計算機網(wǎng)絡(luò)課程設(shè)計報告9877865333

1、課 程 設(shè) 計 報 告課程名稱 計算機網(wǎng)絡(luò) 課題名稱 802.1x認證系統(tǒng) 專 業(yè) 計算機科學(xué)與技術(shù) 班 級 計算機0803班 學(xué) 號 200803010325 姓 名 葛洋波 指導(dǎo)教師 劉鐵武 韓寧 2011年 3月6 日湖南工程學(xué)院課 程 設(shè) 計 任 務(wù) 書一設(shè)計內(nèi)容：問題1：基于802.1x的認證系統(tǒng)建立為了便于集中認證和管理接入用戶，采用aaa（authentication、authorization 和accounting）安全體系。通過某種一致的辦法來配置網(wǎng)絡(luò)服務(wù)，控制用戶通過網(wǎng)絡(luò)接入服務(wù)器的訪問園區(qū)網(wǎng)絡(luò)，設(shè)計內(nèi)容如下：1掌握ieee820.1x和radius等協(xié)議的工作原理，了解

2、eap協(xié)議 2掌握hp5308/hp2626交換機的配置、調(diào)試方法3掌握windowsias的配置方法和pap，chap等用戶驗證方法4建立一個基于三層交換機的模擬園區(qū)網(wǎng)絡(luò)，用戶通過aaa方式接入園區(qū)網(wǎng)絡(luò)問題2：動態(tài)路由協(xié)議的研究與實現(xiàn)建立基于rip和ospf協(xié)議的局域網(wǎng)，對rip和ospf協(xié)議的工作原理進行研究，設(shè)計內(nèi)容如下：1掌握rip和ospf路由協(xié)議的工作原理 2掌握hp5308三層交換機和hp7000路由器的配置、調(diào)試方法3掌握rip和ospf協(xié)議的報文格式，路由更新的過程4建立基于rip和ospf協(xié)議的模擬園區(qū)網(wǎng)絡(luò)5設(shè)計實施與測試方案問題3：防火墻技術(shù)與實現(xiàn)建立一個園區(qū)網(wǎng)絡(luò)應(yīng)用防火

3、墻的需求，對具體實施盡心設(shè)計并實施，設(shè)計內(nèi)容如下：1掌握防火墻使用的主要技術(shù)：數(shù)據(jù)包過濾，應(yīng)用網(wǎng)關(guān)和代理服務(wù) 2掌握hp7000路由器的配置、調(diào)試方法3掌握訪問控制列表acl，網(wǎng)絡(luò)地址轉(zhuǎn)換nat和端口映射等技術(shù)4建立一個基于hp7000路由器的模擬園區(qū)網(wǎng)絡(luò)出口5設(shè)計實施與測試方案問題4：生成樹協(xié)議的研究與實現(xiàn)建立基于stp協(xié)議的局域網(wǎng)，對stp協(xié)議的工作原理進行研究，設(shè)計內(nèi)容如下：1掌握生成樹協(xié)議的工作原理 2掌握hp5308三層交換機和hp2626交換機的配置、調(diào)試方法3掌握stp/rstp/mstp協(xié)議的的工作過程4建立基于stp協(xié)議的模擬園區(qū)網(wǎng)絡(luò)5設(shè)計實施與測試方案問題5：無線wlan的

4、設(shè)計與實現(xiàn)建立一個小型的無線局域網(wǎng)，設(shè)計內(nèi)容如下：1掌握與無線網(wǎng)絡(luò)有關(guān)的ieee802規(guī)范與標(biāo)準(zhǔn) 2掌握無線通信采用的wep和wpa加密算法3掌握hp420無線ap的配置方法4建立基于windows server和xp的無線局域網(wǎng)絡(luò)5設(shè)計測試與維護方案二設(shè)計要求：1在規(guī)定時間內(nèi)完成以上設(shè)計內(nèi)容。2畫出拓撲圖和工作原理圖（用計算機繪圖）3編寫設(shè)計說明書 4.見附帶說明。5.成績評定：指導(dǎo)老師負責(zé)驗收結(jié)果，結(jié)合學(xué)生的工作態(tài)度、實際動手能力、創(chuàng)新精神和設(shè)計報告等進行綜合考評，并按優(yōu)秀、良好、中等、及格和不及格五個等級給出每位同學(xué)的課程設(shè)計成績。具體考核標(biāo)準(zhǔn)包含以下幾個部分： 平時出勤 （占20%）

5、系統(tǒng)分析、功能設(shè)計、結(jié)構(gòu)設(shè)計合理與否（占10%）個人能否獨立、熟練地完成課題，是否達到目標(biāo)（占40%） 設(shè)計報告（占30%）不得抄襲他人的報告（或給他人抄襲），一旦發(fā)現(xiàn)，成績?yōu)榱惴?。三進度安排（注意：17周必須提交課設(shè)報告，遲交或未交只能計零分。下面是三個班總的時間安排，課設(shè)報告中，每班只需填寫其實際設(shè)計時間）因是3個班滾動執(zhí)行，沒有過多銜接時間，各位同學(xué)必須嚴格按時執(zhí)行。第 1周時間8：00-12：0012：0015：0015：00-17：00星期一080108020803星期二080208030801星期三080308010802星期四080108020803第 2周時間8：00-12：0

