址自动分配好，因为后面不管是划分vlan并实现vlan间路由，还是配置动态路由OSPF协议、NAPT协议，都需要用到这3台主机的地址（或者把DHCP留在最后NAPT协议之前配置也行，这时候就需要先手动分配专用地址给内网的3台主机）。实验室机房有的机子通过DHCP协议自动获取IP地址时，需要等好久才会刷新出来，导致我以为是DHCP协议没有配置成功，在那边一直反复配，第一天的时间都浪费了，结果第二天我机缘巧合之下发现原来是机子刷新慢，其实DHCP已经配好了。

2.  拓展：

        ①为什么外网的远程主机PC1与路由器R3直接相连无法ping通？

        经过测试：我先是用内网vlan里的任意一台主机去ping PC1都ping不通，反过来也一样，所以我一开始怀疑是动态NAPT协议没有配置成功；所以我就用内网vlan里的任意一台主机去ping外网的任意路由器的端口，发现只有R3的gi0/0端口也就是和PC1直连的那个端口ping不通，这就说明R1能实现内外网互通的功能，R1上的NAPT协议是成功配置的，那么出现问题的地方肯定就在R3到PC1的这段链路（area 2）上了。

        不过很奇怪，我检查后并没有发现R3或者PC1的配置有疏漏或者错误，因为当时比较赶，所以后面就没再探索下去，而是听从了老师的建议，直接在这段链路上加一个三层交换机（因为2层的已经用光了，只能把三层交换机当作两层的来用，不使用它的网络层功能就行），也不用对交换机进行任何配置，结果就能正常通信了，PC1和R3可以互相ping通，再加上之前已经配置好的内网部分（area 1）和路由器网络部分（area 0），所以PC1也能和内网里的3台主机互相ping通了。

        ②好神奇，为什么原来ping不通而加了一个交换机就ping通了？我回来后又想了一下，有了一个猜测：难道路由器和主机直连，不能用Ge端口？因为我以前是看过修电脑的人用一条网线直接把路由器和自己带的笔记本电脑连接起来，那个用的好像是console口。

3.  总结：

        通过本次综合实验，我了解并初步掌握了①跨交换机划分vlan、②配置DHCP协议来自动为内网vlan的主机分配IP地址、通过③单臂路由/④三层交换机的第三层网络功能来实现不同vlan间的通信、配置动态路由协议⑤OSPF/⑥RIP v2、⑦内外网划分+⑧配置动态NAPT协议来实现局域网访问互联网的方法，学会了在⑨IIS上建立FTP站点或者WEB服务器并⑩通过Wireshark抓包分析。以及，感谢同组两位同学对我的信任和帮助，命令太多了，我们仨人把键盘都敲得油光发亮，他们的积极配合对实验的推进起了重要作用。最后的最后，真的要由衷感谢我的授课老师+实验指导老师，她真的好有耐心，每组的同学只要有疑问找她请教她都会过去帮忙查看命令行，我之前配DHCP的时候因为电脑获取IP地址刷新慢，导致我一直以为没配成，就找了她n次，她都不厌其烦地和我一起分析调试。特别是综合实验做到后面我几乎每一个步骤都要跑去和她确定一遍才敢操作，生怕一步错就前功尽弃了，她都马上放下手头的事情认真帮我分析。太感动了！一切尽在不言中了，感谢感谢！敬礼！ 

四、参考文献

    [1] 谢希仁. 计算机网络. 电子工业出版社, 第8版. 2021年6月

    [2] 知乎用户“你叫神魔名字”的博文《DHCP原理与配置》