通信系統(tǒng)實(shí)驗(yàn)-實(shí)驗(yàn)三四-實(shí)驗(yàn)報(bào)告

實(shí)驗(yàn)三：無(wú)線局域網(wǎng)與路由器應(yīng)用實(shí)驗(yàn)四：網(wǎng)絡(luò)攻擊與防護(hù)實(shí)驗(yàn)（第37頁(yè)起）1實(shí)驗(yàn)?zāi)康牧私鉄o(wú)線局域網(wǎng)組成原理了解路由器基本工作原理了解NAT、DHCP基本原理學(xué)習(xí)無(wú)線AP和無(wú)線網(wǎng)卡基本配置方法學(xué)習(xí)無(wú)線路由器基本配置方法掌握NAT、DHCP和靜態(tài)路由的配置方法研究并驗(yàn)證路由器轉(zhuǎn)發(fā)機(jī)制。2實(shí)驗(yàn)原理2.1IEEE802.11無(wú)線局域網(wǎng)組成原理無(wú)線局域網(wǎng)絡(luò)(WirelessLocalAreaNetworks；WLAN)是相當(dāng)便利的數(shù)據(jù)傳輸系統(tǒng)，它利用射頻(RadioFrequency；RF)的技術(shù)，取代舊式礙手礙腳的雙絞銅線(Coaxial)所構(gòu)成的局域網(wǎng)絡(luò)，使得無(wú)線局域網(wǎng)絡(luò)能利用簡(jiǎn)單的存取架構(gòu)讓用戶透過(guò)它，達(dá)到「信息隨身化、便利走天下」的理想境界。

1工作站STA（Station）---無(wú)線節(jié)點(diǎn)或移動(dòng)站。2接入點(diǎn)AP（AccessPoint）提供工作站到分發(fā)系統(tǒng)的接入；完成無(wú)線網(wǎng)幀到分發(fā)系統(tǒng)幀的相互格式轉(zhuǎn)換； 實(shí)現(xiàn)橋接功能；進(jìn)行功率控制、接入控制等。3分發(fā)系統(tǒng)DS（DistributionSystem）用于連接各個(gè)基本服務(wù)集（BSS）中的AP；連接其它有線網(wǎng)絡(luò)（以太網(wǎng)）等。4無(wú)線介質(zhì)WM（WirelessMedium）無(wú)線網(wǎng)使用的自由空間。