6、012：0015：0015：00-17：00星期二080208030801星期四080308010802附：課程設(shè)計報告裝訂順序：封面、任務(wù)書、目錄、正文、評分、附件（a4大小的圖紙及程序清單）。 正文的格式:一級標(biāo)題用3號黑體,二級標(biāo)題用四號宋體加粗,正文用小四號宋體;行距為22。正文的內(nèi)容:一、課題的主要功能；二、課題的功能模塊的劃分（要求畫出模塊圖）；三、主要功能的實現(xiàn)（至少要有一個主要模塊的流程圖）；四、程序調(diào)試；五、總結(jié)；六、附件（所有程序的原代碼，要求對程序?qū)懗霰匾淖⑨專?。正文總字?shù)要求在5000字以上（不含程序原代碼）。目 錄實驗一：802.1x認證系統(tǒng)（必選）6 一、主要功能

7、6 1、網(wǎng)絡(luò)安全背景及意義6 二、功能模塊的劃分7 1、802.1x認證7 2、radius10 三、主要功能的實現(xiàn)12 1、配置radius服務(wù)器12 2、域控的設(shè)置14 3、dhcp的配置16 4、交換機的配置16 5、客戶端認證.17 四、總結(jié)19實驗二：防火墻技術(shù)與實現(xiàn)（自選）20 一、防火墻的基本功能. 20 二、防火墻的基本原理21 三、防火墻的應(yīng)用.23 四、模擬實驗內(nèi)容24 五、模擬實驗步驟24 1、構(gòu)建內(nèi)部網(wǎng)絡(luò) 2、構(gòu)建模擬internet網(wǎng)絡(luò) 3、配置net轉(zhuǎn)換 4、配置acl 實驗心得與體會28實驗一：802.1x認證系統(tǒng)（必選）一、 系統(tǒng)的主要功能1、 關(guān)于網(wǎng)絡(luò)安全80

8、2.1x認證，是一種提高網(wǎng)絡(luò)安全級別，能夠?qū)τ脩舻纳矸葑R別和權(quán)限控制的協(xié)議。對于現(xiàn)在的網(wǎng)絡(luò)形勢來說，企業(yè)面臨的難題就是外圍設(shè)備在未經(jīng)授權(quán)的情況下，非法接入到內(nèi)部網(wǎng)絡(luò)使公司網(wǎng)絡(luò)出現(xiàn)故障或者是盜取機密信息的駭客行為，許多大中型it公司都受到過上述行為的影響。內(nèi)部威脅與外部威脅相比，內(nèi)部威脅更致命引起的損失也更大，因此建立安全的內(nèi)部網(wǎng)絡(luò)環(huán)境十分必要。桌面windows 系統(tǒng)的廣泛應(yīng)用，基于windows的信息管理系統(tǒng)雖然可以設(shè)定用戶訪問和執(zhí)行權(quán)限，但是無法實現(xiàn)802.1x認證系統(tǒng)的能夠?qū)τ脩舻奈锢碓L問權(quán)限的控制。802.1x認證系統(tǒng)具有的能夠?qū)W(wǎng)絡(luò)接入權(quán)限控制，限制非法用戶進入，能夠有效的控制和管理

9、網(wǎng)絡(luò)資源，提高網(wǎng)絡(luò)接入的安全。2、關(guān)于radiusremote authentication dial in user service，遠程用戶撥號認證系統(tǒng)是目前應(yīng)用最廣泛的aaa協(xié)議。通常用于網(wǎng)絡(luò)存取、或流動ip服務(wù)，適用于局域網(wǎng)及漫游服務(wù) 。 radius協(xié)議最初的目的是為撥號用戶進行認證和計費。后來經(jīng)過多次改進，形成了一項通用的認證計費協(xié)議。radius基本工作原理為：用戶接入nas，nas向radius服務(wù)器使用access-require數(shù)據(jù)包提交用戶信息，包括用戶名、密碼等相關(guān)信息，其中用戶密碼是經(jīng)過md5加密的，雙方使用共享密鑰，這個密鑰不經(jīng)過網(wǎng)絡(luò)傳播；radius服務(wù)器對用戶名

10、和密碼的合法性進行檢驗，必要時可以提出一個challenge，要求進一步對用戶認證，也可以對nas進行類似的認證；如果合法，給nas返回access-accept數(shù)據(jù)包，允許用戶進行下一步工作，否則返回access-reject數(shù)據(jù)包，拒絕用戶訪問；如果允許訪問，nas向radius服務(wù)器提出計費請求account- require，radius服務(wù)器響應(yīng)account-accept，對用戶的計費開始，同時用戶可以進行自己的相關(guān)操作。 二、系統(tǒng)的功能模塊劃分1、802.1x認證802.1x協(xié)議是基于client/server的訪問控制和認證協(xié)議。它可以限制未經(jīng)授權(quán)的用戶/設(shè)備通過接入端口(ac

