防火墙技术实验报告

由于报告格式复杂，内容要求简要明确，很多人对写作报告，甚是感到苦恼。非常需要一份正确的报告格式范文。以下是小编精心整理的《防火墙技术实验报告》相关资料，欢迎阅读！

第一篇：防火墙技术实验报告

实验三十三：防火墙技术

一、 理论基础

1. 什么是防火墙

对于报文的访问控制技术被称为防火墙技术。实施是为了保护内部网络免遭非法数据包的侵害。正如防火墙这一词语本身所显示的那样，防火墙一般部署于一个网络的边缘，用于控制进入网络数据包的种类。

防火墙作为Internet访问控制的基本技术，其主要作用是监视和过滤通过它的数据包，根据自身所配置的访问控制策略决定该包应当被转发还是应当被抛弃，以拒绝非法用户访问网络并保障合法用户正常工作。

一般应将防火墙置于被保护网络的入口点来执行访问控制。例如，将防火墙设置在内部网和外部网的连接处，以保护内部网络或数据免于为未认证或未授权的用户访问，防止来自外网的恶意攻击。也可以用防火墙将企业网中比较敏感的网段与相对开放的网段隔离开来，对受保护数据的访问都必须经过防火墙的过滤，即使该访问是来自组织内部。

防火墙可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。现在的许多防火墙同时还具有一些其它特点，如进行用户身份鉴别，对信息进行安全(加密)处理等等。

在路由器上配置了防火墙特性后，路由器就成了一个健壮而有效的防火墙。

2. 防火墙的分类

一般把防火墙分为两类：网络层防火墙、应用层防火墙。网络层的防火墙主要获取数据包的包头信息，如协议号、源地址、目的地址和目的端口等或者直接获取包头的一段数据，而应用层的防火墙则对整个信息流进行分析。

常见的防火墙有以下几类：

应用网关(Application Gateway) 包过滤(Packet Filter) 代理(Proxy)

3、ACL 华为路由器的防火墙配置包括两个内容，一是定义对特定数据流的访问控制规则，即定义访问控制列表ACL;二是定义将特定的规则应用到具体的接口上，从而过滤特定方向的数据流。

常用的访问控制列表可以分为两种：标准的访问控制列表和扩展的访问控制列表。标准访问控制列表仅仅可以根据IP报文的源地址域区分不同的数据流，扩展访问控制列表则可以根据IP报文中的更多域(如目的IP地址，上层协议信息等)来区分不同数据流。 所有的访问控制列表都有一个编号，标准的访问控制列表和扩展的访问控制列表就是按照这个编号来区分的：标准的访问控制列表编号范围是1-99，扩展的访问控制列表编号范围是100-199。

二、 实验案例

防火墙的配置

1、实验拓扑结构图：

在实验室我们用RouterA模拟企业网，用另一台路由器RouterB模拟外部网。

2、配置说明：

RouterA的各个接口的地址分别为： E0:192.168.1.1/24 S0:192.168.2.1/24 RouterB的各个接口的地址分别为： E0:192.168.3.1/24 S0:192.168.2.2/24 pcA的地址:192.168.1.2/24 网关：192.168.1.1 pcB的地址:192.168.1.3/24 网关：192.168.1.1 pcC的地址:192.168.3.2/24 网关：192.168.3.2

3、具体的配置：

方法一：(标准的)

