計(jì)算機(jī)網(wǎng)絡(luò)實(shí)驗(yàn)指導(dǎo)書

TOC\o"1-5"\h\z目錄 1實(shí)驗(yàn)一網(wǎng)絡(luò)基本配置 3實(shí)驗(yàn)二 VLAN配置實(shí)驗(yàn) 12實(shí)驗(yàn)三 三層交換配置實(shí)驗(yàn) 21\o"CurrentDocument"實(shí)驗(yàn)四生成樹協(xié)議配置實(shí)驗(yàn) 25\o"CurrentDocument"實(shí)驗(yàn)五路由器的基本配置實(shí)驗(yàn) 30\o"CurrentDocument"實(shí)驗(yàn)六廣域網(wǎng)配置實(shí)驗(yàn) 34\o"CurrentDocument"實(shí)驗(yàn)七RIP協(xié)議配置實(shí)驗(yàn) 38\o"CurrentDocument"實(shí)驗(yàn)八無線網(wǎng)絡(luò)環(huán)境 42\o"CurrentDocument"實(shí)驗(yàn)九安全無線網(wǎng)絡(luò)的設(shè)計(jì)和部署 49\o"CurrentDocument"實(shí)驗(yàn)十 802.1X認(rèn)證實(shí)驗(yàn) 73實(shí)驗(yàn)一網(wǎng)絡(luò)基本配置.實(shí)驗(yàn)?zāi)康膶W(xué)習(xí)為交換機(jī)進(jìn)行初始化配置熟悉交換機(jī)各種模式的切換和使用熟悉交換機(jī)的基本配置,熟練使用菜單（menu）模式和網(wǎng)頁（web）模式配置交換機(jī)。.實(shí)驗(yàn)儀器設(shè)備一臺(tái)HP2626交換機(jī)，一臺(tái)PC機(jī).建議實(shí)驗(yàn)環(huán)境以太網(wǎng)交換機(jī)一臺(tái)，以太網(wǎng)的concole口連接電腦的coml口。Console. . 崎機(jī)Com1.實(shí)驗(yàn)內(nèi)容命令行（CLI）模式的使用1.1超級(jí)終端的使用：.選擇線纜將計(jì)算機(jī)與交換機(jī)相連.啟動(dòng)超級(jí)終端，并配置正確參數(shù)a.連接名稱自行確定b.連接使用COM1口c.每位秒數(shù)設(shè)為9600、數(shù)據(jù)位為8、奇偶校驗(yàn)無、停止位為1、數(shù)據(jù)流控制無con屬性 2國按ENTER鍵進(jìn)入，顯示交換機(jī)提示符4.1.2用戶模式的選擇用戶EXEC模式——以有限的命令可用性（基本上是簡(jiǎn)單的監(jiān)控和故障排除命令）提供對(duì)IOS的基本訪問。特權(quán)EXEC模式——提供對(duì)IOS的高級(jí)別的管理訪問，包括在UserEXEC模式中所有可用的命令。配置模式——允許改變這臺(tái)設(shè)備的配置。兩種EXEC模式都是受口令保護(hù)的，從而允許用戶限制能夠訪問其設(shè)備進(jìn)行管理、配置和故障排除任務(wù)的人。步驟1：登陸交換機(jī)，進(jìn)入用戶模式顯示如下：ProCurveSwitch2626>步驟2：進(jìn)入特權(quán)模式輸入命令"enable”，進(jìn)入特權(quán)模式。顯示如下：ProCurveSwitch2626#步驟3：進(jìn)入全局配置模式輸入命令"configureterminalorconfig”進(jìn)入全局配置模式。顯示如下:ProCurveSwitch2626(config)#步驟4：進(jìn)入vlan配置模式輸入命令"vlan1”ProCurveSwitch2626(config)#vlan1ProCurveSwitch2626(vlan-1)#步驟5：退出vlan配置模式輸入命令“exit”ProCurveSwitch2626(vlan-1)#exitProCurveSwitch2626(config)#步驟6：進(jìn)入端口配置模式輸入命令"interface1”ProCurveSwitch2626(config)#interface1ProCurveSwitch2626(eth-1)#步驟7：退出全局配置模式使用命令“end”退出全局配置模式，進(jìn)入特權(quán)模式。也可以使用命令“exit”退出全局配置模式。步驟8：退出特權(quán)模式使用命令“exit”從特權(quán)模式會(huì)到用戶模式。步驟9：退出交換機(jī)使用命令“exit”退出交換機(jī)。這個(gè)命令可以用來從用戶模式中退出交換機(jī)。4.1.3指定主機(jī)名改變交換機(jī)的名稱主要是為了便于管理，但是要注意的是將交換機(jī)的名稱放在命令的后面，一旦敲入“ENTER”鍵，新的CLI提示符就變得不一樣了，它包含了交換機(jī)的新名稱。例如，改變交換機(jī)的名稱為HP：ProCurveSwitch2626(config)#hostnameHPHP(config)#4.1.4設(shè)置用戶名和密碼交換機(jī)允許用戶設(shè)置口令，以便限制對(duì)用戶和特權(quán)EXEC模式的訪問。命令如下：(config)#password(operator/manager)user-nameASCCII-STR例如：設(shè)置用戶名為“user”，密碼為“password”步驟1：選擇對(duì)用戶模式設(shè)置用戶名和密碼ProCurveSwitch2626(config)#passwordoperatoruser-nameuserNewpasswordforOperator:********PleaseretypenewpasswordforOperator:********在進(jìn)入用戶模式時(shí)就要輸入用戶名和密碼Username:userPassword:ProCurveSwitch2626>注：?輸入密碼時(shí)，密碼是不會(huì)顯示的，也不會(huì)出現(xiàn)“*”?不設(shè)置用戶名，那么登陸時(shí)不需要輸入用戶名，只需要輸入密碼?為避免影響其他人使用設(shè)備，請(qǐng)?jiān)趯?shí)驗(yàn)后清除密碼，命令如下：ProCurveSwitch2626(config)#nopasswordall步驟2：選擇對(duì)特權(quán)模式下設(shè)置用戶名和密碼ProCurveSwitch2626(config)#passwordmanageruser-nameuserNewpasswordforManager:********PleaseretypenewpasswordforManager:********在進(jìn)入特權(quán)模式時(shí)就要輸入用戶名和密碼ProCurveSwitch2626>enableUsername:userPassword:ProCurveSwitch2626#設(shè)置交換機(jī)IP地址如果想要遠(yuǎn)程管理交換機(jī)，就需要為其指定IP尋址信息。例如，如果想要telnet到這臺(tái)交換機(jī)上，從網(wǎng)絡(luò)瀏覽器或SNMP管理中心遠(yuǎn)程的管理它，或者備份和恢復(fù)配置文件或升級(jí)這臺(tái)交換機(jī)，則需要在這臺(tái)交換機(jī)上設(shè)置IP尋址信息。以下命令可設(shè)置IP：(vlan-1)#ipaddressIP-ADDRIP-MASK(config)#ipdefault-gatewayIP-ADDR步驟1：進(jìn)入vlan1配置模式ProCurveSwitch2626(config)#vlan1步驟2：配置IP地址ProCurveSwitch2626(vlan-I)#ipaddress步驟3：配置默認(rèn)網(wǎng)關(guān)ProCurveSwitch2626(config)#ipdefault-gateway查看配置要查看交換機(jī)當(dāng)前的配置，可使用showrunning-conflg命令。例如：ProCurveSwitch2626(config)#showrunning-configRunningconfiguration:;J4900BConfigurationEditor;Createdonrelease#HI.08.86hostnameHProCurveSwitch2626”ipdefault-gatewaysnmp-servercommunity"public1*Unrestrictedvlan1name"DEFAULT_VLANMuntagged1-26ipaddressexitpasswordmanagerpasswordoperator要查看交換機(jī)接口的狀態(tài)，可使用showinterface命令。例如:

ProCurveSwitch2626(config)#showinterfacesStatusandCounters-PortCountersPortTotalBytesTotalFramesErrorsRxDropsRxFlowCtrlBeastLimit10000off020000off030000off040000off050000off060000off070000off080000off090000off0100000off0110000off0120000off0130000off0140000off0150000off0160000off0170000off0180000off0190000off0200000off0210000off0220000off0230000off0240000off0250000off0260000off0注：所有的端口都沒有啟用，故沒有流量。保存配置交換機(jī)啟動(dòng)后，IOS是從NVRAM中加載配置并將其放入RAM中，所以要將交換機(jī)中RAM當(dāng)前的配置保存到NVRAM中，就要使用writememory這條命令。在這個(gè)過程中，NVRAM中的舊的配置文件被覆蓋。例如：ProCurveSwitch2626(config)#writememory刪除配置當(dāng)需要?jiǎng)h除交換機(jī)所有配置時(shí)，可使用erasestartup-config命令。這樣交換機(jī)重起后所有配置就恢復(fù)到了出廠狀態(tài)。例如：ProCurveSwitch2626(config)#erasestartup-configConfigurationwillbedeletedanddevicerebooted,continue[y/n]?yRebootingtheSystem注意：在實(shí)驗(yàn)過程中，絕對(duì)不要使用eraseflash命令！命令行的基本語法命令的簡(jiǎn)寫和完成CLI與允許簡(jiǎn)寫命令和參數(shù)，直到最后只剩下它們獨(dú)特的字符為止。例如，想要從用戶EXEC轉(zhuǎn)到特權(quán)EXEC模式時(shí)，可以鍵入en而不是enable：ProCurveSwitch2626>enProCurveSwitch2626#然而，輸入的字符必須是這條命令唯一的。例如，不能僅僅鍵入字母e,因?yàn)檫€有其他命令是一字母e開頭的，如exit。上下文敏感幫助當(dāng)用戶不能確定需要執(zhí)行哪條命令的時(shí)候，可以在提示符后鍵入help或？，這樣這臺(tái)設(shè)備就會(huì)顯示所在的級(jí)別內(nèi)可以執(zhí)行的命令的清單，連同每條命令的簡(jiǎn)要描述。ProCurveSwitch2626>?enable EntertheManagerExeccontext.exit Returntothepreviouscontextorterminatecurrentconsole/telnetsessionifyouareintheOperatorcontextlevel.link-test TesttheconnectiontoaMACaddressontheLAN.logout Terminatethisconsole/telnetsession.menu Changeconsoleuserinterfacetomenusystem.

pingshowpingshowtraceroute Sendtraceroutetoadeviceonthenetwork.要得到更詳細(xì)的幫助，可以在一條命令或參數(shù)后鍵入一個(gè)空格和一個(gè)？。這會(huì)使CLI列出這條命令所包括的可用選項(xiàng)和參數(shù)。例如，可以鍵入erase后面加上？以查看erase命令所有可用參數(shù)：ProCurveSwitch2626#erase?flash Erasetheprimaryorsecondaryflashimage.startup-config Eraseconfigurationfile.或者如果不能確定如何拼寫一條命令，則可以輸入前幾個(gè)字符，并且直接在這些字符后面鍵入“？”；例如，e?在當(dāng)前模式中列出所有以e開頭的命令：ProCurveSwitch2626#e?enderaseexit4.2菜單（menu）模式的使用HP交換機(jī)中有菜單（menu）配置模式，這樣能很方便的對(duì)配置進(jìn)行設(shè)置,操作如下：步驟1：登陸交換機(jī)，進(jìn)入特權(quán)模式步驟2：在特權(quán)模式下輸入“menu”ProCurveSwitch2626#menu步驟3：利用菜單進(jìn)行交換機(jī)配置

ProCurveSwitch2626l-JanT9900:00:301文件9編轉(zhuǎn)⑥查看9呼叫?傳送9裕助QPProCurveSwitch2626l-JanT9900:00:301-CONSOLE-MANAGERMODE-=