獨(dú)立基本服務(wù)集（IBSS）模式

無(wú)基站的點(diǎn)對(duì)點(diǎn)對(duì)等（adhoc）網(wǎng)絡(luò)以太網(wǎng)BSS以太網(wǎng)BSS有基站AP的InfrastructureBSS的網(wǎng)絡(luò)WDS無(wú)線分布式系統(tǒng)DS（DistributionSystem）：分布式系統(tǒng)ESSSSID相同ESSSSID相同以太網(wǎng)BSS2BSS1擴(kuò)大無(wú)線網(wǎng)絡(luò)規(guī)?；蚍秶⌒虸ntranet局域網(wǎng)絡(luò)方案2.2路由器基本工作原理傳統(tǒng)地，路由器工作于OSI七層協(xié)議中的第三層，其主要任務(wù)是接收來(lái)自一個(gè)網(wǎng)絡(luò)接口的數(shù)據(jù)包，根據(jù)其中所含的目的地址，決定轉(zhuǎn)發(fā)到下一個(gè)目的地址。因此，路由器首先得在轉(zhuǎn)發(fā)路由表中查找它的目的地址，若找到了目的地址，就在數(shù)據(jù)包的幀格前添加下一個(gè)MAC地址，同時(shí)IP數(shù)據(jù)包頭的TTL（TimeToLive）域也開(kāi)始減數(shù)，并重新計(jì)算校驗(yàn)和。當(dāng)數(shù)據(jù)包被送到輸出端口時(shí)，它需要按順序等待，以便被傳送到輸出鏈路上。路由器在工作時(shí)能夠按照某種路由通信協(xié)議查找設(shè)備中的路由表。如果到某一特定節(jié)點(diǎn)有一條以上的路徑，則基本預(yù)先確定的路由準(zhǔn)則是選擇最優(yōu)（或最經(jīng)濟(jì)）的傳輸路徑。由于各種網(wǎng)絡(luò)段和其相互連接情況可能會(huì)因環(huán)境變化而變化，因此路由情況的信息一般也按所使用的路由信息協(xié)議的規(guī)定而定時(shí)更新。網(wǎng)絡(luò)中，每個(gè)路由器的基本功能都是按照一定的規(guī)則來(lái)動(dòng)態(tài)地更新它所保持的路由表，以便保持路由信息的有效性。為了便于在網(wǎng)絡(luò)間傳送報(bào)文，路由器總是先按照預(yù)定的規(guī)則把較大的數(shù)據(jù)分解成適當(dāng)大小的數(shù)據(jù)包，再將這些數(shù)據(jù)包分別通過(guò)相同或不同路徑發(fā)送出去。當(dāng)這些數(shù)據(jù)包按先后秩序到達(dá)目的地后，再把分解的數(shù)據(jù)包按照一定順序包裝成原有的報(bào)文形式。路由器的分層尋址功能是路由器的重要功能之一，該功能可以幫助具有很多節(jié)點(diǎn)站的網(wǎng)絡(luò)來(lái)存儲(chǔ)尋址信息，同時(shí)還能在網(wǎng)絡(luò)間截獲發(fā)送到遠(yuǎn)地網(wǎng)段的報(bào)文，起轉(zhuǎn)發(fā)作用；選擇最合理的路由，引導(dǎo)通信也是路由器基本功能；多協(xié)議路由器還可以連接使用不同通信協(xié)議的網(wǎng)絡(luò)段，成為不同通信協(xié)議網(wǎng)絡(luò)段之間的通信平臺(tái)。路由器組網(wǎng)特點(diǎn)1多種網(wǎng)絡(luò)的互聯(lián)路由------作用于第三層?？缭交ヂ?lián)網(wǎng)絡(luò)，把信息從源端送到目的地端。橋接------依據(jù)第二層幀頭中的MAC地址信息，把數(shù)據(jù)從源端向目的端轉(zhuǎn)發(fā)。特點(diǎn)：1、以網(wǎng)絡(luò)層包頭中的網(wǎng)絡(luò)地址信息作為轉(zhuǎn)發(fā)的依據(jù)。2、減少了對(duì)鏈路層特定網(wǎng)絡(luò)技術(shù)的依賴性。3、具有廣播包抑制和子網(wǎng)隔離功能。4、網(wǎng)絡(luò)時(shí)延大于網(wǎng)橋2網(wǎng)絡(luò)的隔離監(jiān)控、攔截和過(guò)濾信息：根據(jù)局域網(wǎng)絡(luò)的地址和協(xié)議類型。根據(jù)網(wǎng)絡(luò)號(hào)、主機(jī)的網(wǎng)絡(luò)地址、地址掩碼、數(shù)據(jù)類型?？梢员苊鈴V播風(fēng)暴，提高網(wǎng)絡(luò)性能有利于提高網(wǎng)絡(luò)的安全和保密性3擁塞控制采用優(yōu)化的路由算法來(lái)均衡網(wǎng)絡(luò)負(fù)載，從而有效地控制擁塞。4網(wǎng)絡(luò)地址轉(zhuǎn)換路由器功能將收到的報(bào)文轉(zhuǎn)發(fā)到正確的輸出端口；維護(hù)路由表，作為報(bào)文轉(zhuǎn)發(fā)的依據(jù)。路由器工作流程:1接收幀，獲取IP報(bào)文；2檢驗(yàn)IP報(bào)文頭部；3選項(xiàng)處理；4本地遞交或轉(zhuǎn)發(fā)；5轉(zhuǎn)發(fā)尋徑；6轉(zhuǎn)發(fā)驗(yàn)證；7TTL處理；8數(shù)據(jù)幀的分段；9鏈路層尋址。