11、cess port)訪問lan/wlan。在獲得交換機或lan提供的各種業(yè)務(wù)之前，802.1x對連接到交換機端口上的用戶/設(shè)備進行認證。在認證通過之前，802.1x只允許eapol（基于局域網(wǎng)的擴展認證協(xié)議）數(shù)據(jù)通過設(shè)備連接的交換機端口；認證通過以后，正常的數(shù)據(jù)可以順利地通過以太網(wǎng)端口。網(wǎng)絡(luò)訪問技術(shù)的核心部分是pae（端口訪問實體）。在訪問控制流程中，端口訪問實體包含3部分：認證者-對接入的用戶/設(shè)備進行認證的端口；請求者-被認證的用戶/設(shè)備；認證服務(wù)器-根據(jù)認證者的信息，對請求訪問網(wǎng)絡(luò)資源的用戶/設(shè)備進行實際認證功能的設(shè)備。以太網(wǎng)的每個物理端口被分為受控和不受控的兩個邏輯端口，物理端口收到的

12、每個幀都被送到受控和不受控端口。其中，不受控端口始終處于雙向聯(lián)通狀態(tài)，主要用于傳輸認證信息。而受控端口的聯(lián)通或斷開是由該端口的授權(quán)狀態(tài)決定的。認證者的pae根據(jù)認證服務(wù)器認證過程的結(jié)果，控制受控端口的授權(quán)/未授權(quán)狀態(tài)。處在未授權(quán)狀態(tài)的控制端口將拒絕用戶/設(shè)備的訪問。受控端口與不受控端口的劃分，分離了認證數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)，提高了系統(tǒng)的接入管理和接入服務(wù)提供的工作效率。（1）、802.1x認證特點基于以太網(wǎng)端口認證的802.1x協(xié)議有如下特點：ieee802.1x協(xié)議為二層協(xié)議，不需要到達三層，對設(shè)備的整體性能要求不高，可以有效降低建網(wǎng)成本；借用了在ras系統(tǒng)中常用的eap（擴展認證協(xié)議），可以提供

13、良好的擴展性和適應(yīng)性，實現(xiàn)對傳統(tǒng)ppp認證架構(gòu)的兼容；802.1x的認證體系結(jié)構(gòu)中采用了可控端口和不可控端口的邏輯功能，從而可以實現(xiàn)業(yè)務(wù)與認證的分離，由radius和交換機利用不可控的邏輯端口共同完成對用戶的認證與控制，業(yè)務(wù)報文直接承載在正常的二層報文上通過可控端口進行交換，通過認證之后的數(shù)據(jù)包是無需封裝的純數(shù)據(jù)包；可以使用現(xiàn)有的后臺認證系統(tǒng)降低部署的成本，并有豐富的業(yè)務(wù)支持；可以映射不同的用戶認證等級到不同的vlan；可以使交換端口和無線lan具有安全的認證接入功能。 （2）、802.1x工作過程 （1）當(dāng)用戶有上網(wǎng)需求時打開802.1x客戶端程序，輸入已經(jīng)申請、登記過的用戶名和口令，發(fā)起連

14、接請求。此時，客戶端程序?qū)l(fā)出請求認證的報文給交換機，開始啟動一次認證過程。 （2）交換機收到請求認證的數(shù)據(jù)幀后，將發(fā)出一個請求幀要求用戶的客戶端程序?qū)⑤斎氲挠脩裘蜕蟻怼?（3）客戶端程序響應(yīng)交換機發(fā)出的請求，將用戶名信息通過數(shù)據(jù)幀送給交換機。交換機將客戶端送上來的數(shù)據(jù)幀經(jīng)過封包處理后給認證服務(wù)器進行處理。 （4）認證服務(wù)器收到交換機轉(zhuǎn)發(fā)上來的用戶名信息后，將該信息與數(shù)據(jù)庫中的用戶名表相比對，找到該用戶名對應(yīng)的口令信息，用隨機生成的一個加密字對它進行加密處理，同時也將此加密字傳送給交換機，由交換機傳給客戶端程序。 （5）客戶端程序收到由交換機傳來的加密字后，用該加密字對口令部分進行加密處理（

15、此種加密算法通常是不可逆的），并通過交換機傳給認證服務(wù)器。 （6）認證服務(wù)器將送上來的加密后的口令信息和其自己經(jīng)過加密運算后的口令信息進行對比，如果相同，則認為該用戶為合法用戶，反饋認證通過的消息，并向 交換機發(fā)出打開端口的指令，允許用戶的業(yè)務(wù)流通過端口訪問網(wǎng)絡(luò)。否則，反饋認證失敗的消息，并保持交換機端口的關(guān)閉狀態(tài)，只允許認證信息數(shù)據(jù)通過而不允許 業(yè)務(wù)數(shù)據(jù)通過。（3）、802.1x認證系統(tǒng)的組成如下拓撲圖： 由圖所示，一個完整的基于ieee 802.1x的認證系統(tǒng)由認證客戶端、認證者和認證服務(wù)器3部分（角色）組成。認證客戶端認證客戶端是最終用戶所扮演的角色，一般是個人計算機。它請求對網(wǎng)絡(luò)服務(wù)的