MainMenu1.StatusandCounters.2.SwitchConfiguration3.ConsolePasswords...4.EventLog5.CoMMandLine(CLI)6.RebootSwitch7.DownloadOS8.RunSetup9.Stacking...0.LogoutProvidestheMenutodisoldvconfiduration,statusandcounters|Toselectmenuitem,pressitemnunber,orhighlightitemdndpress<Enter>.巳連搜o0111AMSR巳連搜o0111AMSR96008-M-l4.3網(wǎng)頁(web)模式的使用HP交換機(jī)有網(wǎng)頁(web)配置模式，這樣能很直觀的對(duì)設(shè)備進(jìn)行配置。步驟1：打開網(wǎng)頁，輸入交換機(jī)IP地址步驟2：利用網(wǎng)頁進(jìn)行交換機(jī)配置Xrt<J><M>Z>-SMwXA<I>0??一wz:/”**?e???/白△0實(shí)驗(yàn)二VLAN配置實(shí)驗(yàn).實(shí)驗(yàn)?zāi)康?掌握VLAN的配置,包括基于端口對(duì)交換機(jī)進(jìn)行vlan劃分，將端口從VLAN中移出和刪除VLAN等配置。?用ping命令測(cè)試VLAN網(wǎng)絡(luò)連通性，加深對(duì)VLAN的基本原理和特點(diǎn)的認(rèn)識(shí)。.實(shí)驗(yàn)設(shè)備二臺(tái)HP2626交換機(jī)，四臺(tái)PC機(jī).建議實(shí)驗(yàn)環(huán)境①支持VLAN的以太網(wǎng)交換機(jī)兩臺(tái)，交換機(jī)間用雙絞線連接至各自的25號(hào)端口。在本實(shí)驗(yàn)中，分別為HPProCurve2626A和HPProCurve2626B。②四臺(tái)具有以太網(wǎng)接口的PC。每臺(tái)PC所連接的交換機(jī)端口如圖所示。.實(shí)驗(yàn)內(nèi)容VLAN的基本知識(shí)：VLAN(VirtualLocalAreaNetwork)即虛擬局域網(wǎng)，是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)現(xiàn)虛擬工作組的新興技術(shù)。VLAN的劃分有三種方式：基于端口(Port)、基FMAC地址和基于IP地址。通過劃分虛擬網(wǎng)，可以把廣播限制在各個(gè)虛擬網(wǎng)的范圍內(nèi)，從而減少整個(gè)網(wǎng)絡(luò)范圍內(nèi)廣播包的傳輸，提高了網(wǎng)絡(luò)的傳輸效率；同時(shí)各虛擬網(wǎng)之間不能直接進(jìn)行通訊，而必須通過路由器轉(zhuǎn)發(fā)，為高級(jí)的安全控制提供了可能，增強(qiáng)了網(wǎng)絡(luò)的安全性。在此實(shí)驗(yàn)中我們基于端口對(duì)交換機(jī)進(jìn)行配置。創(chuàng)建vlan步驟1：分別在2626A和2626B上創(chuàng)建vlan2和vlan3使用命令：(config)#vlanvid在2626A中：HP2626A(config)ttvlan2HP2626A(vlan-2)#exitHP2626A(config)#vlan3HP2626A(vlan-3)#exit在2626B中：HP2626B(config)#vlan2HP2626B(vlan-2)#exitHP2626B(config)#vlan3HP2626B(vlan-3)#exit步驟2：查看配置使用命令：(config)#showvlan在2626A中：2626A(config)#showvlanStatusandCounters-VLANInformationMaximumVLANstosupport:8PrimaryVLAN:DEFAULT_VLANManagementVLAN802.IQVLANID NameStatusVoiceJumbo1DEFAULT,VLANPort-basedNoNo2VLAN2Port-basedNoNo3VLAN3Port-basedNoNo在2626B中:2626B(config)#showvlanStatusandCounters-VLANInformationMaximumVLANstosupport:8PrimaryVLAN:DEFAULT_VLANManagementVLAN:802.IQVLANID NameStatusVoiceJumbo1DEFAULT_VLANPort-basedNoNo2VLAN2Port-basedNoNo3VLAN3Port-basedNoNo4.2為vlan分配端口使用命令：(vlan-vid)#untagged<port-list>步驟1:vlan2分配2號(hào)端口，vlan3分配3號(hào)端口在2626A中：HP2626A(vlan-2)ttuntagged2HP2626A(vlan-2)#exitHP2626A(config)#vlan3HP2626A(vlan-3)ttuntagged3HP2626A(vlan-3)#exitHP2626A(config)#在2626B中：HP2626B(vlan-2)ttuntagged2HP2626B(vlan-2)#exitHP2626B(config)ttvlan3HP2626B(vlan-3)ttuntagged3HP2626B(vlan-3)#exitHP2626B(config)#步驟2：查看配置使用命令：(config)#showvlanvid在2626A中：HP2626A(config)#showvlan2StatusandCounters-VLANInformation-Ports-VLAN2802.IQVLANID:2Name:VLAN2Status:PortInformationModeUnknownVLANStatus2 UntaggedLearn UpHP2626A(config)ttshowvlan3StatusandCounters-VLANInformation-Ports-VLAN3802.IQVLANID:3Name:VLAN3StatusPortInformationModeUnknownVLANStatus3 UntaggedLearn Up在2626B中：HP2626B(config)ttshowvlan2StatusandCounters-VLANInformation-Ports-VLAN2IQVLANID:2Name:VLAN2Status:PortInformationModeUnknownVLANStatusUntaggedLearn UpHP2626B(config)ttshowvlan3StatusandCounters-VLANInformation-Ports-VLAN3802.IQVLANID:3Name:VLAN3Status:PortInformationModeUnknownVLANStatusUntaggedLearn Up4.3給vlan配上中繼端口使用命令:使用命令：(vlan-vid)#tagged<port-list>步驟1：為vlan2和vlan3配置中繼端口25在2626A中：HP2626A(vlan-2)fttagged25HP2626A(vlan-2)#exitHP2626A(config)#vlan3HP2626A(vlan-3)#tagged25HP2626A(vlan-3)#exitHP2626A(config)#在2626B中：HP2626B(vlan-2)#tagged25HP2626B(vlan-2)#exitHP2626B(config)ttvlan3HP2626B(vlan-3)#tagged25HP2626B(vlan-3)#exitHP2626B(config)#步驟2：查看配置使用命令:(config)#showvlanvid在2626A中：2626A(config)#showvlan2StatusandCounters-VLANInformation-Ports-VLAN2802.IQVLANID:2Name:VLAN2Status:PortInformationModeUnknownVLANStatusUntagged Learn Up25 Tagged Learn Up2626A(config)#showvlan3StatusandCounters-VLANInformation-Ports-VLAN3802.IQVLANID:3

Name:VLAN2Status:PortInformationModeUnknownVLANStatusUntagged Learn UpTagged Learn Up在2626B中：2626B(config)#showvlan2StatusandCounters-VLANInformation-Ports-802.IQVLANID:2Name:VLAN2Status:PortInformationModeUnknownVLANStatus2 Untagged Learn Up25 Tagged Learn Up2626B(config)#showvlan3StatusandCounters-VLANInformation-Ports-802.IQVLANID:3Name:VLAN2Status:PortInformationModeUnknownVLANStatusVLAN2VLAN33 Untagged Learn UpVLAN2VLAN325 Tagged Learn Up

4.4驗(yàn)證配置給每臺(tái)PC設(shè)置IP地址，要求同一vlan中PC要設(shè)同一網(wǎng)段的地址。PC編號(hào)IP地址子網(wǎng)掩碼PCIPC2PC3PC4用ping命令檢測(cè)PC之間的連通性。源地址目的地址是否連通(是/否)4.5端口移出vlan從vlan中移出端口，只要把vlan中的端口分配給其他vlan即可。在此實(shí)驗(yàn)中我們把端口全部移到vlanl中。在2626A中：HP2626A(vlan-l)#untagged1-2在2626B中：HP2626B(vlan-1)#untagged1-24.6刪除VLAN刪除vlan2和vlan3使用命令：(config)#novlanvid在2626A中：HP2626A(config)#novlan2HP2626A(config)#novlan3在2626B中：HP2626B(config)#novlan2HP2626B(config)Unovlan3實(shí)驗(yàn)三三層交換配置實(shí)驗(yàn).實(shí)驗(yàn)?zāi)康?掌握三層交換的網(wǎng)絡(luò)配置?用ping命令測(cè)試VLAN之間網(wǎng)絡(luò)連通性，加深對(duì)VLAN間通信的基本原理和特點(diǎn)的認(rèn)識(shí)。.實(shí)驗(yàn)設(shè)備一臺(tái)HP5308交換機(jī)，二臺(tái)HP2626交換機(jī)，四臺(tái)PC機(jī).建議實(shí)驗(yàn)環(huán)境①支持VLAN的以太網(wǎng)交換機(jī)三臺(tái)，其中一臺(tái)為三層交換機(jī)（本例使用HP5308交換機(jī)）。HP2626A的25號(hào)端口連接HP5308的B1號(hào)端口，HP2626B的25號(hào)端口連接5308的B2號(hào)端口。②四臺(tái)具備以太網(wǎng)接口的PC,分別連接分屬不同VLAN的交換機(jī)端口，具體連接端口參考下圖。.實(shí)驗(yàn)內(nèi)容什么是三層交換?

