神州数码网络实验室实验手册

实验一：进入监控模式所谓“监控模式”，是指网络设备在没有加载路由（交换）操作系统之前所进入的模式，在这个模式下，可以进行基本的维护操作，如：清除设备登录密码、清除配置文件、升级路由（交换）操作系统、备份当前的路由（交换）操作系统……实验需求路由器（以DCR2659为例）一台PC机（要求具备COM口）一台控制台线缆一根超级终端类软件（以SecureCRT为例）实验步骤1）、连接好控制台线缆，一边接PC机的COM口，另一边接路由器的Console口2）、运行SecureCRT软件，进行相关配置，配置完成后，点“连接”图中“端口”那一项根据实际情况选择，一般情况下，如果电脑只有一个COM口，那么就选择COM1，也可以在Windows操作系统的“设备管理器”中查看端口名称。

3）、接通路由器的电源，按下开关后，立即重复按“Ctrl+Break”组合键实验二：清除login密码和enable密码基本上所有网络设备都包括“用户模式”和“特权模式”，在用户模式下，可以使用的命令很少，能做的修改很少；在特权模式下，可以做所有的修改操作。

同样，可以设置进入用户模式的密码和进入特权模式的密码。

如果密码忘记，那么就需要清除密码。

实验需求路由器（以DCR2659为例）一台PC机（要求具备COM口）一台控制台线缆一根超级终端类软件（以SecureCRT为例）实验步骤1）、首先进入“监控模式”2）、输入“？”号可以查看能够使用的所有命令3）、nopasswd命令用于清除“enable”密码，即特权模式密码，但不能清除login密码。

而且清除enable密码后，无法进入特权模式，提示“当前等级没有设置enable密码”，这个应该是神州数码的一个bug重启后，登录提示：4）、删除配置文件可以清除路由器的所有配置信息，包括任何密码设置，慎用实验三：备份路由（交换）操作系统文件电脑安装了操作系统后才能正常工作，同样，路由器也需要路由操作系统，路由器的操作系统一般存放在路由器的flash存储卡上。

//重点：两个三层交换机之间可以通过Vlan 1 进行路由退出的命令的运用在神州数码的视图下是没有quit的命令的，但并不代表不能用quit，在大多数的视图下，都可以用quit命令退回上一级视图，当然用exit也可以，看个人喜好，但有视图也是例外的，例如：# spanning-tree mst configuration视图下就要用它专用的退出命令：abrotNAT配置：1、配置acl允许通过的网段；//一般用标准acl2、配置地址池；ip nat pool+名字+起始IP+终止IP+子网掩码3、配置nat转换那个网段；Ip nat inside source list +acl名字pool +地址池名字4、配置int接口和out接口；【接口试图】ip nat inside【接口试图】ip nat insideNAT server：# ip nat inside source static tcp + 服务的IP地址+ 服务端口+ 要转换成公网的IP地址+ 端口号在发布FTP的时候最好把21和20的都发布出去DNS一定要使用UDP服务路由器enable用户密码和时间配置：1、enable password 0/7（不验证和验证）+密码level+权限（默认不配置的时候是15）2、date（接下来按照指示配置就OK了）配置语言：1、路由器Chinese2、交换机language ChineseOSPF路由协议的配置：1、router id的配置，可以选择配置，配置的时候，要指向路由器接入的端口上的IP地址2、router ospf +数字（可以随意）network +使能的网段+子网掩码+area +区域号（ospf 分单区域和多区域两种,单区域的配置要注意每一个使能的网段后面的区域号都要一致，多区域配置两个区域相交的那路由器使能网段的时候要配置和对端相对应的区域号）3、ospf的虚连接配置（ospf的虚连接是只多个不能直接相连接的区域通过建立逻辑的上虚拟连接，建立邻居关系）：area +本网段的区域号+ virtual-link + 相同区域对端的路由器的router id（虚连接链路的配置是运用在至少3个不同区域的ospf上，而且其中两个区域，分别和第三个区域连接）4、可以使用neighbor + 邻接路由的IP地址Ping命令有趣使用：问题：ping 1.0.0.1 可以学成ping 1.001 ，写成1.1也能ping通因为ping 的协议的编写时采用了IPV6的机制的，中间是出现连续两个0的情况的话，可以合并，可以可以不写。