RouterA上配置策略 (启动防火墙) [routerA]firewall enable Firewall enabled [routerA]acl 1 [routerA-acl-2000]rule normal permit source 192.168.1.2 0.0.0.0 Rule has been added to normal packet-filtering rules [routerA-acl-2000]rule normal deny source 192.168.1.0 0.0.0.255 Rule has been added to normal packet-filtering rules [routerA-acl-2000] [routerA]int s0 [routerA-Serial0]firewall packet-filter 1 outbound [routerA-Serial0] [routerA]dis cur Now create configuration... Current configuration version 1.74 sysname routerA firewall enable aaa-enable aaa accounting-scheme optional acl 2000 match-order auto rule normal permit source 192.168.1.2 0.0.0.0 rule normal deny source 192.168.1.0 0.0.0.255 interface Aux0 async mode flow link-protocol ppp interface Ethernet0 ip address 192.168.1.1 255.255.255.0 interface Serial0 link-protocol ppp ip address 192.168.2.1 255.255.255.0 firewall packet-filter 2000 outbound interface Serial1 link-protocol ppp interface Serial2 link-protocol ppp quit rip network all quit return RouterB的配置： [RouterB]int s0 [RouterB-Serial0]ip address 192.168.2.2 255.255.255.0 [RouterB-Serial0] %15:49:51: Line protocol ip on the interface Serial0 is UP [RouterB-Serial0]int E0 [RouterB-Ethernet0]ip address 192.168.3.1 255.255.255.0 [RouterB-Ethernet0] %15:50:31: Line protocol ip on the interface Ethernet0 is UP [RouterB-Ethernet0] [RouterB]rip waiting... RIP is running [RouterB-rip]network all [RouterB-rip]save Now writing the running config to flash memory. Please wait for a while...... write the running config to flash memory successfully [RouterB-rip] [RouterB]int s0 [RouterB-Serial0]clock dteclk3 [RouterB-Serial0] %15:52:25: Interface Serial0 is DOWN %15:52:25: Interface Serial0 is UP %15:52:25: Line protocol ip on the interface Serial0 is UP [RouterB-Ethernet0]save Now writing the running config to flash memory. Please wait for a while...... write the running config to flash memory successfully

方法二：(扩展的) RouterA的配置：

其它的配置和上面的保持一致，不同的是： [routerA]acl 101 [routerA-acl-3001] [routerA]acl 101 match-order auto [routerA-acl-3001]rule normal permit ip source 192.168.1.2 0.0.0.0 destination 192.168.3.2 0.0.0.0 Rule has been added to normal packet-filtering rules [routerA-acl-3001]rule normal deny ip source 192.168.1.0 0.0.0.255 destination 192.168.3.2 0.0.0.0 Rule has been added to normal packet-filtering rules [routerA-acl-3001] [routerA]dis cur Now create configuration... Current configuration version 1.74 sysname routerA firewall enable aaa-enable aaa accounting-scheme optional acl 3001 match-order auto rule normal permit ip source 192.168.1.2 0.0.0.0 destination 192.168.3.2 0.0.0.0 rule normal deny ip source 192.168.1.0 0.0.0.255 destination 192.168.3.2 0.0.0.0 interface Aux0 async mode flow link-protocol ppp interface Ethernet0 ip address 192.168.1.1 255.255.255.0 interface Serial0 link-protocol ppp ip address 192.168.2.1 255.255.255.0 interface Serial1 link-protocol ppp interface Serial2 link-protocol ppp quit rip network all quit return [routerA] [routerA]int s0 [routerA-Serial0]firewall packet-filter 101 outbound [routerA-Serial0] [routerA]dis cur Now create configuration... Current configuration version 1.74 sysname routerA firewall enable aaa-enable aaa accounting-scheme optional acl 3001 match-order autorule normal permit ip source 192.168.1.2 0.0.0.0 destination 192.168.3.2 0.0.0.0 rule normal deny ip source 192.168.1.0 0.0.0.255 destination 192.168.3.2 0.0.0.0 interface Aux0 async mode flow link-protocol ppp interface Ethernet0 ip address 192.168.1.1 255.255.255.0 interface Serial0 link-protocol ppp ip address 192.168.2.1 255.255.255.0 firewall packet-filter 3001 outbound interface Serial1 link-protocol ppp interface Serial2 link-protocol ppp quit rip network all quit return

三、 实验总结

在使用标准的访问控制列表的实验1中，我们只允许IP地址为：192.168.1.2的PCA访问外部网络，而禁止其它PC机访问外网。

在扩展的访问控制列表的实验2中，我们通过配置可以控制只有特定的数据源PCA访问特定的目标PCC，而使用标准的控制列表是不能实现的。

在访问控制列表命令中还有normal字段，这是区别于special的，即我们可以分时间段进行不同的访问控制策略。此时，需要允许时间段控制和设定特定时间段。同时在同一列表中若有多条规则，多条规则之间采用深度优先的原则，即描述的地址范围越小，优先级越高，越先考虑。在多条列表时，先匹配列表序号大的规则，如果匹配则按该规则处理数据包，如果不匹配则匹配较小序号的列表，直到最后。等等一系列的配置在此不再详细阐述，大家可以自行完成。