基本概念：靜態(tài)路由：（非自適應(yīng)算法）由網(wǎng)絡(luò)管理員采用手工方法在路由器中配置路由表；在路由器的工作中，路由表不會(huì)隨網(wǎng)絡(luò)拓?fù)涞淖兓淖?。在一些特定的?chǎng)合，使用靜態(tài)路由可以減少開(kāi)銷，提高網(wǎng)絡(luò)的性能。端網(wǎng)絡(luò)：整個(gè)網(wǎng)絡(luò)僅有一條鏈路與其它網(wǎng)絡(luò)相連；端網(wǎng)絡(luò)使用靜態(tài)路由可以提升網(wǎng)絡(luò)性能。默認(rèn)路由：當(dāng)路由器無(wú)法在本地路由表中找到目的網(wǎng)絡(luò)路徑時(shí)所使用的路由。默認(rèn)路由能夠有效簡(jiǎn)化端網(wǎng)絡(luò)路由器的設(shè)置。動(dòng)態(tài)路由：（自適應(yīng)算法）路由器隨時(shí)從網(wǎng)絡(luò)上獲得的路由信息中生成和更新路由表；能夠根據(jù)網(wǎng)絡(luò)拓?fù)涞淖兓?，自?dòng)變更路由表。路由協(xié)議：包括路由器優(yōu)選最佳路由的一組算法規(guī)則，并規(guī)定網(wǎng)絡(luò)中路由器之間交換路由信息的具體格式和方法；根據(jù)路由協(xié)議的工作范圍，可以分為內(nèi)部路由協(xié)議和外部路由協(xié)議二大類；每一種路由協(xié)議按照不同的方式表示路由信息，并遵循不同的發(fā)布和處理路由信息的規(guī)則。2.3IP地址分配與NAT、DHCP技術(shù)IP地址的格式和分類1.IP地址的格式IP地址有二進(jìn)制格式和十進(jìn)制格式；十進(jìn)制格式是由二進(jìn)制翻譯過(guò)去的。用十進(jìn)制表示，是為了使用戶和網(wǎng)管人員便于使用和掌握。二進(jìn)制的IP地址共有32位，例如：10000011，01101011，00000011，00011000。每八位組用一個(gè)十進(jìn)制數(shù)表示，并以點(diǎn)分隔稱為點(diǎn)分法。上例變?yōu)?2.IP地址的分類IP地址分為五類等級(jí)：A、B、C、D、E。通用格式為M:類的等級(jí)號(hào)；NET:網(wǎng)絡(luò)號(hào)；HOST:主機(jī)號(hào)(在Internet上的計(jì)算機(jī)都稱為主機(jī))。等級(jí)號(hào)標(biāo)志為A、B、C。M、NET和HOST號(hào)隨不同等級(jí)在32位中所占的位數(shù)不同。A、B、C類的區(qū)別見(jiàn)下表?！類IP地址：一般用于大型網(wǎng)絡(luò)，結(jié)構(gòu)如下：前一個(gè)八位代表網(wǎng)絡(luò)號(hào)，后三個(gè)八位代表主機(jī)號(hào)。32位的第1、2、3位為000；十進(jìn)制的第一組為000～127。只要見(jiàn)為000～126，就知為A類地址，十進(jìn)制可寫成001.x.y.z～126.x.y.z?！類IP地址：一般用于Cernet網(wǎng)的各地區(qū)網(wǎng)管中心。前2個(gè)八位代表網(wǎng)絡(luò)號(hào)，后2個(gè)八位代表主機(jī)號(hào)。32位第1、2、3位為100；十進(jìn)制的第一組為128～191，由此值用戶可知為B類IP地址。十進(jìn)制寫成(128～191).x.y.z。一個(gè)B類IP地址共有214=16384個(gè)C類IP地址，所以華中地區(qū)網(wǎng)只能聯(lián)16384個(gè)主機(jī)或子網(wǎng)絡(luò)。·C類地址：一般用于校園網(wǎng)。C類IP地址的32位前三位為110，十進(jìn)制第一組為192～223，見(jiàn)到(192～223).x.y.z，由此可知為C類地址。武漢工業(yè)大學(xué)的IP地址為202.114.28.(1～254)。一個(gè)C類地址共可聯(lián)上28=256個(gè)主機(jī)。Chinanet申請(qǐng)了32個(gè)C類地址。武漢工業(yè)大學(xué)申請(qǐng)了16個(gè)C地址(待駐日本亞太地區(qū)組織批復(fù))。一個(gè)C類IP地址可用屏蔽碼技術(shù)改為128個(gè)子網(wǎng)段，每個(gè)子網(wǎng)段可聯(lián)上相應(yīng)的主機(jī)數(shù)。C類地址間只有通過(guò)路由器才能工作。NAT（NetworkAddressTranslation）網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)NAT地址轉(zhuǎn)換方案：多地址NAT：擁有k個(gè)實(shí)地址，動(dòng)態(tài)映射到需要內(nèi)-外訪問(wèn)的主機(jī)；LAN內(nèi)最多只能有k臺(tái)主機(jī)可以同時(shí)訪問(wèn)外網(wǎng)。端口映射NAT：網(wǎng)絡(luò)地址到端口的轉(zhuǎn)換（NAPT）；NATBox至少擁有一個(gè)外網(wǎng)實(shí)IP地址和一個(gè)內(nèi)網(wǎng)私有IP地址。