计算机网络安全与工程专题实验报告
学院:
班级:
学号:
姓名:
20##年 12 月 26 日
报告撰写注意事项:
1. 每位同学独立写一份,尽量体现个人实验现场及特点,避免同组二人完全拷贝。
2. 报告提交截至时间:实验完成后一周内
文件名:学号+姓名
地址:jsjlab1@mail.xjtu.edu.cn
VLAN配置与协议分析实验报告
1. 概述
时间:20##年12月4日上午
地点:西一楼A201 网络与信息安全实验室
实验名称:VLAN配置与协议分析
2. 实验目的
了解VLAN的作用,掌握在一台交换机上划分VLAN的方法和跨交换机的VLAN配置方法;掌握trunk端口的配置方法;了解VLAN数据帧的格式、VLAN标志的添加和删除的过程。
3. 使用设备及软件
PC机4台,DCRS-5650交换机两台,Ethereal。
4. 实验关键步骤简述
1) 将PC机连接在同一台交换机上并划分VLAN,测试同一VLAN以及不同VLAN下主机的连通性。
2) 将PC机连接在不同交换机上,使用配置trunk端口的方法划分VLAN,测试同一VLAN以及不同VLAN下主机的连通性。
3) 将交换机S1与PCA以及S1与另一交换机S2的通信端口镜像到PCB所连接端口,在PCB上运行Ethereal截获PCA与连接在S2上的PCC的通信报文,观察并分析VLAN标记出现与否的原因。
4) 在S1上配置VLAN2和VLAN3的IP地址,并将该IP地址作为其划分下的PC机的网关,观察不同VLAN下主机的连通性。
5. 实验结果及分析
1) 同一交换机下,在同一VLAN划分下的PC机之间可以连通,而不同VLAN下的PC机不能连通。这是因为通过VLAN的划分将主机间的通信进行了隔离,使得主机间通信受到了限制。
2) 不同交换机下,当未配置trunk端口时,同一VLAN间无法通信。这是因为交换机无法识别发往本交换机外的主机的数据包,因此无法进行转发。配置trunk端口后,不同交换机下的同一VLAN划分下的主机间可以通信。这是因为trunk端口配置后,交换机会会根据VLAN表示将数据包进行转发,到达另外的交换机。不同VLAN下的主机依然无法进行通信。
3) 通过对通信报文的捕获以及分析,发现当PC机发出数据包给交换机时,VLAN标识是不存在的;而交换机间转发的数据包是存在VLAN标识的。这是因为在主机与交换机的通信过程中,主机不需要关心VLAN的划分情况(它只需要关心本机与目标之间的连通性),因此没有必要携带VLAN标识;而交换机需要关心网络的拓扑结构从而完成数据包的转发,因此将主机传来的数据包打上VLAN标识来进行转发。
4) 通过配置VLAN的IP地址以及PC机的网关,交换机具备了路由器的部分功能(如路由表维护等),这种三层交换机具备了进行网络层操作的能力,因此不同VLAN下或不同网段下的主机间的通信也能够正常进行。
6. 遇到的问题及处理
本次实验比较基本,没有遇到太大的问题。
7. 总结体会及建议
通过本次实验,熟悉了对实验设备以及部分软件的使用方法,加深了VLAN的实现以及二层通信原理的理解,达成了实验的要求。
组网与接入认证实验报告
1. 概述
时间:20##年11月30日晚
地点:西一楼A201 网络与信息安全实验室
实验名称:组网与接入认证
2. 实验目的
掌握路由器、交换机进行简单组网的方法,理解交换机、路由器的工作原理;网路接入安全方案的设计与实现。
3. 使用设备及软件
PC机4台,DCRS-5650交换机两台,DCR-2600路由器一台。
4. 实验关键步骤简述
1) 配置路由器的接口IP地址和各PC的IP地址及网关,测试不同PC之间的连通性。
2) 在交换机上启用802.1x认证,并在PC机上启用接入认证服务,测试接入认证效果。
5. 实验结果及分析
1) 通过在路由器上配置接口IP和在PC机上配置网关的做法,不同网段下的主机之间也能够进行通信。路由器通过维护路由表,确定不同网段间数据包的转发策略,使得不同网段下的主机间能够确定是否在网络层可达以及相应的可达路径,从而使得通信顺利进行。而主机在向其他网段下的其他主机发起通信时,首先经过网关,由网关携带的路由信息处理转发事宜。