16、訪問，并對認證者的請求報文進行應(yīng)答。認證客戶端必須運行符合ieee 802.1x 客戶端標(biāo)準(zhǔn)的軟件，目前最典型的就是windows xp操作系統(tǒng)自帶的ieee802.1x客戶端支持。另外，一些網(wǎng)絡(luò)設(shè)備制造商也開發(fā)了自己的ieee 802.1x客戶端軟件。認證者認證者一般為交換機等接入設(shè)備。該設(shè)備的職責(zé)是根據(jù)認證客戶端當(dāng)前的認證狀態(tài)控制其與網(wǎng)絡(luò)的連接狀態(tài)。扮演認證者角色的設(shè)備有兩種類型的端口：受控端口（controlled port）和非受控端口（uncontrolled port）。其中，連接在受控端口的用戶只有通過認證才能訪問網(wǎng)絡(luò)資源；而連接在非受控端口的用戶無須經(jīng)過認證便可以直接訪問網(wǎng)絡(luò)資

17、源。把用戶連接在受控端口上，便可以實現(xiàn)對用戶的控制；非受控端口主要是用來連接認證服務(wù)器，以便保證服務(wù)器與交換機的正常通訊。認證服務(wù)器認證服務(wù)器通常為radius服務(wù)器。認證服務(wù)器在認證過程中與認證者配合，為用戶提供認證服務(wù)。認證服務(wù)器保存了用戶名及密碼，以及相應(yīng)的授權(quán)信息，一臺認證服務(wù)器可以對多臺認證者提供認證服務(wù)，這樣就可以實現(xiàn)對用戶的集中管理。認證服務(wù)器還負責(zé)管理從認證者發(fā)來的審計數(shù)據(jù)。微軟公司的windows server 2003操作系統(tǒng)自帶有radius服務(wù)器組件。2. radiusradius是一種c/s結(jié)構(gòu)的協(xié)議，它的客戶端最初就是nas（net access server）服務(wù)

18、器，現(xiàn)在任何運行radius客戶端軟件的計算機都可以成為radius的客戶端。radius協(xié)議認證機制靈活，可以采用pap、 chap或者unix登錄認證等多種方式。radius是一種可擴展的協(xié)議，它進行的全部工作都是基于attribute-length-value的向量進行的。radius也支持廠商擴充廠家專有屬性。由于radius協(xié)議簡單明確，可擴充，因此得到了廣泛應(yīng)用，包括普通電話上網(wǎng)、adsl上網(wǎng)、小區(qū)寬帶上網(wǎng)、ip電話、vpdn（virtual private dialup networks，基于撥號用戶的虛擬專用撥號網(wǎng)業(yè)務(wù)）、移動電話預(yù)付費等業(yè)務(wù)。最近ieee提出了802.1x標(biāo)準(zhǔn)

19、，這是一種基于端口的標(biāo)準(zhǔn)，用于對無線網(wǎng)絡(luò)的接入認證，在認證時也采用radius協(xié)議。 3. radius工作原理用戶接入nas，nas向raidus服務(wù)器使用access-require數(shù)據(jù)包提交用戶信息，包括用戶名、密碼等相關(guān)信息，其中用戶密碼是經(jīng)過md5加密的，雙方使用共享密鑰， 這個密鑰不經(jīng)過網(wǎng)絡(luò)傳播；radius服務(wù)器對用戶名和密碼的合法性進行檢驗，必要時可以提出一個challenge，要求進一步對用戶認證，也可以對 nas進行類似的認證；如果合法，給nas返回access-accept數(shù)據(jù)包，允許用戶進行下一步工作，否則返回access-reject數(shù)據(jù)包， 拒絕用戶訪問；如果允許訪

20、問，nas向radius服務(wù)器提出計費請求account- require，radius服務(wù)器響應(yīng)account-accept，對用戶的計費開始，同時用戶可以進行自己的相關(guān)操作。 radius還支持代理和漫游功能。簡單地說，代理就是一臺服務(wù)器，可以作為其他radius 服務(wù)器的代理，負責(zé)轉(zhuǎn)發(fā)radius認證和計費數(shù)據(jù)包。所謂漫游功能，就是代理的一個具體實現(xiàn)，這樣可以讓用戶通過本來和其無關(guān)的radius服務(wù)器進行 認證，用戶到非歸屬運營商所在地也可以得到服務(wù)，也可以實現(xiàn)虛擬運營。 radius服務(wù)器和nas服務(wù)器通過udp協(xié)議進行通信，radius服務(wù)器的1812端口負責(zé)認證，1813端口負責(zé)計

21、費工作。采用udp的基本考慮是因為nas和radius服務(wù)器大多在同一個局域網(wǎng)中，使用udp更加快捷方便，而且udp是無連接的，會減輕radius的壓力，也更安全。三、系統(tǒng)功能的實現(xiàn) 本文檔使用的拓撲： 1、配置radius服務(wù)器windows ias 服務(wù)器認證的用戶可以是 sam 用戶賬戶，也可以用活動目錄數(shù)據(jù)庫（ad）用戶賬戶，比利用sam來安全、穩(wěn)定，但radius服務(wù)器提供的認證功能相同。本文檔用ad中用戶賬戶認證。服務(wù)器ip地址為192.168.0.22查看radius是否安裝服務(wù)器證書 3、建立一個名為student的遠程訪問策略2、域控的設(shè)置1、創(chuàng)建一個組（student）和用