三層交換(也稱多層交換技術(shù)，或IP交換技術(shù))是相對(duì)于傳統(tǒng)交換概念而提出的。眾所周知，傳統(tǒng)的交換技術(shù)是在OSI網(wǎng)絡(luò)標(biāo)準(zhǔn)模型中的第二層——數(shù)據(jù)鏈路層進(jìn)行操作的，而三層交換技術(shù)是在網(wǎng)絡(luò)模型中的第三層實(shí)現(xiàn)了數(shù)據(jù)包的高速轉(zhuǎn)發(fā)。簡(jiǎn)單地說，三層交換技術(shù)就是：二層交換技術(shù)+三層轉(zhuǎn)發(fā)技術(shù)。注意：保持實(shí)驗(yàn)二中的配置。下面在5308上進(jìn)行配置。1創(chuàng)建vlan2和vlan3HP5308(config)#vlan2HP5308(config)#vlan34.2配置VLAN2和VLAN3的IP地址。使用命令：(vlan-vid)#ipaddressIP-ADDRIP-MASK在此實(shí)驗(yàn)中我們定義vlan中的IP地址為:Vlan-vidIp地址子網(wǎng)掩碼VianVian3HP5308(vlan-2)#ipaddressHP5308(vlan-3)#ipaddress查看配置：使用命令：HP5308(config)#showipInternet(IP)ServiceIPRouting:disabledDefaultTTL:64ArpAge :20VLAN|IPConfigIPAddressSubnetMaskProxyARPVLAN|IPConfigIPAddressSubnetMaskProxyARPDEFAULTVLANDisabledVLAN2 Manual NoVLAN3 Manual 10.1.3,1 No3為Vian配上中繼端口HP5308(vlan-2)#taggedB1-B2HP5308(vlan-3)#taggedB1-B2啟動(dòng)ip路由使用命令：HP5308(config)#iprouting查看配置：使用命令：HP5308(config)#showiprouteIPRouteEntriesDestination/GatewayVLANTypeSub-TypeMetricDist/24VLAN2connected00/24VLAN3connected00/8rejectstatic0250/32lo0connected00驗(yàn)證配置在vlan2中的PC,IP地址范圍為：-254網(wǎng)關(guān)：在vlan3中的PC,IP地址范圍為：-254網(wǎng)關(guān)：

PC編號(hào)IP地址子網(wǎng)掩碼PC1PC2PC3PC4用ping命令檢測(cè)PC之間的連通性。源地址目的地址是否連通（是/否）實(shí)驗(yàn)四生成樹協(xié)議配置實(shí)驗(yàn).實(shí)驗(yàn)?zāi)康恼莆丈蓸鋮f(xié)議的配置方法。檢查協(xié)議生成后，各連接端口的工作狀態(tài)。掌握更改端口狀態(tài)的方法。.實(shí)驗(yàn)設(shè)備一臺(tái)HP5308交換機(jī)，二臺(tái)HP2626交換機(jī).建議實(shí)驗(yàn)環(huán)境支持生成樹協(xié)議交換機(jī)三臺(tái)，HP5308的B1端口連接HP2626A的25號(hào)端口，HP5308的B2端口連接HP2626B的25號(hào)端口，兩臺(tái)HP2626的26號(hào)端口互相連接。如下圖所示。72626A 25/26;72626A 25/26;畫一 事第以 4.實(shí)驗(yàn)內(nèi)容2626BSTP(SpanningTreepProtocol)能夠提供路徑冗余，使用STP可以使兩個(gè)終端中只有一條有效路徑。STP在大的網(wǎng)絡(luò)中定義了一個(gè)樹，并且迫使一定的備份路徑處于備用狀態(tài)。如果生成樹中的網(wǎng)絡(luò)一部分不可達(dá)，或者STP值變化了，生成樹算法會(huì)重新計(jì)算生成樹拓?fù)?，并且通過啟動(dòng)備份路徑來重新建立連接。STP操作對(duì)于終端來說是透明的，而不管終端連在LAN的某一部分或者多個(gè)部分。當(dāng)創(chuàng)建網(wǎng)絡(luò)時(shí)，網(wǎng)絡(luò)中所有節(jié)點(diǎn)存在多條路徑。生成樹中的算法計(jì)算出最佳路徑。啟用生成樹協(xié)議交換機(jī)默認(rèn)的情況下，生成樹協(xié)議是禁止的，所以要手動(dòng)啟用此協(xié)議。使用命令：(config)ttspanningtree在各臺(tái)交換機(jī)上啟用生成樹協(xié)議5308(config)^spanningtree2626A(config)ttspanningtree2626B(config)^spanningtree查看生成樹協(xié)議狀態(tài)通過查看我們可以很清楚的知道，哪個(gè)端口是轉(zhuǎn)發(fā)狀態(tài)，哪個(gè)端口是阻塞狀態(tài)。使用命令：(config)#showspanningtree在5308上：RapidSpanningTree(RSTP)InformationSTPEnabled:YesForceVersion:RSTP-operationSwitchPriority:32768 HelloTime:2MaxAge:20 ForwardDelay:15TopologyChangeCount:11TimeSinceLastChange:8minsRootMACAddress:000f20-847d00RootPathCost:0