2) 未启用接入认证时,组网内任何主机均能访问目标主机上的资源;启用接入认证后,只有通过身份认证后(输入指定的用户名和密码)才能够访问指定的资源。
6. 遇到的问题及处理
本次实验比较基本,没有遇到太大的问题。
7. 总结体会及建议
通过本次实验,熟悉了对实验设备以及部分软件的使用方法,加深了对接入认证和网关原理的理解,达成了实验的要求。
防火墙与SSLVPN实验报告
1. 概述
时间:20##年12月6日上午
地点:西一楼A201 网络与信息安全实验室
实验名称:防火墙与SSLVPN
2. 实验目的
利用实验室的CISCO ASA5505防火墙设备的SSLVPN技术构建一个虚拟专用网VPN解决企业内部资源的安全访问问题。
3. 使用设备及软件
PC机4台,CISCO ASA5505防火墙设备1台,Ethereal。
4. 实验关键步骤简述
1) 将PC机分别划分为不同的VLAN用以代表内网和外网,并配置DHCP服务来为内网和外网的主机分配IP地址。
2) 在CISCO ASA5505上配置SSLVPN参数,WEBVPN隧道组与组策略,并在组策略中启用SSLVPN。
3) 创建SSLVPN用户,并将组策略赋予用户;分别在内网和外网尝试获取内网PC上的指定资源,截获两种情况下的报文并进行分析。
5. 实验结果及分析
在按要求进行配置并启用SSLVPN后,内网的资源访问并没有受到限制,而外网用户的访问需要事先通过用户名和密码进行认证才能够继续进行。通过对捕获的报文进行分析,发现外网用户的访问过程是经过SSL加密的,因此其他人无法准确的获悉此次通信行为的具体内容,而且用户通过VPN用户池分配了代理IP,因此真实IP地址也被屏蔽,进一步提高了通信的安全性。
6. 遇到的问题及处理
在本组首次对防火墙进行配置时,由于设备上还保留着之前的部分配置,因此造成了某些配置的冲突而无法生效。将设备执行write erase操作后重新进行配置,解决了该问题。
7. 总结体会及建议
通过本次实验,对SSLVPN的工作机制以及通过捕获报文进行分析的方法有了更加深刻的认识,达成了实验的要求。
TCP协议分析与传输安全实验报告
1. 概述
时间:20##年12月11日上午
地点:西一楼A201 网络与信息安全实验室
实验名称:TCP协议分析与传输安全
2. 实验目的
理解TCP报文首部格式和字段的作用,TCP连接的建立和释放的过程,TCP数据传输中的编号与确认的过程。
3. 使用设备及软件
PC机2台,DCRS-5650交换机一台,DCR-2600路由器一台,Ethereal。
4. 实验关键步骤简述
1) 按要求配置PC机和路由器。
2) 在各PC机上运行TCP协议测试程序,使用Ethereal截获TCP报文并进行分析。
5. 实验结果及分析
通过配置实验设备和软件,对截获的TCP报文进行分析:
TCP的报文首部主要包含有源端口号和目的端口号(用于确认发送端和接收端的进程),顺序号字段SEQ(用于标识源主机向目标主机发送的TCP数据字节流),确认号字段ACK(用于标识目标端所希望收到的下一个数据字节)以及控制标志。
TCP协议连接的建立是通过“三次握手”的方式,而连接的释放采用“四次握手”的方式,提升了连接建立的稳定性,并且保证了连接完全释放时所有剩余在连接上的数据包均能到达目的主机。
TCP协议使用滑动窗口协议来进行流量的拥塞控制以及快速重传。通过本次实验中的报文观察,滑动窗口的大小是由发送方根据发送的数据来进行调整的,具体为:发送方将一定大小数据包发送后,将窗口减小这一大小,直到接收方的ACK报文到来后将这一大小的窗口进行恢复。
6. 遇到的问题及处理
7. 总结体会及建议
通过本次实验,熟悉了对实验设备以及部分软件的使用方法,加深了VLAN的实现以及二层通信原理的理解,达成了实验的要求。
RIP协议分析实验报告
1. 概述
时间:20##年12月13日晚
地点:西一楼A201 网络与信息安全实验室
实验名称:RIP协议分析
2. 实验目的
理解路由协议的分类,掌握静态路由和RIP协议的配置方法;分析掌握RIP报文结构及各字段的含义;分析两个路由设备之间RIP报文的交换以及路由表的构建。
3. 使用设备及软件
PC机2台,DCRS-5650交换机一台,DCR-2600路由器两台,Ethereal。
4. 实验关键步骤简述