DHCP是DynamicHostConfigurationProtocol(動(dòng)態(tài)主機(jī)配置協(xié)議）縮寫，它的前身是BOOTP。BOOTP原本是用于無(wú)磁盤主機(jī)連接的網(wǎng)絡(luò)上面的：網(wǎng)絡(luò)主機(jī)使用BOOTROM而不是磁盤啟動(dòng)并連接上網(wǎng)絡(luò)，BOOTP則可以自動(dòng)地為那些主機(jī)設(shè)定TCP/IP環(huán)境。但BOOTP有一個(gè)缺點(diǎn)：您在設(shè)定前須事先獲得客戶端的硬件地址，而且與IP的對(duì)應(yīng)是靜態(tài)的。換而言之，BOOTP非常缺乏"動(dòng)態(tài)性"，若在有限的IP資源環(huán)境中，BOOTP的一一對(duì)應(yīng)會(huì)造成非常嚴(yán)重的資源浪費(fèi)。DHCP可以說(shuō)是BOOTP的增強(qiáng)版本，它分為兩個(gè)部分：一個(gè)是服務(wù)器端，而另一個(gè)是客戶端。所有的IP網(wǎng)絡(luò)設(shè)定數(shù)據(jù)都由DHCP服務(wù)器集中管理，并負(fù)責(zé)處理客戶端的DHCP要求；而客戶端則會(huì)使用從服務(wù)器分配下來(lái)的IP環(huán)境數(shù)據(jù)。使用DHCP，整個(gè)計(jì)算機(jī)的配置文件都可以在一條信息中獲得（除了IP地址，服務(wù)器可以同時(shí)發(fā)送子網(wǎng)掩碼、缺省網(wǎng)關(guān)、DNS服務(wù)器和其他的TCP/IP配置）。比較起B(yǎng)OOTP，DHCP透過(guò)"租約"的概念，有效且動(dòng)態(tài)的分配客戶端的TCP/IP設(shè)定，而且，作為兼容考慮，DHCP也完全照顧了BOOTPClient的需求。DHCP的分配形式：首先，必須至少有一臺(tái)DHCP服務(wù)器工作在網(wǎng)絡(luò)上面，它會(huì)監(jiān)聽(tīng)網(wǎng)絡(luò)的DHCP請(qǐng)求，并與客戶端磋商TCP/IP的設(shè)定環(huán)境。2.4網(wǎng)絡(luò)防火墻組成原理防火墻技術(shù)，最初是針對(duì)Internet網(wǎng)絡(luò)不安全因素所采取的一種保護(hù)措施。顧名思義，防火墻就是用來(lái)阻擋外部不安全因素影響的內(nèi)部網(wǎng)絡(luò)屏障，其目的就是防止外部網(wǎng)絡(luò)用戶未經(jīng)授權(quán)的訪問(wèn)。它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使Internet與Internet之間建立起一個(gè)安全網(wǎng)關(guān)（SecurityGateway），從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務(wù)訪問(wèn)政策、驗(yàn)證工具、包過(guò)濾和應(yīng)用網(wǎng)關(guān)4個(gè)部分組成，防火墻就是一個(gè)位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件或硬件(其中硬件防火墻用的很少只有國(guó)防部等地才用,因?yàn)樗鼉r(jià)格昂貴)。該計(jì)算機(jī)流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過(guò)此防火墻。防火墻的典型結(jié)構(gòu)數(shù)據(jù)包過(guò)濾技術(shù)數(shù)據(jù)包過(guò)濾技術(shù)主要應(yīng)用在網(wǎng)絡(luò)層，同時(shí)還要結(jié)合傳輸層加以控制。屏蔽路由器利用訪問(wèn)控制表（ACL），嚴(yán)格檢查每個(gè)數(shù)據(jù)包，實(shí)施包過(guò)濾策略。靜態(tài)ACL的配置和系統(tǒng)維護(hù)工作量相當(dāng)可觀。基于狀態(tài)的包過(guò)濾技術(shù)在路由器的內(nèi)存中維護(hù)著一個(gè)動(dòng)態(tài)的訪問(wèn)列表，數(shù)據(jù)包到達(dá)時(shí)，根據(jù)訪問(wèn)規(guī)則和數(shù)據(jù)包所處的狀態(tài)處理該數(shù)據(jù)包。數(shù)據(jù)包過(guò)濾不能提供高安全性的需求，但可以對(duì)付大多數(shù)的網(wǎng)絡(luò)攻擊。3實(shí)驗(yàn)內(nèi)容1無(wú)線局域網(wǎng)配置與管理基本任務(wù)（Part1）：1組建無(wú)線局域網(wǎng)絡(luò)環(huán)境。構(gòu)建基本服務(wù)集（BSS）；安裝與配置無(wú)線AP；安裝與配置無(wú)線網(wǎng)卡；構(gòu)建無(wú)基站的點(diǎn)對(duì)點(diǎn)（adhoc）網(wǎng)絡(luò)。研究BSS與adhoc組網(wǎng)應(yīng)用中如何不同。