22、戶賬戶（），并設(shè)置相應(yīng)的密碼。如下圖所示：2、dhcp的配置我們需要在dhcp服務(wù)器上建立vlan 3、vlan 44、 交換機的配置2626：(config)#valn 1(vlan-1)#ip address 10.1.0.2/24(config)#ip default-gateway 10.1.0.1(config)#vlan 2 tagged 1(config)#vlan 3 tagged 1(config)#vlan 4 tagged 1(config)#vlan 3 untagged 5(config)#vlan 4 untagged 65308：(config)#vlan 1 i

23、p address 10.1.0.1/24(config)#vlan 2 ip address 192.168.0.1/24(config)#vlan 2 untagged b1-b2(config)#vlan 2 tagged b3(config)#vlan 3 name student(config)#vlan 3 ip address 10.1.20.1/24(config)#vlan 3 ip help-address 192.168.0.2(config)#vlan 3 tagged b3(config)#vlan 4 name notstudent(config)#vlan 4 i

24、p address 10.1.30.1/24(config)#vlan 4 ip help-address 192.168.0.2(config)#vlan 4 tagged b3(config)#ip routing 5、客戶端認證.a. 在802.1x客戶端（windows xp sp2）中右鍵點擊網(wǎng)上鄰居本地連接；b. 點擊驗證，從菜單中選擇受保護的eap（peap），去掉當(dāng)計算機信息可用時驗證為計算機選項，點擊屬性，去掉驗證服務(wù)器證書選項，驗證方法選擇安全密碼（eap-mschap v2），點擊配置，去除自動使用windows登錄名和密碼選項；c. 點擊完成。客戶端802.1x網(wǎng)絡(luò)設(shè)置

25、客戶端網(wǎng)絡(luò)驗證設(shè)置客戶端網(wǎng)絡(luò)eap設(shè)置最后點擊確定完成，客戶端出現(xiàn)登陸界面，輸入在動態(tài)目錄中添加的用戶名和密碼，認證通過并由dhcp服務(wù)器分到ip地址說明本實驗成功。五、總結(jié) 本次試驗是基于802.1x的認證系統(tǒng)的，因此我們要對ieee820.1x和radius等協(xié)議的工作原理要有一定的認識。ieee 802.1x是根據(jù)用戶id或設(shè)備，對網(wǎng)絡(luò)客戶端(或端口)進行鑒權(quán)的標(biāo)準(zhǔn)。該流程被稱為“端口級別的鑒權(quán)”。它采用radius(遠程認證撥號用戶服務(wù))方法，并將其劃分為三個不同小組:請求方、認證方和授權(quán)服務(wù)器。radius是一種c/s結(jié)構(gòu)的協(xié)議，它的客戶端最初就是nas服務(wù)器，現(xiàn)在任何運行radiu

26、s客戶端軟件的計算機都可以成為radius的客戶端。radius協(xié)議認證機制靈活，可以采用pap、chap或者unix登錄認證等多種方式。 課設(shè)中我遇到了許許多多的情況,通過這次課程設(shè)計首先讓我對網(wǎng)絡(luò)這門課程的只是融入到時間設(shè)計中，對只是的掌握從理論到實踐有了進一步的跨越，尤其是網(wǎng)絡(luò)的各項協(xié)議，組成，數(shù)據(jù)創(chuàng)書，通信等內(nèi)容有了更深的體會。在老師的指導(dǎo)下，在同學(xué)的幫助下我克服了一個個困難，堅持走了下來，在完成后心中有著無限的喜悅。 課設(shè)讓我學(xué)到很多。首先是我克服了自己的懶惰情緒，克服了條件的簡陋與資料的缺乏，對我的心靈有了考驗，讓我堅強的面對。 其次，使我樹下了各種網(wǎng)絡(luò)服務(wù)器的配置，網(wǎng)絡(luò)集成方案的

27、設(shè)計以及領(lǐng)會各種網(wǎng)絡(luò)設(shè)備選擇和方案設(shè)計要點，也了解到了血多服務(wù)器、交換機、行業(yè)軟件的使用情況。在以后走上社會，相信這些知識能夠幫助我解決困難，讓我有能力、有自信的去完成各種任務(wù)。 最后的是，網(wǎng)絡(luò)課程設(shè)計讓我的網(wǎng)絡(luò)知識形成了一個完整的系統(tǒng)結(jié)構(gòu)，讓我對網(wǎng)絡(luò)有了更深的認識，能夠從容解決別人問的問題，這是在課堂上體味不到的東西，只有在實踐中去做去體味，才能讓自己進步。 千里之行，始于足下。在一步一步的積累和學(xué)習(xí)中我進步了，能力變強大了，有自信了?？傊@次網(wǎng)絡(luò)課程設(shè)計使我受益匪淺。同時感謝老師與同學(xué)們的幫助，讓我順利的完成了任務(wù)，謝謝。實驗二：動態(tài)路由協(xié)議（選做）一、ospf和rip的工作原理1、osp