RootPort:ThisswitchisrootRootPriority:32768PortTypeCostPriorityStateDesignatedBridge——— +—Bl100/1000T20000128Forwarding000f20-847d00B2100/1000T20000128Forwarding,000f20-847d00B3100/1000T20000128DisabledB4100/1000T20000128Disabled在2626A上:RapidSpanningTree(RSTP)InformationSTPEnabled:YesForceVersion:RSTP-operationSwitchPriority:32768 HelloTime:2MaxAge:20 ForwardDelay:15TopologyChangeCount:7TimeSinceLastChange:7minsRootMACAddress:000f20-847d00RootPathCost:20000RootPort:25RootPriority:32768BPDUPortTypeCostPriorityFilterStateDesignatedBridgePortTypeCostPriorityFilterStateDesignatedBridge1 10/100TX 200000 128 No Disabled2 10/100TX 200000 128 No Disabled |25100/1000T20000 128 No Forwarding|000f20-847d0026100/1000T20000 128 No Blocking|001708-752fc0在2626B上：RapidSpanningTree(RSTP)InformationSTPEnabled:YesForceVersion:RSTP-operationSwitchPriority:32768 HelloTime:2MaxAge:20 ForwardDelay:15TopologyChangeCount:6TimeSinceLastChange:28secsRootMACAddress:000f20-847d00RootPathCost:20000RootPort:25RootPriority:32768PortTypeCostPriorityState|DesignatedBridge1 10/100TX200000 128 Disabled2 10/100TX200000 128 Disabled25 100/1000T20000 128 Forwarding|000f20-847d0026 100/1000T20000 128 Forwarding|001708-752fc0更改生成樹優(yōu)先級(jí)通過更改交換機(jī)上的生成樹優(yōu)先級(jí)，可以改變端口的狀態(tài)。從而可以自行指定哪個(gè)端口轉(zhuǎn)發(fā)，哪個(gè)端口阻塞。使用命令：(config)#spanningtreepriority<0-15>0為最高級(jí)，15為最低級(jí)4查看更改后生成樹協(xié)議狀態(tài)設(shè)備名稱優(yōu)先級(jí)端口號(hào)端口狀態(tài)實(shí)驗(yàn)五路由器的基本配置實(shí)驗(yàn).實(shí)驗(yàn)?zāi)康恼莆章酚善鞯幕九渲帽容^路由器和交換機(jī)配置的異同了解路由器的連接方法.實(shí)驗(yàn)設(shè)備兩臺(tái)HP7102路由器.建議實(shí)驗(yàn)環(huán)境①兩臺(tái)路由器分別通過控制臺(tái)端口(ConsoleU)連接PC的Com口。②兩臺(tái)HP7102路由器的以太網(wǎng)0/1端口連接起來。如下圖所示。eth0/1eth0/14r:?一 帆方::7102A 7102B4.實(shí)驗(yàn)內(nèi)容路由器的配置和交換機(jī)基本類似，但也有很多不同的地方。1設(shè)置console密碼使用命令：(config)#lineconsole0(config-conO)^passwordLINE(passwordmd5LINE)(config-conO)#login本次試驗(yàn)中，設(shè)置密碼為：hpPasswordLINE:表示用明文設(shè)置密碼，在查看配置時(shí)可顯示。例如： linecon0loginpasswordhpPasswordmd5LINE:表示用md5加密密碼，在查看配置時(shí)不能顯示密碼,顯示的是亂碼。例如： !linecon0loginpasswordmd5encryptedd2ccdal0db94c2b5d51beedl0484c025注：當(dāng)兩種密碼同時(shí)設(shè)置時(shí)，取md5加密密碼。ProCurveSR7102dl(config)#lineconsole0ProCurveSR7102dl(config-conO)ttpasswordmd5hpProCurveSR7102dl(config-conO)ttlogin退出超級(jí)終端，重新用超級(jí)終端登陸時(shí)，Password:**ProCurveSR7102dl>2設(shè)置telnet密碼使用命令：(config)#linetelnet04(config-telnetO-4)#passwordLINE(passwordmd5LINE}(config-conO)Wlogin本次試驗(yàn)中，設(shè)置密碼為：hppasswordLINE和passwordmd5LINE意義同上。ProCurveSR7102d1(config)#1inetelnet04ProCurveSR7102d1(config-teInetO-4)Spasswordmd5ProCurveSR7102dl(config-conO)Slogin假設(shè)ethO/1端口IP地址為,ethO/1連接PC機(jī)以太網(wǎng)網(wǎng)卡。那么，在命令提不符卜：C:>telnetPassword:**ProCurveSR7102dl>為ethO/1端口配置IP地址分別在兩臺(tái)路由器上ethO/1配置IP地址，地址如下:設(shè)備名IP地址子網(wǎng)掩碼7102A7102B在7102A上:7102A(config)ttinterfaceEthernet0/17102A(config-eth0/l)#ipaddress7102A(config-eth0/1)#noshutdown在7102B上:7102B(config)ttinterfaceEthernet0/17102B(config-eth0/1)#ipaddress7102B(config-eth0/1)#noshutdown保存配置保存配置的命令與交換機(jī)的不同使用命令：(config)#dowritememory7102A(config)#dowritememory7102B(config)#dowritememory驗(yàn)證配置在7102A路由器上ping7102B的ethO/1端口在7102B路由器上ping7102A的ethO/1端口是否連通？［是/否］實(shí)驗(yàn)六廣域網(wǎng)配置實(shí)驗(yàn).實(shí)驗(yàn)?zāi)康?了解并掌握路由器E1端口?掌握配置PPP協(xié)議.實(shí)驗(yàn)設(shè)備兩臺(tái)HP7102路由器.建議實(shí)驗(yàn)環(huán)境兩臺(tái)HP7102路由器，用交叉線將兩臺(tái)路由器的E1口連接起來，如下圖所示：El E1.實(shí)驗(yàn)內(nèi)容E1接口可有兩種配置：①作為信道化(Channelized)El接口使用。接口在物理上分為31個(gè)時(shí)隙，可以任意地將全部時(shí)隙分成若干組，每組時(shí)隙捆綁以后作為一個(gè)接口使用，其邏輯特性與同步串口相同，支持PPP、幀中繼、LAPB和X.25等鏈路層協(xié)議。②作為非信道化(Unchannelized)El接口使用。接口在物理上作為一個(gè)2M速率的G.703同步串口，支持PPP、幀中繼、LAPB和X.25等鏈路層協(xié)議。Baettwe在此實(shí)驗(yàn)中，我們用El接口來做廣域網(wǎng)實(shí)驗(yàn)，所用協(xié)議為PPP。4.1配置E1端口使用命令：(config)Sinterfaceel<slot/port>(config-el<slot/port?#tdm-group<1-255>timeslots<timeslotrange>(config-el<slot/port>)#noshutdown在此實(shí)驗(yàn)中我們定義tdm-group為1,timeslots為1-31在7102A上：7102A(config)#interfaceel1/17102A(config-el1/1)#tdm-group1timeslots1-317102A(config-el1/1)#noshutdown在7102B上：7102B(config)#interfaceel1/17102B(config-el1/1)#tdm-group1timeslots1-317102B(config-el1/1)#noshutdown查看配置：ProCurveSR7102dl(config-ell/l)#doshowinterfacesel1/1el1/1isUPReceiverhasnoalarmsElcodingisHDB3,framingisElClocksourceislineNonetworkloopbacksLastclearingofcounters00:05:00lossofframe:0lossofsignal:0AISalarm:0Remotealarm:0TimeslotStatus:01234567890123456789012345678901StatusLegend:'=Timeslotisunallocated'N'=Timeslotisdedicated(nailed)'F'=TimeslotisdedicatedforframingLineStatus:一NoAlarms一5minuteinputrate0bits/sec,0packets/sec5minuteoutputrate0bits/sec,0packets/secCurrentPerformanceStatistics:0ErroredSeconds,0BurstyErroredSeconds0SeverelyErroredSeconds,0SeverelyErroredFrameSeconds0UnavailableSeconds,0PathCodeViolations0LineCodeViolations,0ControlledSlipSeconds0LineErroredSeconds,0DegradedMinutesTDMgroup1,lineprotocolisnotsetEncapsulationisnotset為El端口配置PPP使用命令：(config)#interfaceppp<l-1024>(config-ppp<l-1024?#ipaddressIP-ADDRIP-MASK(config-ppp<l-1024>)#bind<l_1024>el<slot/port><l-255>ppp<l-1024>說明:在命令bind<l-1024>el<slot/port><l-255>ppp<l-1024>中第一個(gè)<1TO24>是bind的序號(hào)，<1-255>是tdm-group的序號(hào)，最后一個(gè)<1-1024>是ppp的序號(hào)，命令是用來把物理接口E1和虛擬接口ppp綁定在一起。在7102A中:7102A(config)Sinterfaceppp17102A(config-pppl)#ipaddress7102A(config-pppDttbind1el1/11ppp17102A(config_pppl)#noshutdown在7102B中:7102Bconfig)#interfaceppp17102Bconfig-pppl)#ipaddress7102Bconfig-ppp1)#bind1el1/11ppp17102B(config-pppl)#noshutdown驗(yàn)證配置在7102A路由器上ping7102B的El1/1端口在7102B路由器上ping7102A的El1/1端口是否連通？［是/否］實(shí)驗(yàn)七 RIP協(xié)議配置實(shí)驗(yàn).實(shí)驗(yàn)?zāi)康牧私饴酚善髅畹淖饔?。掌握如何配置RIP協(xié)議。測(cè)試網(wǎng)絡(luò)連通性.實(shí)驗(yàn)設(shè)備一臺(tái)HP7203路由器，兩臺(tái)HP7102路由器，兩臺(tái)HP2626交換機(jī)，兩臺(tái)PC.建議實(shí)驗(yàn)環(huán)境①支持RIP協(xié)議的路由器三臺(tái)（本例使用兩臺(tái)HP7102路由器和一臺(tái)7203路由器）②7102路由器用E1端口連接，7203路由器的兩個(gè)以太網(wǎng)口分別連接兩臺(tái)7102路由器。③每臺(tái)7102路由器下各接一臺(tái)2626交換機(jī)。④2626交換機(jī)下接一臺(tái)PC。如下圖所示：PC1PC2