第二篇：防火墙 实验报告

一、实验目的

 通过实验深入理解防火墙的功能和工作原理  熟悉天网防火墙个人版的配置和使用

二、实验原理

 防火墙的工作原理

 防火墙能增强机构内部网络的安全性。防火墙系统决定了哪些内部服务可以被外界访问;外界的哪些人可以访问内部的服务以及哪些外部服务可以被内部人员访问。防火墙必须只允许授权的数据通过，而且防火墙本身也必须能够免于渗透。

 两种防火墙技术的对比

 包过滤防火墙：将防火墙放置于内外网络的边界;价格较低，性能开销小，处理速度较快;定义复杂，容易出现因配置不当带来问题，允许数据包直接通过，容易造成数据驱动式攻击的潜在危险。

 应用级网关：内置了专门为了提高安全性而编制的Proxy应用程序，能够透彻地理解相关服务的命令，对来往的数据包进行安全化处理，速度较慢，不太适用于高速网(ATM或千兆位以太网等)之间的应用 。

 防火墙体系结构

 屏蔽主机防火墙体系结构：在该结构中，分组过滤路由器或防火墙与 Internet 相连，同时一个堡垒机安装在内部网络，通过在分组过滤路由器或防火墙上过滤规则的设置，使堡垒机成为 Internet 上其它节点所能到达的唯一节点，这确保了内部网络不受未授权外部用户的攻击。

 双重宿主主机体系结构：围绕双重宿主主机构筑。双重宿主主机至少有两个网络接口。这样的主机可以充当与这些接口相连的网络之间的路由器;它能够从一个网络到另外一个网络发送IP数据包。但是外部网络与内部网络不能直接通信，它们之间的通信必须经过双重宿主主机的过滤和控制。

 被屏蔽子网体系结构：添加额外的安全层到被屏蔽主机体系结构，即通过添加周边网络更进一步的把内部网络和外部网络(通常是Internet)隔离开。被屏蔽子网体系结构的最简单的形式为，两个屏蔽路由器，每一个都连接到周边网。一个位于周边网与内部网络之间，另一个位于周边网与外部网络(通常为Internet)之间。

四、实验内容和步骤

(1)简述天网防火墙的工作原理 天网防火墙的工作原理：

在于监视并过滤网络上流入流出的IP包，拒绝发送可疑的包。基于协议特定的标准，路由器在其端口能够区分包和限制包的能力叫包过滤。由于Internet 与Intranet 的连接多数都要使用路由器，所以Router成为内外通信的必经端口，Router的厂商在Router上加入IP 过滤功能，过滤路由器也可以称作包过滤路由器或筛选路由器。防火墙常常就是这样一个具备包过滤功能的简单路由器，这种Firewall应该是足够安全的，但前提是配置合理。然而一个包过滤规则是否完全严密及必要是很难判定的，因而在安全要求较高的场合，通常还配合使用其它的技术来加强安全性。

路由器逐一审查数据包以判定它是否与其它包过滤规则相匹配。每个包有两个部分：数据部分和包头。过滤规则以用于IP顺行处理的包头信息为基础，不理会包内的正文信息内容。包头信息包括：IP 源地址、IP目的地址、封装协议(TCP、UDP、或IP Tunnel)、TCP/UDP源端口、ICMP包类型、包输入接口和包输出接口。如果找到一个匹配，且规则允许这包，这一包则根据路由表中的信息前行。如果找到一个匹配，且规则拒绝此包，这一包则被舍弃。如果无匹配规则，一个用户配置的缺省参数将决定此包是前行还是被舍弃。

(2)实验过程 步骤：

(1) 运行天网防火墙设置向导，根据向导进行基本设置。

(2)启动天网防火墙，运用它拦截一些程序的网络连接请求，如启动Microsoft Baseline Security Analyzer，则天网防火墙会弹出报警窗口。此时选中“该程序以后都按照这次的操作运行”，允许MBSA对网络的访问。

