02蔡芬网络管理与性能评价实验指导书.doc
福建师范大学协和学院本科实验报告课程名称: 网络管理与性能评价 学院(系): 信息技术系 专 业: 网络工程 班 级: 学 号: 学生姓名: 指导教师: 熊 建 辉 学 期: 2012-2013学年第2学期 实验项目项目序号实验项目名称学时成绩1交换机密码恢复与OS管理22路由器密码恢复与OS管理23站点到站点VPN应用24远程网络监控与管理(Linux+Windows)25网络存储部署与管理(WinTarget+Initiator)26IOS防火墙与IPS部署与应用27通过SDM架构和管理IPsec VPN服务器28通过star view管理和维护网络2网络管理与性能评价实验报告填写要求一、基本说明:本课程共需完成实验项目八个,每次实验的完成时间为2课时。每一次实验均须提交一份实验报告。二、实验报告书写要求:1. 实验目的和要求:明确实验的内容和具体任务;2. 实验原理:实验内容的简要原理、图表、公式、计算等3. 实验步骤:实验操作方法、操作规范、操作步骤及操作注意事项4. 实验记录:准确无误的记录实验数据、实验结果。5. 实验小结:针对实验中碰到的问题进行组内以及组外讨论,遇到不能解决的问题时向指导老师请教,并将问题的提出以及解决的过程写入实验报告,以作为以后学习的参考。问题要具体描述,避免抽象地罗列、笼统地讨论;6. 全部文字叙述内容要求简明扼要,思路清楚;7. 本课程实验实行分组,实验由组内成员配合完成。三、其他要求:要求实验报告字迹工整、文字简练、数据齐全、分析充分、具体、定量。对于抄袭实验报告和编篡原始数据的行为,一经发现,以零分处理,并根据相关条例给予处分。四、成绩评定:实验报告由指导老师评定成绩,成绩分为优、良、中、及格与不及格五个等级。实验成绩占期末总评成绩的30福建师范大学协和学院实验报告实验日期: 年 月 日 星期 组员姓名: 指导教师签字: 成绩: 实验一路由器密码恢复与OS管理一、实验目的1、掌握路由器IOS的备份与恢复2、掌握路由器密码的破解二、实验环境每组主机2台,VPC2007,Windows Server 2003系统镜像文件,两人一组三、实验任务与要求1、路由器配置文件的备份及IOS的备份2、路由器密码恢复和IOS 的恢复四、实验步骤及思考题1、路由器配置文件的备份及IOS的备份图8-1 配置文件及IOS的备份实验步骤步骤1:TFTP SERVER 软件的安装、准备图8-2 TFTP Server 主窗口Tftp 服务器软件有各种各样,本书以SolarWinds TFTP Server 软件为例,该软件可以从 上免费下载。下载后安装后,运行该软件,如图8-2。从【File】【Configure】菜单打开配置窗口,如图8-3。在“TFTP Root Directory”选项卡中,可以看到TFTP 的主目录为c:tftp-root,TFTP Server 接收到的文件将存放在该目录,也从该目录查找要发送的文件。如图8-4,在“Security”选项卡中,配置该TFTP 可以接收和发送文件。图8-3 查看TFTP 服务器的主目录图8-4 配置TFTP Server 可以接收和发送文件步骤2:路由器和计算机间的IP 可达首先确保S1 交换机为出厂配置,如果不是的话,请执行以下命令:Switch>enableSwitch#delete flash:vlan.datSwitch#erase startup-config其次在PC 机上配置IP 地址为172.16.0.100/16。R2(config)#int g0/0R2(config-if)#no shutdownR2(config-if)#ip address 172.16.0.2 255.255.0.0R2(config-if)#exit/以上在路由器的以太网接口配置IP 地址,并启用接口R2#ping 172.16.0.100Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 172.16.0.100, timeout is 2 seconds:!Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms/测试从R2 到PC(TFTP 服务器)的IP 可达(1)在PC机上配置IP地址,如下:(2)在路由器上的接口f 0/1上配置IP地址并打开端口:(3)配置完IP地址后测试路由器与PC机的连通性,结果可达:步骤3:备份配置文件到TFTP 服务器R2#copy running-config tftp:/把内存中的配置文件备份到TFTP 服务器上Address or name of remote host ? 172.16.0.100 /回答TFTP 服务器的IP 地址Destination filename r2-confg? /回答文件名,默认时为“路由器名-confg”!1381 bytes copied in 0.452 secs (3055 bytes/sec)/备份成功,共1381 字节,可以在c:tftp-root 目录下找到该文件,是一个纯文本的文件。可以用写字板打开,而用记事本打开则格式会出现问题(1) 打开TFTP服务器,并把配置文件备份到TFTP 服务器: (2)备份文件如下:步骤4:采用“复制、粘贴”备份配置文件使用TFTP 服务器备份配置文件很是麻烦,我们也可以简单地在终端窗口中,执行“show running-config”命令显示当前的配置,在终端窗口中复制全部配置,粘贴到某文本文件中。【提示】如果是在Windows 自带的超级终端窗口中复制、粘贴配置,会有“-more-”等字样,要记得删除这些字符。