PC1PC2按照實(shí)驗(yàn)五和實(shí)驗(yàn)六把路由器的各個(gè)端口按以下地址配好。按照實(shí)驗(yàn)一把交換機(jī)的IP地址配好。各端口地址如下：設(shè)備名稱端口號(hào)IP地址子網(wǎng)掩碼7203Eth0/7203Eth0/7102AEth0/7102AEth0/7102AEl1/17102BEth0/7102BEth0/7102BEl1/12626AVian2626BVian電腦地址設(shè)置設(shè)備名稱IP地址子網(wǎng)掩碼網(wǎng)關(guān)PCIPC.實(shí)驗(yàn)內(nèi)容什么是rip協(xié)議？RIP(RoutinginformationProtocol)是應(yīng)用較早、使用較普遍的內(nèi)部網(wǎng)關(guān)協(xié)議(InteriorGatewayProtocol,簡(jiǎn)稱IGP),適用于小型同類網(wǎng)絡(luò)，是典型的距離向量協(xié)議。RIP通過廣播UDP報(bào)文來交換路由信息，每30秒發(fā)送一次路由信息更新。RIP提供跳躍計(jì)數(shù)(hopcount)作為尺度來衡量路由距離，跳躍計(jì)數(shù)是一個(gè)包到達(dá)目標(biāo)所必須經(jīng)過的路由器的數(shù)目。如果到相同目標(biāo)有二個(gè)不等速或不同帶寬的路由器，但跳躍計(jì)數(shù)相同，則RIP認(rèn)為兩個(gè)路由是等距離的。RIP最多支持的跳數(shù)為15,即在源和目的網(wǎng)間所要經(jīng)過的最多路由器的數(shù)目為15,斟數(shù)16表示不可達(dá)。1按拓?fù)鋱D配置所有路由器和交換機(jī)的網(wǎng)絡(luò)接口IP地址、掩碼地址。驗(yàn)證連通性。使用ping命令測(cè)試路由器互相連接的以太接口之間的連通性啟用RIP協(xié)議：使用命令：(config)#routerrip(config-rip)Sversion<1-2>(config-rip)#networknetworkaddresssubnetmask說明：每臺(tái)路由器的ripversion都設(shè)置為2。不同的version會(huì)造成實(shí)驗(yàn)的失敗。ripl和rip2的區(qū)別在于：RIPV1采用廣播地址作為來作為通告路由更新信息的目的地地址，而RIPV2采用組播地址作為來作為通告路由更新信息的目的地地址；RIPV1是有類路由協(xié)議，路由更新中沒有子網(wǎng)延碼，自動(dòng)匯總；RIPV2是無類路由協(xié)議，路由更新中包含子網(wǎng)延碼，可以手動(dòng)匯總，支持VLSM。在7203上：7203(config)#routerrip7203(config-rip)#version27203(config-rip)#network 10. 1. 1.0 7203(config-rip)#network 10. 1. 2.0 7203(config-rip)#network 10. 1. 3.0 7203(config-rip)ttnetwork 10. 1. 4.0 7203(config-rip)#network在7102A上:7102A(config)ttrouterrip7102A(config)ttrouterrip7102A(config-rip)Aversion7102A(config-rip)#network7102A(config-rip)ftnetwork7102A(config-rip)#network7102A(config-rip)#network7102A(config-rip)Snetwork在7102B上:7102B(config)#routerrip7102B(config-rip)ttversion27102B(config-rip)#network 10. 1. 1. 0 255. 255.255.07102B(config-rip)ttnetwork 10. 1. 2. 0 255. 255.255.07102B(config-rip)#network 10. 1. 3. 0 255. 255.255.07102B(config-rip)Snetwork 10. 1. 4. 0 255. 255.255.07102B(config-rip)Network查看路由表。使用命令：(config)#doshowiproute查看每臺(tái)路由器的路由表，并填寫下列表格實(shí)驗(yàn)八無線網(wǎng)絡(luò)環(huán)境.實(shí)驗(yàn)?zāi)康膶W(xué)習(xí)無線網(wǎng)絡(luò)使用環(huán)境熟悉無線設(shè)備基本情況熟悉無線AP的基本配置熟悉使用命令行（CLI）和網(wǎng)頁瀏覽器界面（Web）兩種方式管理AP.實(shí)驗(yàn)設(shè)備?AP420（或者AP530）?一臺(tái)有無線網(wǎng)卡（NIC）的PC機(jī).實(shí)驗(yàn)環(huán)境使用一條DB9的線纜連接PC機(jī)的COM1□和AP的console端口。Username:adminC0M1 ConsoleportPassword: .DB9cable AP420圖1配置無線AP.實(shí)驗(yàn)內(nèi)容基本無線網(wǎng)絡(luò)使用環(huán)境和特點(diǎn)

圖2圖2無線網(wǎng)絡(luò)環(huán)境802.11無線網(wǎng)絡(luò)布署有如下兩個(gè)基本特點(diǎn)：.依托于現(xiàn)有有線網(wǎng)絡(luò)。.AP作為邊緣接入設(shè)備，控制操作均來自管理中心。AP420和AP530的基本情況特點(diǎn)：■?802.11b/gradio-?8WLANsWEP,dynamicWEP,WPA/WPA2(802.111)SVPAP530-q、特點(diǎn)AP420s802.11b/gand802.11a,b/gradio特點(diǎn)：■?802.11b/gradio-?8WLANsWEP,dynamicWEP,WPA/WPA2(802.111)SVPAP530-q、特點(diǎn)AP420s802.11b/gand802.11a,b/gradio16WLANsWEP,dynamicWEP,WPA/WPA2(802.111)InternalRADIUSSVPWMMWirelessbridging(WDS)價(jià)格圖3AP420和AP53O比較查看AP420的指示燈了解無線網(wǎng)絡(luò)的工作狀況，具體指示燈含義如下:圖4Ap420指示燈含義無線AP的基本配置我們必須對(duì)AP配上相應(yīng)的IP之后，方可使用Telnet、SSH和Web等方式來管理AP,因?yàn)檫@些都是建立在IP網(wǎng)絡(luò)層以上的。在用DB9線纜連接好PC和AP之后，需要建立一個(gè)終端連接，其基本配置使用默認(rèn)值：Port:COM-1(standard)Baudrate:9600Databits:8Stopbit:1Parity:NoneFlowcontrol:None之后輸入默認(rèn)的管理員用戶名和密碼，AP420用戶名為admin,密碼為空；AP530用戶名和密碼都為admin。之后就可以進(jìn)入AP的命令行(CLI)配置模式了，AP420的CLI操作系統(tǒng)架構(gòu)如圖示：