2組建擴(kuò)展服務(wù)集（ESS）網(wǎng)絡(luò)環(huán)境采用以太網(wǎng)互連多個(gè)無(wú)線AP；采用WDS和無(wú)線橋接擴(kuò)展覆蓋范圍；研究不同無(wú)線擴(kuò)展情況下的通信特征?；救蝿?wù)（Part2）：1配置無(wú)線路由器，組建一個(gè)Intranet局域網(wǎng)絡(luò)。要求外網(wǎng)WAN接口連接校園網(wǎng)，內(nèi)網(wǎng)LAN接口連接3臺(tái)以上PC節(jié)點(diǎn)。2配置WAN和LAN屬性，配置并啟用DHCP服務(wù)。要求內(nèi)網(wǎng)PC能夠自動(dòng)獲得IP地址（固定或動(dòng)態(tài)地址。3配置傳輸控制（NAT、DMZ、路由）功能選項(xiàng)，實(shí)現(xiàn)外網(wǎng)與內(nèi)網(wǎng)PC主機(jī)的P2P（Windows遠(yuǎn)程桌面）通信。4自行設(shè)計(jì)實(shí)驗(yàn)方法和步驟，驗(yàn)證路由器轉(zhuǎn)發(fā)數(shù)據(jù)包的過(guò)程；研究DHCP、NAT和DMZ等工作機(jī)理。挑戰(zhàn)1：1設(shè)計(jì)并組建一個(gè)具有單DMZ子網(wǎng)過(guò)濾的小型Intranet局域網(wǎng)絡(luò)；2配置無(wú)線路由器和堡壘主機(jī)代理服務(wù)。要求外部網(wǎng)絡(luò)能夠訪問(wèn)堡壘主機(jī)，但不能訪問(wèn)內(nèi)部網(wǎng)絡(luò)。要求內(nèi)部主機(jī)能夠有條件得訪問(wèn)外部網(wǎng)絡(luò)。3設(shè)計(jì)恰當(dāng)?shù)膶?shí)驗(yàn)方法，研究和驗(yàn)證防火墻的功能。4使用WAN1接口連接校園網(wǎng)，WAN2接口連接到實(shí)驗(yàn)室內(nèi)網(wǎng)（具備DHCP服務(wù)），研究外網(wǎng)均衡和冗余連接功能。4原始數(shù)據(jù)、實(shí)驗(yàn)結(jié)果及分析4.1基本任務(wù)1完成記錄與分析1組建無(wú)線局域網(wǎng)絡(luò)環(huán)境構(gòu)建基本服務(wù)集（BSS）：通過(guò)連接路由器tp-link的控制端口到PC，在PC上設(shè)置本地連接的IP地址設(shè)為自動(dòng)獲取或者如上圖靜態(tài)的地址。在瀏覽器輸入地址：（這個(gè)地址一般由路由器規(guī)定），可進(jìn)入到路由器的設(shè)置頁(yè)面。經(jīng)過(guò)如圖的設(shè)置后可以成功構(gòu)建基本服務(wù)集（BSS）。之后通過(guò)有線或者無(wú)線連接路由器的PC機(jī)成功設(shè)置IP地址后就可以連接網(wǎng)絡(luò)。構(gòu)建無(wú)基站的點(diǎn)對(duì)點(diǎn)（adhoc）網(wǎng)絡(luò)Adhoc組網(wǎng)無(wú)需路由器，只需一臺(tái)pc進(jìn)行如圖的設(shè)置，創(chuàng)建一個(gè)新的連接：計(jì)算機(jī)到計(jì)算機(jī)。選擇開(kāi)放式、WEP的網(wǎng)絡(luò)身份驗(yàn)證和數(shù)據(jù)加密的形式，設(shè)置密碼。此時(shí)另一臺(tái)PC可以連接上該無(wú)線網(wǎng)絡(luò)。小組在進(jìn)行實(shí)驗(yàn)時(shí)，一開(kāi)始發(fā)現(xiàn)只能2臺(tái)計(jì)算級(jí)對(duì)連，第三臺(tái)連上時(shí)，第二臺(tái)就會(huì)斷開(kāi)連接。后來(lái)經(jīng)過(guò)排查，發(fā)現(xiàn)時(shí)第三臺(tái)連接時(shí)密碼輸入錯(cuò)誤，導(dǎo)致出現(xiàn)了錯(cuò)誤，在正確設(shè)置后可以進(jìn)行多臺(tái)PC機(jī)之間的連接了。研究BSS與adhoc組網(wǎng)應(yīng)用中如何不同基本服務(wù)集有兩種類型：一種是基礎(chǔ)設(shè)施模式的基本服務(wù)集，包含一個(gè)AP和若干個(gè)移動(dòng)臺(tái)；另一種是獨(dú)立模式的基本服務(wù)集，由若干個(gè)移動(dòng)臺(tái)組成，其中的一個(gè)充當(dāng)主移動(dòng)臺(tái)。每個(gè)基本服務(wù)集都一個(gè)唯一的標(biāo)識(shí)，稱為BSSID。在基本服務(wù)集中，所有無(wú)線設(shè)備關(guān)聯(lián)到一個(gè)訪問(wèn)點(diǎn)上，該訪問(wèn)點(diǎn)連接其他有線設(shè)備（也可能不連接），并且控制和主導(dǎo)整個(gè)BSS中的全部數(shù)據(jù)的傳輸過(guò)程。BSS使用發(fā)射器的第二層地址（通常是MAC地址）作為其BSSID（基礎(chǔ)服務(wù)集標(biāo)識(shí)符），亦可以指定一個(gè)ESSID（擴(kuò)展服務(wù)集標(biāo)識(shí)符）來(lái)幫助記憶。2組建擴(kuò)展服務(wù)集（ESS）網(wǎng)絡(luò)環(huán)境寬帶路由器上WAN口與LAN口的區(qū)別