28、f工作原理ospf是鏈路狀態(tài)協(xié)議，ospf通過路由器之間通告鏈路的狀態(tài)來建立鏈路狀態(tài)數(shù)據(jù)庫，產(chǎn)生最小生成樹，并構(gòu)成路由表。這個數(shù)據(jù)庫具有所有ospf網(wǎng)上所有網(wǎng)絡(luò)和路由器的信息。鏈路狀態(tài)數(shù)據(jù)庫是有鏈路狀態(tài)公告（lsa）構(gòu)成的，lsa由每個路由器產(chǎn)生，并且在整個ospf網(wǎng)絡(luò)上傳播。ospf路由器每10秒向它的每一個接口發(fā)送hello分組，接收到hello分組的路由器就知道了鄰居的存在。如果40秒沒有從特定的鄰居接收到這種分組，則路由器就認為那個鄰居不存在了，并且產(chǎn)生聲明該鄰居丟失的lsa。ospf通常只在拓撲結(jié)構(gòu)改變時發(fā)出刷新信息。2、rip工作原理rip是典型的距離失量協(xié)議，通過udp報文來交換

29、路由信息，每30秒發(fā)送一次路由更新信息。rip把跳步數(shù)作為衡量路由距離的尺度，跳步數(shù)是一個分組到達目標(biāo)所必須經(jīng)過的路由器的數(shù)目。如果到相同目標(biāo)有來兩不同寬帶的路由器，但跳步數(shù)相同，則rip認為兩個路由是等距離的。rip最多支持的跳步數(shù)為15，跳步數(shù)16表示不可達。二、網(wǎng)絡(luò)拓撲圖圖1 rip和ospf協(xié)議的局域網(wǎng)實驗拓撲圖本實驗采用采用了一臺hp5308交換機，一臺hp2626交換機，二臺hp7102路由器和一臺hp7203路由器以及若干連接線來完成動態(tài)路由協(xié)議的配置。由圖1可知，router1的eth0/2接口與switch1組成的廣播域配置了rip路由協(xié)議，router1的路由表可以通過et

30、h0/2接口學(xué)習(xí)到192.168.10.0網(wǎng)段地址。而router1與router2、router3之間構(gòu)成的廣播域配置了ospf路由協(xié)議，他們都可以通過相互連接的端口，學(xué)習(xí)其它路由表上的地址。最終達到pc1與pc2能夠相互通信。三、調(diào)試過程1、switch1的調(diào)試在switch1上劃分兩個vlan分別是vlan 1 和vlan 10，分配不同的ip地址且綁定不同的端口。因為switch1使用的是hp5308交換機，是三層交換機具有路由功能，所以開啟路由，配置rip協(xié)議。測試與之相連的pc1是否想通：圖22、router1的調(diào)試router1的配置是至關(guān)重要的，因為它需要配置rip和ospf兩

31、種協(xié)議。表1 路由器rip協(xié)議配置命令命 令功 能router ripversion 1/2network networkshow ip routeshow ip route rip指定使用rip協(xié)議指定rip版本指定與該路由器相連的網(wǎng)絡(luò)查看路由表信息查看rip協(xié)議路由信息表2 路由器ospf協(xié)議配置命令命 令功 能router ospfnetwork address wildcard-mask area area-idshow ip route ospf指定使用ospf協(xié)議制定與該路由器相連的網(wǎng)路查看ospf協(xié)議路由信息值得注意的是ospf協(xié)議配置指定的網(wǎng)絡(luò)中wildcard-mask是子網(wǎng)

32、掩碼的反碼，如果弄錯，router1就不能學(xué)習(xí)到學(xué)習(xí)到鄰居路由器上的地址。查看現(xiàn)在的路由表信息：圖3 當(dāng)前只能看到通過rip協(xié)議學(xué)習(xí)到的路由地址，因為與之相連的router2和router3還沒啟動。3、router2的調(diào)試由圖一可知router1與router2是通過串口相連，相當(dāng)于與遠程網(wǎng)絡(luò)的連接，就用到了廣域網(wǎng)的接入服務(wù)。同時需要設(shè)置ppp封裝。設(shè)置ppp封裝協(xié)議后的路由表信息：圖4配置完ospf協(xié)議后，就能學(xué)習(xí)到router1 和 router3的路由表上的地址了。4、router3的調(diào)試router3只需要配置好各端口的ip地址與ospf協(xié)議。查看此時的路由表信息：5、switch2