(1) 在终端窗口中执行命令“show running-config”以显示当前的配置信息,从而可直接通过“复制”、“粘贴”备份到文件中:步骤5:备份配置IOS 到TFTP 服务器R2#show flash:CompactFlash directory:File Length Name/status1 41205996 c2800nm-adventerprisek9-mz.124-11.T1.bin41206060 bytes used, 23019216 available, 64225276 total62720K bytes of ATA CompactFlash (Read/Write)/先查看flash 中的IOS 大小,文件名等R2#copy flash:c2800nm-adventerprisek9-mz.124-11.T1.bin tftp:/把IOS 备份到TFTP 服务器上Address or name of remote host ? 172.16.0.100 /回答TFTP 服务器的IP 地址Destination filename c2800nm-adventerprisek9-mz.124-11.T1.bin?/回答文件名。默认时和源文件名是一样的,不建议修改文件名,因为IOS 文件名包含了IOS 的版本、特征等信息!(此处省略)/备份成功可以在c:tftp-root 目录下找到该文件。(1)先通过命令“show flash”查看flash 中的IOS 大小,文件名等,然后将IOS 备份到TFTP 服务器上,如下:(2)备份后的文件“c1841-ipbase-mz.124-1b.bin tftp”如下:2、路由器密码恢复和IOS 的恢复图8-5 路由器密码及IOS恢复实验步骤步骤1:在路由器上配置密码Router>enableRouter#configure terminalEnter configuration commands, one per line. End with CNTL/Z.Router(config)#hostname R2R2(config)#enable password 309nasfdndf12/故意配置一个自己也记不住的密码,以供密码恢复使用(1)在路由器上随意配置一个密码,以供密码恢复使用,如下:步骤2:路由器密码恢复关闭路由器电源并重新开机,当控制台出现启动过程,赶快按【Ctrl+Break】键中断路由器的启动过程,进入rommon 模式,如下:System Bootstrap, Version 12.4(1r) hqluong 1r, RELEASE SOFTWARE (fc1)Copyright (c) 2005 by cisco Systems, Inc.Initializing memory for ECCc2821 processor with 262144 Kbytes of main memoryMain memory is configured to 64 bit mode with ECC enabledReadonly ROMMON initializedrommon 1>confreg 0x2142/改变配置寄存器的值为0x2142,这会使得路由器开机时不读取NVRAM 中的配置文件 。rommon 2 > i/重启路由器。路由器重启后会直接进入到setup 配置模式,用【Ctrl+C】或者回答“n”,退出setup 模式。Router>enableRouter#copy startup-config running-configDestination filename running-config?661 bytes copied in 0.625 secs/把配置文件从NVRAM 中拷贝到RAM 中,在此基础上修改密码。R2#configure terminalR2(config)#enable password cisco/以上把密码改为自己的密码,如果还配置别的密码则一起把它们修改了。R2(config)#config-register 0x2102/以上把寄存器的值恢复为正常值0x2102R2(config)#exitR2#copy running-config startup-configDestination filename startup-config?Building configuration.OKR2#reload/以上是保存配置,重启路由器,检查路由器是否正常【提示】在保存配置前,还需要把路由器的各个接口一一打开(1)路由器密码恢复:先关闭路由器,在重启时按【Ctrl+Break】键中断路由器的启动过程,使其进入rommon 模式:步骤3:故意删除flash 中的IOS,我们要恢复IOSR2#show flash:CompactFlash directory:File Length Name/status1 41205996 c2800nm-adventerprisek9-mz.124-11.T1.bin41206060 bytes used, 23019216 available, 64225276 total62720K bytes of ATA CompactFlash (Read/Write)/显示flash 中的IOSR2#delete flash:c2800nm-adventerprisek9-mz.124-11.T1.binDelete filename c2800nm-adventerprisek9-mz.124-11.T1.bin?Delete flash:c2800nm-adventerprisek9-mz.124-11.T1.bin? confirm/以上是删除flash 的IOS,模拟FLASH 中的IOS 丢失或者IOS 升级失败【提示】请慎重进行该步骤。如果工作中不慎误删IOS,请不要将路由器关机,可以直接使用“copy tftp flash”命令从TFTP 服务器恢复IOS,这比起我们下面介绍的方法简单得多。除了从TFTP 恢复IOS,还可以用Xmodem 方式通过console 口恢复IOS,然而由于console的速度很慢,很少有人采用。步骤4:恢复IOS请确认IOS 已经放在c: TFTP-Root 目录下。路由器丢失了IOS 后,开机将自动进入rommon 模式。