1) 在路由器,三层交换机上依次配置静态路由、缺省路由和RIP协议,分别测试网络的连通性。
2) 在路由器和三层交换机上配置RIP协议,使用Ethereal捕获RIP报文,进行分析。
3) 采用镜像技术捕获路由设备之间交换的RIP报文,分析其路由表的构建情况。
5. 实验结果及分析
通过对路由信息进行配置之后,能够在主机之间进行通信。其中RIP协议产生的路由表项是以跳数(metric)为衡量路由开销的标准的,而其下一跳(Next Hop)的信息为该条路由信息所连接的子网的网关地址。
RIP协议启动的初始,其路由表项只包含与其直连的网络;对于需要通过路由设备来连通的网络,RIP协议通过向相邻路由设备发送RIP请求以及接收其回复的RIP应答来维护或是更新该网络所对应的路由表项。相邻路由设备的RIP协议应答报文具体包含了该报文的目的地址和端口号,以及本设备上的路由表项的具体信息(命令字段,版本号,地址族标识,网络地址,跳数等)。路由设备收到应答报文后将收到的路由表信息与本地的路由表项进行比较,如果端口号相同,则按照最近的路由信息对本地路由表进行更新;如果端口号不同,选择到达相同目的网络中metric值最小的那条路由表项保留下来。路由器每30秒将自己的路由信息广播出去(RIPv2为组播方式)以便相邻设备进行更新。
在实验网络拓扑的基础上,我们添加了一台路由器,并在上面启动了RIP协议,希望得到路由表建立过程的完整报文,但是可能由于RIP协议的版本问题,新添加的路由器没有能够识别三层交换机的路由信息,因此该想法未能实现。
6. 遇到的问题及处理
7. 总结体会及建议
通过本次实验,熟悉了对实验设备以及部分软件的使用方法,加深了VLAN的实现以及二层通信原理的理解,达成了实验的要求。
OSPF邻居建立及报文交换分析实验报告
1. 概述
时间:20##年12月18日上午
地点:西一楼A201 网络与信息安全实验室
实验名称:OSPF邻居建立及报文交换过程分析
2. 实验目的
详细分析OSPF的5种报文结构,掌握OSPF邻居建立及报文交换过程。
3. 使用设备及软件
PC机4台,DCRS-5650交换机一台,DCR-2600路由器两台,Ethereal。
4. 实验关键步骤简述
在路由器上启动OSPF协议,同时在计算机上运行Ethereal捕获报文,然后详细分析OSPF邻居建立和报文交换过程。
5. 实验结果及分析
OSPF协议共5种报文结构:Hello Packet, Database Descriptor, LS Request, LS Update和LS Acknowledge。
在路由器上启动OSPF协议后,路由器之间先通过Hello Packet确定邻居关系,通过接口优先级选出Designated Router以及Backup Designated Router。DR的工作是管理整个区域内与其相连的路由器的路由信息的维护和更新。当某一路由器更新时,发送LSA给DR,再由DR以组播的形式发送给整个网络,节省网络的带宽。BDR的作用是作为DR的后备,防止DR失效后带来的单点故障。
DD报文只需在OSPF初始化时进行交换。其包括了本地链路信息数据库LSDB的链路摘要信息,通过交换DD报文可以让路由器确定有哪些链路信息需要进行交换。
当通过DD报文的交换,确定了本地LSDB有缺失的内容,则发送LSR报文来向邻居请求这些本地缺失的链路的具体信息。
邻居收到LSR报文后,将所请求的链路信息封装成LSU报文,并以flooding的方式发送出去。
当路由器收到邻居的LSU报文后,以组播的方式发送LSA报文,表明自己已经收到了想要的链路信息。
在各主机上通过运行Ethereal捕获的报文比较清晰地显示了这一过程。
6. 遇到的问题及处理
7. 总结体会及建议
通过本次实验,熟悉了对实验设备以及部分软件的使用方法,加深了VLAN的实现以及二层通信原理的理解,达成了实验的要求。
第二篇:计算机网络安全实验报告六(ping)
遵义师范学院计算机与信息科学学院
实 验 报 告
(20##—20##学年第一学期)
课程名称: 网络安全实验
班 级: 计科一班
学 号: 10410901036
姓 名: 陈志军
任课教师: 蒲晓川
计算机与信息科学学院
《 网络安全扫描 》实验报告