usernamepassword /managementEthernetwireessssid[index|name]managerEXECglobalconfigurationconfigure1usernamepassword /managementEthernetwireessssid[index|name]managerEXECglobalconfigurationconfigure1,interfaceendSSID圖5AP420CL1操作系統(tǒng)架構(gòu)無線AP的國家代碼修改進(jìn)入管理員執(zhí)行模式之后，輸入命令"country?”:ProCurveAP420#country?ProCurveAP420#country<code>AP重起之后生效。保證AP的發(fā)送接收頻率滿足使用國家的許可要求后，AP方可正常工作。無線AP的提示符修改為了對(duì)AP進(jìn)行功能上的區(qū)分，需要對(duì)AP的提示名進(jìn)行修改，那么經(jīng)過以下命令之后，可以修改AP的名稱為L(zhǎng)AB-AP：ProCurveAP420#configureProCurveAP420(config)#promptLAB-AP之后的提示符就是：LAB-AP(config)#管理名用戶名和密碼修改為了保證AP的安全管理，進(jìn)入管理模式后可修改用戶名和密碼，輸入:LAB-AP(config)#managementLAB-AP(config-mgmt)#設(shè)置AP的管理員密碼和用戶名命令如下：LAB-AP(config-mgmt)#password-admin<password>LAB-AP(config-mgmt)#username-admin<name>增加CLI+Web的管理用戶名和密碼命令如下：LAB-AP(config-mgmt)#useraddcli+web<username><password>退出管理員模式：LAB-AP(config-mgmt)#end設(shè)置AP的IP地址為了管理AP和AP之后的工作站，必須為關(guān)掉AP的DHCP功能并為AP指定IP、mask和網(wǎng)關(guān)地址。命令如下：LAB-AP(config)#interfaceethernetLAB-AP(if-ethernet)#noipdhcpLAB-AP(if-ethernet)#ipaddressIP-ADDRIP-MASKIP-Gateway查看AP的配置(1)查看AP的當(dāng)前配置情況：LAB-AP(config)#showrunning-config可以看到剛才配好的AP名稱、IP地址等信息。(2)查看AP的無線接口：LAB-AP#showinterfacewirelessg可看到如F參數(shù)radio的狀態(tài)現(xiàn)有使用的頻道和其他radio的設(shè)置靜態(tài)WEP的密鑰分配(3)查看WLAN的設(shè)置：LAB-AP#showssid[index<number>Iname<ssid>]可看到如下參數(shù)：SSID安全設(shè)置Radius認(rèn)證設(shè)置(4)查看某個(gè)SSID下的具體設(shè)置LAB-AP(wireless-g-ssid-l)#show保存和刪除配置LAB-AP#writememoryLAB-AP#erasestartup-config管理無線AP的兩種方式命令行(CLI)和網(wǎng)頁瀏覽器界面(Web)對(duì)AP分配好地址之后，你就可以使用與AP用以太網(wǎng)口相連的PC來管理它了。CLITelnet+AP的IP地址進(jìn)行遠(yuǎn)程登錄安全的方式SSH：使用軟件PuTTY來打開一個(gè)SSH會(huì)話(2)頁面瀏覽器界面在瀏覽器中輸入AP的IP地址安全的方式Https：輸入https://IP-AP兩種安全的方式AP420都必須事先打開相關(guān)功能。之后輸入管理員帳號(hào)和密碼即可登錄。Web界面如圖示:

Radio是關(guān)閉的ThankyouforpurchasingthisHPJ8130AWirelessAccessPoint420We'dliketokeepyouuptodateabout?Softwarefeatureupdates?Newproductannouncements?Specialevents圖6Ap420的Web登錄界面按下Identity鍵可以看到基本的系統(tǒng)信息，包括：軟件版本，系統(tǒng)更新時(shí)間，IP地址和以太網(wǎng)接口的MAC地址等。實(shí)驗(yàn)九安全無線網(wǎng)絡(luò)的設(shè)計(jì)和部署.實(shí)驗(yàn)?zāi)康耐ㄟ^AP420設(shè)計(jì)實(shí)驗(yàn)室統(tǒng)一互聯(lián)的無線局域網(wǎng)理解802.11i的相關(guān)安全機(jī)制為該無線局域網(wǎng)部署安全接入和加密方法設(shè)計(jì)集中的DHCP和Radius服務(wù)器，來為無線客戶端分配IP和進(jìn)行安全身份認(rèn)證，并制定交換機(jī)端口無線接入和群組策略.實(shí)驗(yàn)設(shè)備6臺(tái)AP420(或者AP530)7臺(tái)5300x1交換機(jī),一臺(tái)Windows2003Server的服務(wù)器和多臺(tái)無線接入客戶端計(jì)算機(jī)，其中Windows2003Server必須包含如下組件：Internet認(rèn)證服務(wù)(IAS)；2)動(dòng)態(tài)目錄(ActiveDirectory)3)動(dòng)態(tài)主機(jī)地址分配協(xié)議(DynamicHostConfigurationProtocol)4)支持Java控件的瀏覽器無線客戶端計(jì)算機(jī)為WindowsXPServicePack2并包含無線客戶端配置工具。.實(shí)驗(yàn)環(huán)境考慮到實(shí)驗(yàn)室AP的分配情況,6臺(tái)AP420通過6臺(tái)5300x1連到中心5300x1交換機(jī)，服務(wù)器與中心交換機(jī)直聯(lián)，我們?cè)O(shè)計(jì)整個(gè)無線局域網(wǎng)連接如圖所示:AP420_l5300xl_lJ-i?2HJ?*?**?AP420_205300xl_35300xl_2AP420_30AP420.40無線客戶端認(rèn)證成

功后動(dòng)態(tài)分配IP5300xl_4AP420.505300xl_5DHCP和Radius服務(wù)器5300xWindows2003server0AP420_60J-AP420_l5300xl_lJ-i?2HJ?*?**?AP420_205300xl_35300xl_2AP420_30AP420.40無線客戶端認(rèn)證成

功后動(dòng)態(tài)分配IP5300xl_4AP420.505300xl_5DHCP和Radius服務(wù)器5300xWindows2003server0AP420_60J-5300xl_6圖1實(shí)驗(yàn)室無線局域網(wǎng)連接圖整個(gè)實(shí)驗(yàn)中設(shè)備的IP地址分配如表所示設(shè)備IP地址子網(wǎng)掩碼地址分配方式5300x靜態(tài)指定5300xl_l~5300xl_6-靜態(tài)指定AP420_l~AP420_60、0、0、0,0、0靜態(tài)指定Windows2003Server0靜態(tài)指定WindowsXPStation動(dòng)態(tài)(?54)由DHCP月艮務(wù)器動(dòng)態(tài)分配表1網(wǎng)絡(luò)交換設(shè)備的IP分配衣.實(shí)驗(yàn)內(nèi)容為所有的AP420和5300x1交換機(jī)設(shè)置VLAN成員按照上圖連接好各網(wǎng)元之后，需要為連接AP420和Windows2003Server的交換機(jī)端口設(shè)置正確的VLAN成員。實(shí)驗(yàn)中主要分了3個(gè)不同的VLAN,其中無線客戶端通過VLAN8來獲取動(dòng)態(tài)IP地址，Windows2003Server放在VLAN10中，為客戶端提供認(rèn)證和DHCP服務(wù)，而所有網(wǎng)元處于VLAN1中分配/25段的IP地址便于進(jìn)行管理。AP420設(shè)置兩個(gè)不同SSID的WLAN為用戶和管理員提供不同的VLAN接口。如表所示：設(shè)備VLANID用途中心5300x11管理用途VLAN8無線客戶端所屬的VLAN10Windows2003Server所屬的有線VLAN段5300xl_l~5300xl_61管理用途VLAN8無線流量轉(zhuǎn)發(fā)VLANAP4201SSID為Faculty-X的WLAN專用VLAN8SSID為Admin-X的WLAN專用VLAN表2VLAN成員分配表.配置中心5300x1交換機(jī)a.為VLAN1分配IP地址，作為管理VLAN的網(wǎng)關(guān)，啟用IP路由ProCurveSwitch#configureterminalProCurveSwitch(config)#vlan1ipaddressProCurveSwitch(config)#iproutingb.為VLAN8配置六個(gè)tagged端口，表示與5300x1」?5300xl_6相連，并設(shè)為VLAN8的網(wǎng)關(guān)IP,并添加DHCP服務(wù)器地址ProCurveSwitch(config)#vlan8tagged<port#>-<port#>ProCurveSwitch(config)#vlan8ipaddressProCurveSwitch(config)#vlan8iphelper-address0c.將Windows2003Server連接的端口設(shè)為untagged,并設(shè)為VLAN10的網(wǎng)關(guān)IPProCurveSwitch(config)#vlan10untagged<port#>ProCurveSwitch(config)#vlan10ipaddressd.保存交換機(jī)配置ProCurveSwitch(config)#writememory.酉己置5300x1」?5300xl_6交換機(jī)a.配置與中心5300x1相連的端口為VLAN1的tagged成員，并添加用于管理的IP地址(見表一)ProCurveSwitch#configureterminalProCurveSwitch(config)#vlan1tagged<port#>ProCurveSwitch(config)#vlan1ipaddress10.1.1.xb.配置與AP相連的端口和與中心5300x1相連的端口為VLAN8的tagged成員，用于無線通信的轉(zhuǎn)發(fā)ProCurveSwitch(config)#vlan8tagged<port#>-<port#>c.保存交換機(jī)配置ProCurveSwitch(config)#writememory.為AP添加管理IP(IP分配如表一)ProCurveAP420#configureProCurveAP420(config)#interfaceethernetProCurveAP420(if-ethernet)#noipdhcpProCurveAP420(if-ethernet)#ipaddress10.1.1.X配置好之后用ping命令檢查各網(wǎng)元的連通性。.2理解802.11i的無線安全機(jī)制并對(duì)AP420進(jìn)行無線安全設(shè)置.接入認(rèn)證技術(shù)：802.lx端口控制協(xié)議.1X協(xié)議把交換設(shè)備上的端口分為兩種受控端口(Controlledport)和非受控端口(Uncontrolledport),如圖所示：