rommon 2 > IP_ADDRESS=172.16.0.2rommon 3 > IP_SUBNET_MASK=255.255.0.0rommon 4 > DEFAULT_GATEWAY=172.16.0.100rommon 5 > TFTP_SERVER=172.16.0.100rommon 6 > TFTP_FILE=c2800nm-adventerprisek9-mz.124-11.T1.bin/要恢复IOS,需要配置一些变量的值,主要是路由器的IP 地址、掩码等。由于路由器和TFTP 服务器在同一网段, 是不需要网关的, 但是不能不配置该值, 所以我们把DEFAULT_GATEWAY 胡乱地指向了TFTP 服务器。请注意变量名的大小写。rommon 8 > tftpdnld/开始从tftp 恢复IOSIP_ADDRESS: 172.16.0.2IP_SUBNET_MASK: 255.255.0.0DEFAULT_GATEWAY: 172.16.0.100TFTP_SERVER: 172.16.0.100TFTP_FILE: c2800nm-adventerprisek9-mz.124-11.T1.binTFTP_VERBOSE: ProgressTFTP_RETRY_COUNT: 18TFTP_TIMEOUT: 7200TFTP_CHECKSUM: YesTFTP_MACADDR: 00:19:55:66:63:20GE_PORT: Gigabit Ethernet 0GE_SPEED_MODE: AutoInvoke this command for disaster recovery only.WARNING: all existing data in all partitions on flash will be lost!Do you wish to continue? y/n: n: y/回答“y”开始从tftp 服务器上恢复IOS,根据IOS 的大小,通常需要十几分钟Receiving c2800nm-adventerprisek9-mz.124-11.T1.bin from172.16.0.100 !(此处省略)!File reception completed.Validating checksum.Copying file c2800nm-adventerprisek9-mz.124-11.T1.bin to flash.Eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee/从tftp 服务器接收了IOS 后,会进行校验。rommon 9 > i/重启路由器【思考题】1、请简述下通过TFTP备份Cisco路由器的IOS的过程。2、请简述恢复思科路由器密码的过程。五、实验小结(实验过程中遇到什么问题?如何解决?)福建师范大学协和学院实验报告实验日期: 年 月 日 星期 组员姓名: 指导教师签字: 成绩: 实验二交换机密码恢复与OS管理一、实验目的1、掌握交换机IOS的备份与恢复2、掌握交换机密码的破解二、实验环境每组主机1台,cisco TFTP三、实验任务与要求1、交换机配置文件的备份及IOS的备份2、交换机密码恢复和IOS 的恢复四、实验步骤及思考题1、交换机密码恢复CISCO 交换机的密码恢复步骤和路由器的密码恢复方法差别较大,并且不同型号的交换机恢复方法也有所差异,以下是Catalyst 3560(Catalyst 2950 也类似)交换机的密码恢复步骤。步骤1:拨掉交换机电源,按住交换机前面板的Mode 键不放,接上电源,你会看到如下提示:先设置下交换机的密码:按步骤1实现如下图:Base ethernet MAC Address: 00:18:ba:11:f5:00Xmodem file system is available.The password-recovery mechanism is enabled.The system has been interrupted prior to initializing theflash filesystem. The following commands will initializethe flash filesystem, and finish loading the operatingsystem software:flash_initload_helperboot步骤2:输入flash_init 命令Initializing Flash.flashfs0: 3 files, 1 directoriesflashfs0: 0 orphaned files, 0 orphaned directoriesflashfs0: Total bytes: 32514048flashfs0: Bytes used: 6076928flashfs0: Bytes available: 26437120flashfs0: flashfs fsck took 12 seconds.done Initializing Flash.Boot Sector Filesystem (bs) installed, fsid: 3Setting console baud rate to 9600.步骤3:输入load helper 命令步骤4:输入dir flash:Directory of flash:/2 -rwx 6073600 <date> c3560-ipbasek9-mz.122-25.SEB4.bin3 -rwx 1455 <date> config.text5 -rwx 24 <date> private-config.text26437120 bytes available (6076928 bytes used)/config.text 就是交换机的启动配置文件,和路由器的startup-config 类似步骤5:输入rename flash:config.text flash:config.old 命令/以上是把启动配置文件改名,这样交换机启动时就读不到config.text 了,从而没有了密码。