WAN是英文Wide

Area

Network的首字母所寫，即代表廣域網(wǎng)；而LAN則是Local

Area

Network的所寫，即本地網(wǎng)（或叫局域網(wǎng)）。

從它們的名稱上我們就不難看出，WAN口主要用于連接外部網(wǎng)絡(luò)，如ADSL、DDN、以太網(wǎng)等各種接入線路；而LAN口用來(lái)連接家庭內(nèi)部網(wǎng)絡(luò)，主要與家庭網(wǎng)絡(luò)中的交換機(jī)、集線器或PC相連?？梢哉f(shuō)這兩類網(wǎng)口一類對(duì)外，一類對(duì)內(nèi)。SSID是ServiceSetIdentifier的縮寫，意思是：服務(wù)集標(biāo)識(shí)。SSID技術(shù)可以將一個(gè)無(wú)線局域網(wǎng)分為幾個(gè)需要不同身份驗(yàn)證的子網(wǎng)絡(luò)，每一個(gè)子網(wǎng)絡(luò)都需要獨(dú)立的身份驗(yàn)證，只有通過(guò)身份驗(yàn)證的用戶才可以進(jìn)入相應(yīng)的子網(wǎng)絡(luò)，防止未被授權(quán)的用戶進(jìn)入本網(wǎng)絡(luò)。第一種：第二種：WDS可以讓無(wú)線設(shè)備之間通過(guò)無(wú)線進(jìn)行橋接(中繼)，同時(shí)具備覆蓋的功能。一般來(lái)說(shuō)無(wú)線路由器無(wú)線橋接成功，可以實(shí)現(xiàn)遠(yuǎn)距離傳輸信號(hào)，擴(kuò)大信號(hào)覆蓋面，設(shè)置成功后信號(hào)也很穩(wěn)定。過(guò)程如下：