神州数码网络实验室实验神州数码网络实验室实验手册（路由器部分）手册（路由器部分）手册（路由器部分）实验1：认识路由器的：认识路由器的接口接口接口和路由器配置模式和路由器配置模式和路由器配置模式实验线路连接图拓扑结构图如下实验内容：（1） 三台路由器背面串口已通过v35线缆连接完成，整理线路察看连接情况，并注意v35连接头上的DTE 和DCE 标示，其中带有DTE 标示的V35连接头连接的为DTE 设备，带有DCE 标示的V35连接头连接的为DCE 设备，上图中DCR2611为DCE 设备，两台DCR1702均为DTE 设备。

（2） 通过配置机分别进入三台路由器，通过指令show interface，分别察看各台路由器网络接口的编号标示，应与上图相对应。

（3） 通过配置机，进入DCR1702-2的Command Line Interface，进入各种配置模式，包括一般用户模式、特权用户模式、全局配置模式、快速以太网口配置模式、以太网口配置模式、串口配置模式。

实验要求：（1） 掌握路由器的各种接口类型。

（2） 掌握路由器的串口连接方式，熟悉路由器各网络接口的编号。

（3） 熟悉路由器各种配置模式的功能。

（4） 掌握路由器构成要素。

（5） 完成实验报告书（见附录）。

实验2：路由器的密码管理：路由器的密码管理实验线路连接图：实验内容：通过配置机配置DCR1702-2路由器，配置以下内容（1） 路由器enable密码的配置（即由一般用户模式>进入特权用户模式#时需输入密码）Router_config#enable password 0 12345设置enable密码为12345(没有用户名)Router_config#aaa authentication enable default enable开启路由器enable密码认证.（2） 路由器console口连接用户密码配置（即连接console时要求输入用户名和密码）和telnet用户密码配置（即通过telnet连接路由器时要求输入用户名和密码）Router_config#username gzeic password 0 12345定义用户名gzeic,密码12345Router_config#aaa authentication login denglu local开启路由器登陆认证,定义该登陆认证过程名为dengluRouter_config#line console 0进入console口配置模式Router_config_line#login authentication denglu将登陆认证过程denglu应用到console口Router_config#line vty 0 63进入虚拟telnet口,可同时telnet登陆64个用户Router_config_line#login authentication denglu将登陆认证过程denglu应用到虚拟的telnet接口（3） 配置路由器f0/0口IP 地址Router_config#interface f 0/0Router_config_f0/0#ip address 192.168.1.1 255.255.255.0（4） 配置测试机的IP 地址为192.168.1.2，网关为192.168.1.1。

DCFW-1800-S-LAB 防火墙实训手册(V2.13.3.26)神州数码网络（北京）有限公司目录DCFW-1800-S-LAB 0防火墙实训手册 0实训一、对象配置管理 (2)总结一 (3)实训二（1）、网络接入管理-路由接入 (4)实训二（2）、网络接入管理-桥接入 (6)实训二（3）、网络接入管理-接口参数 (8)实训二（4）、网络接入管理-地址绑定 (10)总结二 (11)实训三（1）、路由配置管理-基本路由 (11)实训三（2）、路由配置管理-策略路由 (13)总结三 (16)实训四（1）、访问控制管理-访问控制策略 (16)实训四（2）、访问控制管理-P2P控制 (20)实训四（3）、访问控制管理-URL控制 (22)总结四 (24)实训五（1）、地址转换管理-地址伪装 (24)实训五（2）、地址转换管理-源地址转换 (26)实训五（3）、地址转换管理-地址映射 (28)实训五（4）、地址转换管理-端口映射 (29)总结五 (31)实训六、硬件地址管理 (31)总结六 (33)实训七（1）、入侵防御管理-连接控制 (33)实训七（2）、入侵防御管理-DOS (35)总结七 (37)实训八、带宽配置管理 (38)总结八 (40)实训九、移动加密网关 (40)总结九 (44)实训十、综合训练 (44)总结十 (53)实训一、对象配置管理一、实训目的1.理解防火墙对象概念2.掌握对象的配置方法二、应用环境校园网或企业网防火墙策略规则添加时使用。