步骤6:输入boot 命令引导系统,这时就不要再按住mode 键了。步骤7:当出现如下提示时,输入N:Continue with the configuration dialog? yes/no : n步骤8:用enable 命令进入enable 状态,并将文件config.old 改回config.text,命令如下:rename flash:config.old flash:config.text步骤9:将原配置装入内存,命令如下:查看刚才重命名的文件名称:Switch# copy flash:config.text system:running-config命令应该如下:步骤10:修改各个密码:S1#conf tS1(config)#enable secret ciscoS1(config)#exit步骤11:将配置写入nvramS1#copy running-config start-config2、交换机IOU的恢复交换机如果已经正常开机,则IOS 可以从TFTP 服务器上恢复,具体步骤请参见路由器的IOS 恢复步骤。然而如果交换机无法正常开机,IOS 的恢复要使用XModem 方式,该方式是通过concole 口从计算机下载IOS,速度为9600bps,因此速度很慢。实验步骤如下:(1) 把计算机的串口和交换机的console 口连接好,用超级终端软件连接上交换机(2) 交换机开机后,执行以下命令:switch: flash_initswitch: load_helper(3) 输入拷贝指令:switch:copy xmodem: flash:c2950-i6q4l2-mz.121-22.EA5a.bin该命令的含义是通过xmodem 方式拷贝文件, 保存在FLASH , 文件名为c2950-i6q4l2-mz.121-22.EA5a.bin。出现如下提示:Begin the Xmodem or Xmodem-1K transfer now.CCCC在超级终端窗口中,选择【传送】【传送文件】菜单,打开图8-8 窗口,选择IOS 文件,协议为“Xmodem”。点击“发送”按钮开始发送文件。由于速度很慢,请耐心等待,通信速率为9600bps。图8-8 选择IOS 文件(4) 传送完毕后执行以下命令:switch:boot启动系统。【思考题】1、请简述下通过TFTP备份Cisco交换机的IOS的过程。2、请简述恢复思科Catalyst 2950交换机密码的过程。3、请简述无法正常开机的交换机IOS的恢复过程。五、实验小结(实验过程中遇到什么问题?如何解决?)福建师范大学协和学院实验报告实验日期: 年 月 日 星期 组员姓名: 指导教师签字: 成绩: 实验三站点到站点VPN应用一、实验目的1、理解VPN功能及基本原理2、掌握站点到站点VPN工作原理3、掌握思科路由器站点到站点VPN配置与应用二、实验环境Dynamips、思科7200 IOS、Secure CRT三、实验任务与要求配置站点到站点VPN四、实验步骤及思考题实验拓扑图:实验目的:通过站点到站点VPN实现福州办事处与厦门办事处内网互通互访。说明:图中福州办事处、厦门办事处路由器外网口IP地址设置在一个网段内是为了实现互通,模拟公网。实际在公网中是通过运营商实现的,为了方便实验所以此处设置在同一网段内。实验步骤:A、福州办事处网络配置:0、配置出口路由fuzhou(config)#ip route 0.0.0.0 0.0.0.0 202.102.1.61、 定义感兴趣流量fuzhou(config)#access-list 110 permit ip 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.2552、配置IKE1(ISAKMP SA)fuzhou(config)#crypto isakmp enablefuzhou(config)#crypto isakmp policy 100fuzhou(config-isakmp)#authentication pre-share fuzhou(config-isakmp)#encryption desfuzhou(config-isakmp)#group 1fuzhou(config-isakmp)#hash md5fuzhou(config)#crypto isakmp key 123456 address 202.102.1.63、配置IKE2(IPSec SA)fuzhou(config)#crypto ipsec transform-set abc esp-des esp-md5-hmacfuzhou(config)#crypto ipsec security-association lifetime seconds 864004、配置MAP(1、2、3结合)fuzhou(config)#crypto map mymap 100 ipsec-isakmpfuzhou(config-crypto-map)#match address 110fuzhou(config-crypto-map)#set peer 202.102.1.6fuzhou(config-crypto-map)#set transform-set abcfuzhou(config-crypto-map)#set security-association lifetime seconds 86400fuzhou(config-crypto-map)#set pfs group 15、将MAP应用到外网接口上fuzhou(config)#interface serial0/0/0fuzhou(config-if)#ip address 202.102.1.5 255.255.255.0fuzhou(config-if)#clock rate 128000fuzhou(config-if)#crypto map