一、登陸第一個(gè)路由器(連接寬帶的)

1)網(wǎng)絡(luò)參數(shù)--LAN口設(shè)置-

2)DHCP服務(wù)器--啟用，

3)無(wú)線參數(shù)--輸入SSID號(hào)，選擇頻段，選擇模式。

4)開(kāi)啟無(wú)線功能。允許SSID廣播

5)開(kāi)啟Bridge功能，AP1的MAC地址：輸入第二個(gè)路由器LAN口MAC地址。

6)重啟路由器。

二、登陸第二個(gè)路由器(未連接寬帶的)

1)網(wǎng)絡(luò)參數(shù)--LAN口設(shè)置-

2)DHCP服務(wù)器--不啟用，

3)無(wú)線參數(shù)--輸入SSID號(hào)，選擇和第一個(gè)路由器相同的頻段，選擇第一個(gè)路由器相同的模式。

4)開(kāi)啟無(wú)線功能。允許SSID廣播

5)開(kāi)啟Bridge功能，AP1的MAC地址：輸入第一個(gè)路由器LAN口MAC地址。

6)重啟路由器。

進(jìn)行以上設(shè)置后，其實(shí)就是完成了，但是大多都不能連接上網(wǎng)，以為自己設(shè)置失敗了，其實(shí)只要斷開(kāi)鏈接，關(guān)掉電源，全部重啟即可，這也是一個(gè)很重要的步驟，接下來(lái)就是如何設(shè)置加密的過(guò)程，分別登陸兩個(gè)路由器，選擇相同的加密方式和密碼，成功進(jìn)行無(wú)線WDS橋接后，在第一個(gè)路由器界面()可以直接輸入轉(zhuǎn)到第二個(gè)路由器界面，也可以反而行之。第三種：通過(guò)交換機(jī)進(jìn)行擴(kuò)展。1三種擴(kuò)展方法的異同第一種接LAN口，需要副路由改IP，不能與主路由沖突，且關(guān)閉DHCP，由主路由開(kāi)啟DHCP分配IP地址；第二種接WAN口，需要主路由禁用DHCP，優(yōu)點(diǎn)在于：1、分輕了對(duì)主路由的壓力2、無(wú)線路由打開(kāi)DHCP不用再對(duì)無(wú)線連接分固定IP，減輕了網(wǎng)管的工作壓力，3、更好的管理有線和無(wú)線網(wǎng)絡(luò)策略。不過(guò)這樣就跟主路由不同網(wǎng)段，不能互相訪問(wèn)，這時(shí)候看怎么個(gè)用途，要同一網(wǎng)段可以相互訪問(wèn)就接lan，不用就wan。第三種通過(guò)交換機(jī)擴(kuò)展，優(yōu)點(diǎn)在于，可擴(kuò)展的距離長(zhǎng)，穩(wěn)定。2WDS對(duì)應(yīng)哪種擴(kuò)展方式？WDS無(wú)線橋接對(duì)應(yīng)第一種擴(kuò)展方式。理由在于，WDS的架設(shè)方法如下：A為連接寬帶的主路由器,LAN地址為,寬帶帳號(hào)與密碼已經(jīng)設(shè)置完畢,連接互聯(lián)網(wǎng)正常,無(wú)線已經(jīng)啟用,SSID和無(wú)線連接密碼已經(jīng)設(shè)置.

B為副路由器.

B的設(shè)置:

1.修改LAN地址為:,重啟,再用再次登錄該路由器.

2.設(shè)置無(wú)線SSID（一定要和A的SSID相同）,設(shè)置固定信道如選9,設(shè)置無(wú)線連接密碼.WDS不啟用.

3.DHCP不啟用(最后設(shè)置為不啟用,避免先關(guān)閉后電腦無(wú)法自動(dòng)獲取IP不能

登陸設(shè)置)

B設(shè)置完畢,重啟通電待用!

A的設(shè)置:無(wú)線設(shè)置,信道選擇與B相同如也為9,啟用WDS,掃描,出現(xiàn)SSID列表后,選擇B路由器的SSID,輸入B路由器的無(wú)線連接密碼,連接,保存.此時(shí),可以在A路由器的狀態(tài)項(xiàng)目里,看到WDS成功的標(biāo)示.