(3)打开应用程序规则窗口，可设置MBSA的安全规则，如使其只可以通过TCP协议发送信息，并制定协议只可使用端口21和8080等。了解应用程序规则设置方法。

(4)使用IP规则配置，可对主机中每一个发送和传输的数据包进行控制;ping局域网内机器，观察能否收到reply;修改IP规则配置，将“允许自己用ping命令探测其他机器”改为禁止并保存，再次ping局域网内同一台机器，观察能否收到reply。 改变不同IP规则引起的结果：

规则是一系列的比较条件和一个对数据包的动作，即根据数据包的每一个部分来与设置的条件比较，当符合条件时，就可以确定对该包放行或者阻挡。通过合理设置规则就可以把有害的数据包挡在机器之外。

(5)将“允许自己用ping命令探测其他机器”改回为允许，但将此规则下移到“防御ICMP攻击”规则之后，再次ping 局域网内的同一台机器，观察能否收到reply。

(6)添加一条禁止邻居同学主机连接本地计算机FTP服务器的安全规则;邻居同学发起FTP请求连接，观察结果。

(7)观察应用程序使用网络的状态，有无特殊进程在访问网络，若有，可用“结束进程”按钮来禁止它们。

(8)察看防火墙日志，了解记录的格式和含义。 日志的格式和含义：

天网防火墙将会把所有不符合规则的数据包拦截并且记录下来，如图 15 所示。每条记 录从左到右分别是发送/接受时间、发送 IP 地址、数据传输封包类型、本机通信端口、标 志位和防火墙的操作。

五、实验总结

通过该实验了解了个人防火墙的工作原理和规则设置方法，了解到天火防火墙的优点及缺点：

1、灵活的安全级别设置

2、实用的应用程序规则设置

3、详细的访问记录

4、严密的应用程序网络状态监控功能

5、多样的缺省IP规则

6、可以自定义IP规则

7、具有修补系统漏洞功能。

第三篇：防火墙技术研究报告

防火墙技术

摘要：随着计算机的飞速发展以及网络技术的普遍应用，随着信息时代的来临，信息作为一种重要的资源正得到了人们的重视与应用。因特网是一个发展非常活跃的领域，可能会受到黑客的非法攻击，所以在任何情况下，对于各种事故，无意或有意的破坏，保护数据及其传送、处理都是非常必要的。比如，计划如何保护你的局域网免受因特网攻击带来的危害时，首先要考虑的是防火墙。防火墙的核心思想是在不安全的网际网环境中构造一个相对安全的子网环境。文介绍了防火墙技术的基本概念、原理、应用现状和发展趋势。

Abstract: along with the universal application of the rapid development of computer and network technology, with the advent of the information age, information as an important resource is paid attention to and used by people. The Internet is a development of very active domain, may be illegally attacked by hackers, so in any case, for a variety of accident, accidental or intentional damage, protection of data and transfer, processing is very necessary. For example, plans to protect your network from the hazards brought by Internet attack, firewall is the first consideration. The core idea of firewall is the relative safety of the structure of a network environment in the insecure Internet environment. This paper introduces the basic concept of firewall technology, principle, application status and development trend. Keywords: firewall; network security

目录

一、概述.....................................................................................................................................4

二、防火墙的基本概念.............................................................................................................4

三、防火墙的技术分类.............................................................................................................4

四、防火墙的基本功能.............................................................................................................5

(一)包过滤路由器 .........................................................................................................5

(二)应用层网关 .............................................................................................................6

(三)链路层网关 .............................................................................................................6

五、防火墙的安全构建.............................................................................................................6

(一)基本准则 .............................................................................. 错误!未定义书签。

(二)安全策略 .................................................................................................................6

(三)构建费用 .............................................................................. 错误!未定义书签。

(四)高保障防火墙 ...................................................................... 错误!未定义书签。

六、防火墙的发展特点.............................................................................................................7

(一)高速 .........................................................................................................................7

(二)多功能化 .................................................................................................................8

(三)安全 .........................................................................................................................8

七、防火墙的发展特点.............................................................................................................9 参考文献...................................................................................................................................10

防火墙技术研究报告

一、概述

随着计算机网络的广泛应用，全球信息化已成为人类发展的大趋势。互联网已经成了现代人生活中不可缺少的一部分，随着互联网规模的迅速扩大，网络丰富的信息资源给用户带来了极大方便的同时，由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征，致使网络易受黑客、怪客、恶意软件和其他不轨的攻击。为了保护我们的网络安全、可靠性，所以我们要用防火墙，防火墙技术是近年来发展起来的一种保护计算机网络安全的技术性措施。