mymapB、厦门办事处网络设置:0、配置出口路由xiamen(config)#ip route 0.0.0.0 0.0.0.0 202.102.1.51、定义感兴趣流量xiamen(config)#access-list 110 permit ip 10.1.2.0 0.0.0.255 10.1.1.0 0.0.0.2552、配置IKE1(ISAKMP SA)xiamen(config)#crypto isakmp enablexiamen(config)#crypto isakmp policy 100xiamen(config-isakmp)#authentication pre-share xiamen(config-isakmp)#encryption desxiamen(config-isakmp)#group 1xiamen(config-isakmp)#hash md5xiamen(config)#crypto isakmp key 123456 address 202.102.1.53、配置IKE2(IPSec SA)xiamen(config)#crypto ipsec transform-set abc esp-des esp-md5-hmacxiamen(config)#crypto ipsec security-association lifetime seconds 864004、配置MAP(1、2、3结合)xiamen(config)#crypto map mymap 100 ipsec-isakmpxiamen(config-crypto-map)#match address 110xiamen(config-crypto-map)#set peer 202.102.1.5xiamen(config-crypto-map)#set transform-set abcxiamen(config-crypto-map)#set security-association lifetime seconds 86400xiamen(config-crypto-map)#set pfs group 15、将MAP应用到外网接口上xiamen(config)#interface serial0/0/0xiamen(config-if)#ip address 202.102.1.6 255.255.255.0xiamen(config-if)#crypto map mymapB、测试:配置福州办事处测试主机IP地址: 配置福州办事处路由器内网接口IP:配置厦门办事处测试主机IP地址:配置厦门办事处路由器内网接口IP:使用福州办事处测试主机测试与厦门办事处测试主机的连通性:【参考配置:】福州办事处路由器配置:-service timestamps debug uptimeservice timestamps log uptimeno service password-encryption!hostname nanjing!enable cisco!-以下配置加密-crypto isakmp policy 1 生成iskamp policy number 1encryption des 选择用DES encryption也可用3DES指定三倍DES加密hash sha 指定使用的散列算法,也可以是md5(二端保持一致)authentication pre-sharegroup 1 指定为Diffie-Hellman组,1表示768位,2表示1024位lifetime 14400 指定安全关联的有效期,不设就为默认值-以下配置密钥方法-crypto isakmp identity address 指定与远程路由器通信时使用isakmp标识crypto isakmp key 654321 address 202.102.1.6 对远程路由器端口202.102.1.6使用密钥654321crypto isakmp key 654321 address 192.168.1.2 对远程路由器隧道端口192.168.1.2使用密钥654321!-以下定义一个转换集-crypto ipsec transform-set tset1 ah-md5-hmac esp-des esp-md5-hmac 可以定义一个或多个集!-以下建立加密图-crypto map cmap1 local-address serial 0 定义加密图cmap1并指定s0为本地地址crypto map cmap1 1 ipsec-isakmp 用序号1设置加密图set peer 202.102.1.6 设定目标地址set peer 192.168.1.2set transform-set test1 指定转换集match address 111 指定加密访问列表111中的地址!process-max-time 200!-以下设置隧道端口-interface Tunnel0ip address 192.168.1.1 255.255.255.0tunnel source 202.102.1.5tunnel destination 202.102.1.6crypto map cmap!-以下设置内网口-interface Ethernet0ip address 10.1.1.1 255.255.255.0!-以下设置外网口-interface serial0ip address 202.102.1.5 255.255.255.0no ip mroute-cacheno fair-queuecrypto map cmap!ip classless!-以下建立访问列表111-access-list 111 permit ip host 202.102.1.5 host 202.102.1.6access-list 111 permit ip host 202.102.1.6 host 202.102.1.5access-list 111 permit ip 10.1.1.0