A,B路由器的SSID以及無(wú)線連接密碼可以相同也可以不同.B的DHCP服務(wù)也可以選開(kāi)啟,但必須將網(wǎng)關(guān)填A(yù)的LAN地址:,寬帶的DNS最好也填到DHCP對(duì)應(yīng)項(xiàng)目里.縱觀以上設(shè)置,明顯地WDS與老式無(wú)線路由器的橋接設(shè)置是不同的,原來(lái)的橋接需要相互均設(shè)置對(duì)方的MAC地址,而WDS僅僅需要在主路由器開(kāi)啟WDS掃描連接副路由器即可,副路由器如果不繼續(xù)橋接其他無(wú)線路由器無(wú)需開(kāi)啟WDS.所以副路由器支持不支持橋接都無(wú)所謂。都使用了主副路由器的LAN口，所以對(duì)應(yīng)黑板上的第一種。4.2基本任務(wù)2完成記錄與分析1配置無(wú)線路由器，組建一個(gè)Intranet局域網(wǎng)絡(luò)。要求外網(wǎng)WAN接口連接校園網(wǎng)，內(nèi)網(wǎng)LAN接口連接3臺(tái)以上PC節(jié)點(diǎn)。在任務(wù)1中已完成，不再詳述。2配置WAN和LAN屬性，配置并啟用DHCP服務(wù)。要求內(nèi)網(wǎng)PC能夠自動(dòng)獲得IP地址（固定或動(dòng)態(tài)地址。設(shè)置wan口連接方式為靜態(tài)IPIp地址為1設(shè)置lan口ip地址為啟用DHCP服務(wù)。即可使內(nèi)網(wǎng)PC能夠自動(dòng)獲得IP地址（固定或動(dòng)態(tài)地址）。3配置傳輸控制（NAT、DMZ、路由）功能選項(xiàng)，實(shí)現(xiàn)外網(wǎng)與內(nèi)網(wǎng)PC主機(jī)的P2P（Windows遠(yuǎn)程桌面）通信。配置NAT映射列表，添加一條映射：從02映射到5將DMZ啟用，設(shè)置主機(jī)地址為02如圖，進(jìn)行了以上的設(shè)置后，即可成功使用遠(yuǎn)程登錄，訪問(wèn)內(nèi)網(wǎng)PC主機(jī)，從而實(shí)現(xiàn)了外網(wǎng)與內(nèi)網(wǎng)PC主機(jī)的P2P（Windows遠(yuǎn)程桌面）通信。4自行設(shè)計(jì)實(shí)驗(yàn)方法和步驟，驗(yàn)證路由器轉(zhuǎn)發(fā)數(shù)據(jù)包的過(guò)程；研究DHCP、NAT和DMZ等工作機(jī)理。由于添加了映射：從02映射到5其中02是內(nèi)網(wǎng)地址；5是外網(wǎng)地址。當(dāng)外網(wǎng)用戶7訪問(wèn)5時(shí)，從外網(wǎng)用戶抓的包發(fā)現(xiàn)，顯示的目的地址即為5這個(gè)外網(wǎng)地址。而同樣的通信過(guò)程，內(nèi)網(wǎng)用戶抓包分析時(shí)發(fā)現(xiàn)，顯示的地址為內(nèi)網(wǎng)地址02，這就證明了路由器的轉(zhuǎn)發(fā)數(shù)據(jù)包的過(guò)程是根據(jù)建立的NAT映射表進(jìn)行轉(zhuǎn)發(fā)的。DHCP的分配形式：首先，必須至少有一臺(tái)DHCP服務(wù)器工作在網(wǎng)絡(luò)上面，它會(huì)監(jiān)聽(tīng)網(wǎng)絡(luò)的DHCP請(qǐng)求，并與客戶端磋商TCP/IP的設(shè)定環(huán)境。NAT地址轉(zhuǎn)換方案：多地址NAT：擁有k個(gè)實(shí)地址，動(dòng)態(tài)映射到需要內(nèi)-外訪問(wèn)的主機(jī)；LAN內(nèi)最多只能有k臺(tái)主機(jī)可以同時(shí)訪問(wèn)外網(wǎng)。端口映射NAT：網(wǎng)絡(luò)地址到端口的轉(zhuǎn)換（NAPT）；NATBox至少擁有一個(gè)外網(wǎng)實(shí)IP地址和一個(gè)內(nèi)網(wǎng)私有IP地址。在DMZ的主機(jī)能與同處DMZ內(nèi)的主機(jī)和外部網(wǎng)絡(luò)的主機(jī)通信，而同內(nèi)部網(wǎng)絡(luò)主機(jī)的通信會(huì)被受到限制。這使DMZ的主機(jī)能被內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)所訪問(wèn)，而內(nèi)部網(wǎng)絡(luò)又能避免外部網(wǎng)絡(luò)所得知。4.3挑戰(zhàn)任務(wù)完成記錄與分析1設(shè)計(jì)并組建一個(gè)具有單DMZ子網(wǎng)過(guò)濾的小型Intranet局域網(wǎng)絡(luò)配置無(wú)線路由器和堡壘主機(jī)代理服務(wù)。要求外部網(wǎng)絡(luò)能夠訪問(wèn)堡壘主機(jī)，但不能訪問(wèn)內(nèi)部網(wǎng)絡(luò)。要求內(nèi)部主機(jī)能夠有條件得訪問(wèn)外部網(wǎng)絡(luò)。設(shè)計(jì)恰當(dāng)?shù)膶?shí)驗(yàn)方法，研究和驗(yàn)證防火墻的功能。外部不能訪問(wèn)內(nèi)部網(wǎng)絡(luò)外部訪問(wèn)堡壘主機(jī)如圖，下載了代理服務(wù)器的軟件CCPROXY后，設(shè)置，選擇02作為代理服務(wù)器地址，同時(shí)設(shè)置相同的地址到DMZ主機(jī)作為堡壘主機(jī)，這臺(tái)堡壘主機(jī)就是所謂的防火墻。在勾選了開(kāi)啟HTTP\FTP等協(xié)議后，堡壘主機(jī)功能生效，可以從上圖看出，外部網(wǎng)絡(luò)PING內(nèi)部網(wǎng)絡(luò)失敗，而內(nèi)部網(wǎng)絡(luò)必須設(shè)置堡壘主機(jī)的地址作為代理服務(wù)器才能訪問(wèn)外部網(wǎng)絡(luò)，而堡壘主機(jī)本身可以同時(shí)訪問(wèn)內(nèi)部和外部網(wǎng)絡(luò)。2使用WAN1接口連接校園網(wǎng)，WAN2接口連接到實(shí)驗(yàn)室內(nèi)網(wǎng)（具備DHCP服務(wù)），研究外網(wǎng)均衡和冗余連接功能。進(jìn)入路由器，設(shè)置目的地址范圍：WAN1: -00WAN2: 01-55分別去ping和這兩個(gè)地址再次設(shè)置目的地址（反轉(zhuǎn)）：WAN1: 01-55WAN2: -00再次分別去ping和這兩個(gè)地址通過(guò)上圖可以發(fā)現(xiàn)：盡管在兩次實(shí)驗(yàn)中調(diào)轉(zhuǎn)了2個(gè)WAN口的目的地址范圍，在使用命令TRACERT時(shí)發(fā)現(xiàn)不同的WAN口訪問(wèn)地址的路徑過(guò)程沒(méi)有改變。這樣就說(shuō)明了2個(gè)wan口都是外網(wǎng)均衡：雙WAN路由器具有物理上的2個(gè)WAN口作為外網(wǎng)接入，這樣內(nèi)網(wǎng)電腦就可以經(jīng)過(guò)雙WAN路由器的負(fù)載均衡功能同時(shí)使用2條外網(wǎng)接入線路，大幅提高了網(wǎng)絡(luò)帶寬，同時(shí)提高了企業(yè)局域網(wǎng)與廣域網(wǎng)之間數(shù)據(jù)傳輸?shù)男?。斷開(kāi)wan1口,去pingwan1范圍內(nèi)的地址，仍可以ping通：這樣的結(jié)果說(shuō)明了盡管wan1被關(guān)閉，但是對(duì)于WAN1范圍內(nèi)的地址，路由器依然可以到達(dá)，這就是冗余連接：熱備份路由器協(xié)議（HSRP）的設(shè)計(jì)目標(biāo)是支持特定情況下IP流量失敗轉(zhuǎn)移不會(huì)引起混亂、并允許主機(jī)使用單路由器，以及即使在實(shí)際第一跳路由器使用失敗的情形下仍能維護(hù)路由器間的連通性。實(shí)驗(yàn)四：網(wǎng)絡(luò)攻擊與防護(hù)實(shí)驗(yàn)第一組周華羿103002900231實(shí)驗(yàn)?zāi)康牧私饩W(wǎng)絡(luò)攻擊的基本原理。掌握網(wǎng)絡(luò)安全防護(hù)的常用方法。2實(shí)驗(yàn)原理ARP攻擊原理ARP攻擊就是通過(guò)偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞；攻擊者只要持續(xù)不斷地發(fā)出偽造的ARP數(shù)據(jù)包就能更改目標(biāo)主機(jī)ARP緩存中的IP-MAC條目，造成網(wǎng)絡(luò)中斷或中間人攻擊。偽造的ARP數(shù)據(jù)包特點(diǎn)ARP數(shù)據(jù)包中源MAC地址/目的MAC地址和以太網(wǎng)幀封裝中的源MAC地址/目的MAC地址不一致。ARP數(shù)據(jù)包中源IP地址和源MAC地址的映射關(guān)系不是預(yù)定的合法的映射關(guān)系。幾種常見(jiàn)的ARP攻擊偽造網(wǎng)關(guān)攻擊偽造用戶欺騙網(wǎng)關(guān)攻擊偽造用戶欺騙局域網(wǎng)內(nèi)其他用戶ARP洪泛攻擊對(duì)ARP攻擊的防御建立靜態(tài)ARP緩存表禁止ARP3實(shí)驗(yàn)內(nèi)容使用幾種常見(jiàn)的ARP攻擊實(shí)現(xiàn)對(duì)ARP攻擊的防御4實(shí)驗(yàn)步驟選擇并下載ARP攻擊軟件。構(gòu)建局域網(wǎng)實(shí)驗(yàn)環(huán)境，并確認(rèn)與校園網(wǎng)隔離選定攻擊對(duì)象主機(jī)，發(fā)起ARP攻擊抓包觀察并分析ARP攻擊原理與檢測(cè)