PAEPAEStation f^HSESSm鹿麗S畫RADIUS

server圖2802.lx端口控制技術(shù)*PAE=端口訪問實(shí)體（portaccessentity）,基于端口實(shí)現(xiàn)的802.1x虛擬實(shí)體受控端口的作用是：可以通過所有的流量，但未認(rèn)證之前是關(guān)閉的主要用于基于認(rèn)證狀態(tài)的網(wǎng)絡(luò)接入控制非受控端口的作用是：僅僅允許EAP（ExtensibleAuthenticationProtocol擴(kuò)展認(rèn)證協(xié)議）流量通過用于傳送認(rèn)證消息受控端口分為兩種狀態(tài)：當(dāng)連接最開始而且沒有通過認(rèn)證或者終端認(rèn)證失敗時(shí)處于禁止?fàn)顟B(tài)；當(dāng)認(rèn)證服務(wù)器返回EAP-Success或者認(rèn)證者假定網(wǎng)絡(luò)沒有啟用802.1X時(shí)，該端口處于放行狀態(tài)。而消息是通過EAP（Extensibleauthenticationprotocol擴(kuò)充認(rèn)證協(xié)議）方法來傳送的。圖示是EAP-md5和EAP-GTC兩種方法，并用表將所有EAP方法的安全特性進(jìn)行比較；不安全因素：?不安全因素：?沒有密鑰分配?沒有相互認(rèn)證?用戶名使用明文發(fā)送?MD5一用戶名和哈希后的密碼?GTC一用戶名和計(jì)算值來自令牌卡EAPRequest/MD5RADIUSserver（或者密碼）EAPRequest/MD5RADIUSserverStation口）））MySecretHash|3$EAPResponse/MD5Userl3$圖3較常用的兩種EAP方法EAP方法認(rèn)證憑據(jù)密鑰分發(fā)相互認(rèn)證隱藏用戶身份協(xié)議公開性RFC文檔請(qǐng)求者服務(wù)器MD5UsernamePasswordNoneV1321TLSCertificateCertificate7JV2716TTLSUsernamePasswordCertificateVV必需VPEAPUsernamePasswordCertificateVV可選VSIMSIMcardGSM三元組VV可選V(GSM)4186AKAUSIM3rdgenerationAKAJV可選V(UGSM)4187LEAPUsernamePasswordPasswordVVCisco專有SRPUsernamePasswordPasswordVV可選V表3常用EAP方法應(yīng)用和安全比較在微軟的操作系統(tǒng)中應(yīng)用比較廣泛的是EAP-PEAP,本實(shí)驗(yàn)也采用PEAP方法進(jìn)行配置。2.幀加密算法：TKIP和CCMP/AES加密算法無線因?yàn)槲锢韺邮峭耆_放，它不同于有線，任何人都可以偵聽空口的數(shù)據(jù)幀，二層加密是必需啟用的。802.11無線最開始使用的是WEP加密算法，是RC4算法的一種應(yīng)用。但隨著應(yīng)用的推廣，它的弱點(diǎn)不斷體現(xiàn)出來，主要是有兩個(gè)缺陷：存在弱密鑰，一但某個(gè)加密密鑰流中出現(xiàn)了一個(gè)弱密鑰，整個(gè)完整的密鑰流可以被完全推出來；初始化向量IV過短，重復(fù)的可能非常大，對(duì)于抗重放攻擊存在致命弱點(diǎn)。為此，IEEE802.1li標(biāo)準(zhǔn)提出了兩種新的加密算法：TKIP是WEP算法的升級(jí)版本，通過密鑰的兩次雜湊過程較好的解決了弱密鑰的問題并且增加了初始化向量的長(zhǎng)度降低了重復(fù)的可能，這種方法只要對(duì)WEP進(jìn)行簡(jiǎn)單的軟件升級(jí)就可使用，保證了802.11無線設(shè)備的向下兼容性；CCMP/AES則是來自美國國家標(biāo)準(zhǔn)和技術(shù)研究所（NIST）2000年12月頒布的新一代加密標(biāo)準(zhǔn)算法，它的加密強(qiáng)度更高更可靠。本實(shí)驗(yàn)中選用的組播使用TKIP,單播采用TKIP+AES,下面對(duì)TKIP中組

播和單播的密鑰產(chǎn)生過程介紹，實(shí)驗(yàn)中可以比較組播不加密和加密時(shí)的性能差別。TKIP通過四次握手來完成單播密鑰的協(xié)商，如圖所示:圖4TKIP的四次握手協(xié)商圖4TKIP的四次握手協(xié)商StationO')))AP-J隨機(jī)擴(kuò)充eGMK用于生成廣播和組播的每幀密鑰Station，))))AP-J隨機(jī)擴(kuò)充eGMK用于生成廣播和組播的每幀密鑰Station，))))圖5無線組播密鑰下發(fā)完成單播密鑰協(xié)商之后，AP負(fù)責(zé)給關(guān)聯(lián)的客戶端下發(fā)組播密鑰，如圖所示:依靠四次握手種產(chǎn)生的KCK和KEK保證組播密鑰分發(fā)的安全性和完整性校驗(yàn)StationStation 川口)))根據(jù)PTK或GTK中的TK來生成每幀的密鑰包括兩個(gè)步驟，如圖所示:每幀密鑰每幀密鑰PairwiseorgroupTKFirst32bitsofIV圖6每幀密鑰生成每幀完整性檢查MIC生成方法如圖所示：HeaderEncryptedDataMIC圖7Mle生成方法接收方通過校驗(yàn)MIC來判斷數(shù)據(jù)幀中有沒被修改過分析完802.1li的基本框架之后就可以來配置無線AP的安