三、实训设备1.DCFW-1800-S-LAB 1台2.PC 1台四、实训拓扑PC1DCFW-1800-S-LAB图-1DCFW-1800-S-LAB:eth0:192.168.1.254/24eth1:192.168.2.254/24PC1:IP:192.168.2.1/24GW:192.168.2.254五、实训要求1.增加IP地址对象2.增加服务端口对象3.增加时间对象六、实训步骤第一步：在管理PC上用http连接DCFW-1800-S-LAB 如：http://192.168.2.254登录DCFW-1800-S-LAB的用户名：admin登录DCFW-1800-S-LAB的密码：admin 第二步：增加地址对象“对象配置管理”->“地址对象”->增加“对象配置管理”->“端口对象”->增加第五步：增加时间对象“对象配置管理”->“时间对象”->增加点左边菜单栏->“访问控制管理”->访问策略->增加，进入访问控制规则配置页面，点对象下拉钮，查看我们配置的对象，是否都能看到。

神州数码路由器IPSecVPN实训1.实训拓扑图2.设备配置R1#sh runBuilding configuration...Current configuration:!!version 1.3.3Hservice timestamps log dateservice timestamps debug dateno service password-encryption!hostname R1!gbsc group default!!crypto isakmp key 123456 10.1.1.2 255.255.255.255 !!crypto isakmp policy 1encryption 3desgroup 2hash md5!crypto ipsec transform-set p2transform-type ah-md5-hmac esp-3des!crypto map R2 1 ipsec-isakmpset peer 10.1.1.2set transform-set p2match address vpn!!interface Loopback1ip address 192.168.1.1 255.255.255.0no ip directed-broadcast!interface FastEthernet0/0no ip addressno ip directed-broadcast!interface GigaEthernet0/3ip address 10.1.1.1 255.255.255.252no ip directed-broadcastcrypto map R2!interface GigaEthernet0/4no ip addressno ip directed-broadcast!interface GigaEthernet0/5no ip addressno ip directed-broadcast!interface GigaEthernet0/6no ip addressno ip directed-broadcast!interface Serial0/1no ip addressno ip directed-broadcast!interface Serial0/2no ip addressno ip directed-broadcast!interface Async0/0no ip addressno ip directed-broadcast!!ip route 192.168.2.0 255.255.255.0 10.1.1.2 !!ip access-list extended vpnpermit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0 !!!R1#R2#sh runBuilding configuration...Current configuration:!!version 1.3.3Hservice timestamps log dateservice timestamps debug dateno service password-encryption!hostname R2!!gbsc group default!!crypto isakmp key 123456 10.1.1.1 255.255.255.255!!crypto isakmp policy 1encryption 3desgroup 2hash md5!crypto ipsec transform-set p2transform-type ah-md5-hmac esp-3des!crypto map R1 1 ipsec-isakmpset peer 10.1.1.1set transform-set p2match address vpn!interface Loopback1ip address 192.168.2.1 255.255.255.0no ip directed-broadcast!interface FastEthernet0/0no ip addressno ip directed-broadcast!interface GigaEthernet0/3ip address 10.1.1.2 255.255.255.252no ip directed-broadcastcrypto map R1!interface GigaEthernet0/4no ip addressno ip directed-broadcast!interface GigaEthernet0/5no ip addressno ip directed-broadcast!interface GigaEthernet0/6no ip addressno ip directed-broadcast!interface Serial0/1no ip addressno ip directed-broadcast!interface Serial0/2no ip addressno ip directed-broadcast!interface Async0/0no ip addressno ip directed-broadcast!!ip route 192.168.1.0 255.255.255.0 10.1.1.1!!ip access-list extended vpnpermit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0!R2#3.调试过程R1#ping -i 192.168.1.1 192.168.2.1 用ping命令的–i参数触发隧道建立PING 192.168.2.1 (192.168.2.1): 56 data bytes.--- 192.168.2.1 ping statistics ---5 packets transmitted, 4 packets received, 20% packet lossround-trip min/avg/max = 0/0/0 msR1#show cry isa sadst src state state-id conn10.1.1.2 10.1.1.1 <I>Q_SA_SETUP 2 5 R2 1 10.1.1.2 10.1.1.1 <I>M_SA_SETUP 1 5 R2 1 R1#show cry ips saInterface: GigaEthernet0/3Crypto map name:R2 , local addr. 10.1.1.1local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)remote ident (addr/mask/prot/port): (192.168.2.0/255.255.255.0/0/0)local crypto endpt.: 10.1.1.1, remote crypto endpt.: 10.1.1.2inbound esp sas:spi:0xe5a560a6(3852820646)transform: esp-3desin use settings ={ Tunnel }sa timing: remaining key lifetime (k/sec): (4607999/3536)inbound ah sas:spi:0x10f88d7e(284724606)transform: ah-md5-hmacin use settings ={ Tunnel }sa timing: remaining key lifetime (k/sec): (4607999/3536)outbound esp sas:spi:0xc1579951(3243743569)transform: esp-3desin use settings ={ Tunnel }sa timing: remaining key lifetime (k/sec): (4607999/3536)outbound ah sas:spi:0xa6975d16(2794937622)transform: ah-md5-hmacin use settings ={ Tunnel }sa timing: remaining key lifetime (k/sec): (4607999/3536) R1#。