33、的調(diào)試switch2的配置看似很簡單，但是其中的隱藏了一個容易忽視的小細節(jié)，那就是指定默認路由（即默認網(wǎng)關(guān)）。如果不指定默認網(wǎng)關(guān)，信息包可以找到指定網(wǎng)絡(luò)，但是目的網(wǎng)路無法回應(yīng)對方。未配置默認網(wǎng)關(guān)的檢測結(jié)果：圖6四、實驗結(jié)果router1的路由信息：圖7router2的路由信息：圖8router3的路由信息：圖9pc1與pc2的連通：圖10五、 總結(jié)本次實驗是建立基于rip和ospf協(xié)議的局域網(wǎng)，對rip和ospf協(xié)議的工作原理進行研究的。ospf即open shortest path first是開放式最短路徑優(yōu)先，一個內(nèi)部網(wǎng)關(guān)協(xié)議，用于在單一自治系統(tǒng)內(nèi)決策路由。與rip相比，ospf是鏈路狀

34、態(tài)路由鏈路，p是距離矢量路由協(xié)議。rip協(xié)議是一種傳統(tǒng)的路由協(xié)議，適合比較小型的網(wǎng)絡(luò)，在實驗的過程中我比較了一下rip和ospf協(xié)議的優(yōu)缺點，從實驗及理論的角度上我從復(fù)雜度、算法、可靠性等幾個方面對這兩種路由選擇協(xié)議進行一個組略的比較。就復(fù)雜度而言，sip協(xié)議相對較簡單，也便于設(shè)置；ospf協(xié)議則復(fù)雜度較高，配置要求也高，并且需要進行網(wǎng)絡(luò)規(guī)劃和設(shè)計。由于跳數(shù)的限制，因此sip協(xié)議更適用于小型網(wǎng)絡(luò)；而ospf協(xié)議更適用于復(fù)雜網(wǎng)絡(luò)，分層網(wǎng)絡(luò)，其引入邊緣概念，將自治系統(tǒng)劃分為多個區(qū)域?qū)τ谙到y(tǒng)沒有特殊限制。sip協(xié)議使用距離矢量運算法則，而ospf協(xié)議使用最短路徑優(yōu)先法則。sip協(xié)議的分組結(jié)構(gòu)是基于u

35、dp協(xié)議的，而ospf協(xié)議是基于ip協(xié)議的。就兩者的收斂時間而言，sip協(xié)議的更新時間更長一些。由于sip更新信息需要在網(wǎng)絡(luò)中傳遞，所以其網(wǎng)絡(luò)帶寬占用多，周期性傳輸這個路由表，對帶寬要求高；而ospf協(xié)議發(fā)送鏈路狀態(tài)信息而不是整個路由表，更新信息只在毗鄰路由器間傳輸，同時區(qū)域的劃分使得對于網(wǎng)絡(luò)帶寬的要求降低在同一區(qū)域中其他區(qū)域的信息將不會被處理。綜上所述，路由信息協(xié)議（rip）主要適用于小型的簡單網(wǎng)絡(luò)結(jié)構(gòu)；而開放式最短路徑優(yōu)先協(xié)議（ospf）更適合于在較復(fù)雜的大型網(wǎng)絡(luò)中應(yīng)用。同樣，開放式最短路徑優(yōu)先協(xié)議也更加符合未來的網(wǎng)絡(luò)向大型、高速和可靠的方向的發(fā)展的需求。六、附件switch1上的配置命令

36、：procurve swtich 5308xlenprocurve swtich 5308xl#conprocurve swtich 5308xl(config)#hostname swtich1swtich1(config)#vlan 1swtich1(vlan-1)#ip address 192.168.0.1 255.255.255.0swtich1(vlan-1)#untagged b1swtich1(vlan-1)#exitswtich1(config)#vlan 10swtich1(vlan-10)#ip address 192.168.10.1 255.255.255.0swti

37、ch1(vlan-10)#untagged b2swtich1(vlan-10)#exitswtich1(config)#vlan 1swtich1(vlan-1)#ip ripswtich1(vlan-1)#exitswtich1(config)#vlan 10swtich1(vlan-10)#ip ripswtich1(vlan-10)#exitswtich1(config)#ip routingswtich1(config)#router ripswtich1(rip)#exitrouter1上的配置命令：procurvesr7102adlenprocurvesr7102adl#conp

38、rocurvesr7102adl(config)#hostname router1router1(config)# interface eth 0/1router1(config-eth 0/1)#ip address 10.0.1.1 255.255.255.0router1(config-eth 0/1)#no shutdownrouter1(config-eth 0/1)#exitrouter1(config)# interface eth 0/2router1(config-eth 0/2)#ip address 192.168.0.2 255.255.255.0router1(con

39、fig-eth 0/2)#no shutdownrouter1(config-eth 0/2)#exitrouter1(config)# interface e1 1/1router1 (config- e1 1/1)#tdm-group 1 timeslots 1-31router1(config- e1 1/1)#no shutdownrouter1(config- e1 1/1)#exit router1(config)# interface ppp 1router1 (config-ppp 1)#ip address 10.0.2.1 255.255.255.0router1 (con

40、fig-ppp 1)#no shutdownrouter1 (config-ppp 1)#bind 1 e1 1/1 1 ppp 1router1 (config-ppp 1)#exitrouter1(config)#router riprouter1(config-rip)#version 2router1(config-rip)#network 192.168.0.0 255.255.255.0router1(config-rip)# redistribute ospfrouter1(config-rip) # exitouter1(config)#router router1(confi

41、g-ospf)#exitrouter2上的配置命令：procurvesr7102bdlenprocurvesr7102bdl#conprocurvesr7102bdl(config)#hostname router2router2(config)# interface e1 1/1router2 (config- e1 1/1)#tdm-group 1 timeslots 1-31router2(config- e1 1/1)#no shutdownrouter2(config- e1 1/1)#exit router2(config)# interface ppp 1router2(conf

42、ig)#router ospfrouter2(config-ospf)#network 10.0.2.0 0.0.0.255 area 1router2(config-ospf)#exitrouter2(config)# interface e1 1/1router2 (config- e1 1/1)# ip route 0.0.0.0 0.0.0.0 10.0.2.2router2 (config- e1 1/1)#exitrouter3上的配置命令：procurvesr7203dlenprocurvesr7203dl#conprocurvesr7203dl(config)#hostname

43、 router3router3(config-eth 0/1)#ip address 10.0.1.2 255.255.255.0router3(config-eth 0/1)#no shutdownrouter3(config-eth 0/1)#exitrouter3(config)# interface eth 0/2router3(config-eth 0/2)#ip address 10.0.3.1 255.255.255.0router3(config-eth 0/2)#no shutdownrouter3(config-eth 0/2)#exitrouter3(config)#ro

44、uter ospfrouter3(config-ospf)#network 10.0.1.0 0.0.0.255 area 0router3(config-ospf)#network 10.0.3.0 0.0.0.255 area 0router3(config-ospf)#exitswitch2上的配置命令：procurve swtich 2626enprocurve swtich 2626#conprocurve swtich 2626(config)#hostname swtich2swtich2(config)#vlan 1swtich2(vlan-1)#ip address 10.0

45、.3.2 255.255.255.0swtich2(vlan-1)# exitswtich2(config)#ip default-gatewayuter 10.0.3.1計算機與通信學(xué)院課程設(shè)計評分表課題名稱：基于802.11x的認證系統(tǒng)、動態(tài)路由協(xié)議的研究與實現(xiàn) 項 目評 價設(shè)計方案的合理性與創(chuàng)造性設(shè)計與調(diào)試結(jié)果設(shè)計說明書的質(zhì)量答辯陳述與回答問題情況課程設(shè)計周表現(xiàn)情況綜合成績 教師簽名： 日 期： 注：此項單獨成頁，裝訂在最后！ 芁薈袀膄蒃蒁螆膃膃蚆螞膂芅葿羈膂莇蚅袇膁蒀蕆螃芀腿蚃蠆艿節(jié)蒆羇羋蒄蟻羃芇薆薄衿芆芆蝿螅袃莈薂蟻袂蒀螈羀袁膀薁袆羀節(jié)螆螂罿蒞蕿蚈罿薇莂肇羈芇蚇羃羇荿蒀衿羆蒁蚅螅羅膁

46、蒈蟻羄芃蚄罿肄莆蕆裊肅蒈螞螁肂膈蒅螇肁莀螀蚃肀蒂薃羂聿膂蝿袈肈芄薁螄肈莆螇蝕膇葿薀羈膆膈莂襖膅芁薈袀膄蒃蒁螆膃膃蚆螞膂芅葿羈膂莇蚅袇膁蒀蕆螃芀腿蚃蠆艿節(jié)蒆羇羋蒄蟻羃芇薆薄衿芆芆蝿螅袃莈薂蟻袂蒀螈羀袁膀薁袆羀節(jié)螆螂罿蒞蕿蚈罿薇莂肇羈芇蚇羃羇荿蒀衿羆蒁蚅螅羅膁蒈蟻羄芃蚄罿肄莆蕆裊肅蒈螞螁肂膈蒅螇肁莀螀蚃肀蒂薃羂聿膂蝿袈肈芄薁螄肈莆螇蝕膇葿薀羈膆膈莂襖膅芁薈袀膄蒃蒁螆膃膃蚆螞膂芅葿羈膂莇蚅袇膁蒀蕆螃芀腿蚃蠆艿節(jié)蒆羇羋蒄蟻羃芇薆薄衿芆芆蝿螅袃莈薂蟻袂蒀螈羀袁膀薁袆羀節(jié)螆螂罿蒞蕿蚈罿薇莂肇羈芇蚇羃羇荿蒀衿羆蒁蚅螅羅膁蒈蟻羄芃蚄罿肄莆蕆裊肅蒈螞螁肂膈蒅螇肁莀螀蚃肀蒂薃羂聿膂蝿袈肈芄薁螄肈莆螇蝕膇葿薀羈膆膈莂襖膅芁薈袀膄蒃蒁螆膃膃蚆螞膂芅葿羈膂莇蚅袇膁蒀蕆螃芀腿蚃蠆艿節(jié)蒆羇羋蒄蟻羃芇薆薄衿芆芆蝿螅袃莈薂蟻袂蒀螈羀袁膀薁袆羀節(jié)螆螂罿蒞蕿蚈罿薇莂肇羈芇蚇羃羇荿蒀衿羆蒁蚅螅羅膁蒈蟻羄