局域网组建上机实验三学号_______ 姓名___________ 实验目的：1、了解交换机基本特性；2、理解交换机提示符更改、管理IP地址设置、查看备份配置文件等基本操作；3、掌握配置模式的转换方法。

实验设备型号：__________________________________________知识点复习：1、交换机管理方法有哪2种？这些管理方式怎么与计算机进行连接？2、你所用计算机连接交换机，应使用的网址是__________________________3、下列交换机配置模式的提示符，分别表示哪一种配置模式？>：____________________________#：____________________________(config)#：______________________(config-if)#：____________________4、在右图上标出各配置模式之间转换的命令实验步骤：一、在下列拓扑图上标注设备类型及所使用端口号，并在右图上画上连接线。

拓扑图实验室设备连接图二、领用网线一根（你所拿到的网线类型是_____________），并按上图连接机柜内的设备。

三、用网址________________________________登录到你所分配到的交换机。

四、刚登录交换机时，所进入的模式称为________________，这个模式下共可用命令有____个。

五、进入到特权用户模式，应使用命令___________________，密码是____________六、设置交换机的提示字符串为自己的8位学号，写出相关命令，并写上提示符。

七、设置计算机中“本地连接”网卡的IP地址为192.168.1.1八、设置交换机管理IP地址为192.168.1.2，从当前模式开始，写出你所使用的配置命令（包括提示符）九、测试计算机与交换机的连接性：___________________________________十、显示正在运行的配置文件内容，从当前模式下开始，写出所使用命令（包括提示符）十一、把正在运行的配置文件备份到计算机，备份文件名取为学号.txt，，从当前模式下开始，写出所使用命令（包括提示符）十二、重启交换机，，从当前模式下开始，写出所使用命令（包括提示符）。

实验内容目录交换机部分实验内容交换机部分-实验1：使用sniffer软件捕获数据包并进行分析交换机部分-实验2：交换机带外管理、带内管理方式和enable密码配置。

交换机部分-实验3：交换机常用配置指令交换机部分-实验4：交换机配置文件的上传和下载交换机部分-实验5：单交换机Vlan的划分和结果验证交换机部分-实验6：跨交换机Vlan的划分配置及结果验证交换机部分-实验7：交换机堆叠的配置交换机部分-实验8：交换机链路聚合的配置和结果验证交换机部分-实验9：交换机端口与地址的绑定和结果验证交换机部分-实验10：交换机端口镜像的配置和嗅探验证交换机部分-实验11：生成树协议配置和结果验证路由器部分实验内容路由器部分-实验1：认识路由器的接口和路由器配置模式路由器部分-实验2：路由器的密码管理路由器部分-实验3：路由器配置文件的上传和下载，常用指令的使用。

路由器部分-实验4：路由器网络接口的IP地址设置及HDLC封装/PPP封装路由器部分-实验5：路由器静态路由配置路由器部分-实验6：路由器动态路由配置扩展部分实验内容扩展部分-实验1：通过独臂路由实现Vlan之间互访扩展部分-实验2：通过三层交换实现Vlan之间互访扩展部分-实验3：交换机DHCP服务配置（路由器DHCP服务类似）扩展部分-实验4：交换机ACL访问控制配置扩展部分-实验5：路由器的NAT功能神州数码网络实验室实验手册（交换机部分）实验1：使用sniffer软件捕获数据包并进行分析●实验线路连接图●实验内容：（1）在测试机A上配置IP地址为192.168.1.1。

（2）在测试机A上安装sniffer软件，配置sniffer软件的过滤功能，只捕获tcp数据报的ftp报文。

（3）在测试机A上使用windows的IIS将测试机A配置成ftp服务器。

（4）在测试机A上启动sniffer捕获功能。

（5）在测试机B上配置IP地址为192.168.1.2。