二、防火墙的基本概念

防火墙是一个系统或一组系统，在内部网与因特网间执行一定的安全策略，它实际上是一种隔离技术。

一个有效的防火墙应该能够确保所有从因特网流入或流向因特网的信息都将经过防火墙，所有流经防火墙的信息都应接受检查。通过防火墙可以定义一个关键点以防止外来入侵;监控网络的安全并在异常情况下给出报警提示，尤其对于重大的信息量通过时除进行检查外，还应做日志登记;提供网络地址转换功能，有助于缓解IP地址资源紧张的问题，同时，可以避免当一个内部网更换ISP时需重新编号的麻烦;防火墙是为客户提供服务的理想位置，即在其上可以配置相应的WWW和FTP服务等。

三、防火墙的技术分类

现有的防火墙主要有：包过滤型、代理服务器型、复合型以及其他类型(双宿主主机、主机过滤以及加密路由器)防火墙。

包过滤(Packet Fliter)通常安装在路由器上，而且大多数商用路由器都提供了包过滤的功能。包过滤规则以IP包信息为基础，对IP源地址、目标地址、协议类型、端口号等进行筛选。包过滤在网络层进行。

代理服务器型(Proxy Service)防火墙通常由两部分构成，服务器端程序和客户端程序。客户端程序与中间节点连接，中间节点再与提供服务的服务器实际连接。

复合型(Hybfid)防火墙将包过滤和代理服务两种方法结合起来，形成新

4

的防火墙，由堡垒主机提供代理服务。

各类防火墙路由器和各种主机按其配置和功能可组成各种类型的防火墙，主要有：双宿主主机防火墙，它是由堡垒主机充当网关，并在其上运行防火墙软件，内外网之间的通信必须经过堡垒主机;主机过滤防火墙是指一个包过滤路由器与外部网相连，同时，一个堡垒主机安装在内部网上，使堡垒主机成为外部网所能到达的惟一节点，从而确保内部网不受外部非授权用户的攻击;加密路由器对通过路由器的信息流进行加密和压缩，然后通过外部网络传输到目的端进行解压缩和解密。

四、防火墙的基本功能

典型的防火墙应包含如下模块中的一个或多个：包过滤路由器、应用层网关以及链路层网关。

(一)包过滤路由器

包过滤路由器将对每一个接收到的包进行允许/拒绝的决定。具体地，它对每一个数据报的包头，按照包过滤规则进行判定，与规则相匹配的包依据路由表信息继续转发，否则，则丢弃之。

与服务相关的过滤，是指基于特定的服务进行包过滤，由于绝大多数服务的监听都驻留在特定TCP/UDP端口，因此，阻塞所有进入特定服务的连接，路由器只需将所有包含特定 TCP/UDP目标端口的包丢弃即可。

独立于服务的过滤，有些类型的攻击是与服务无关的，比如：带有欺骗性的源IP地址攻击、源路由攻击、细小碎片攻击等。由此可见此类网上攻击仅仅借助包头信息是难以识别的，此时，需要路由器在原过滤规则的基础附上另外的条件，这些条件的判别信息可以通过检查路由表、指定IP选择、检查指定帧偏移量等获得。

(二)应用层网关

应用层网关允许网络管理员实施一个较包过滤路由器更为严格的安全策略，为每一个期望的应用服务在其网关上安装专用的代码，同时，代理代码也可以配置成支持一个应用服务的某些特定的特性。对应用服务的访问都是通过访问

5

相应的代理服务实现的，而不允许用户直接登录到应用层网关。

应用层网关安全性的提高是以购买相关硬件平台的费用为代价，网关的配置将降低对用户的服务水平，但增加了安全配置上的灵活性。

(三)链路层网关

链路层网关是可由应用层网关实现的特殊功能。它仅仅替代TCP连接而无需执行任何附加的包处理和过滤。

五、防火墙的安全构建

在进行防火墙设计构建中，网络管理员应考虑防火墙的基本准则;整个企业网的安全策略;以及防火墙的财务费用预算等。

(一)基本准则

可以采取如下两种理念中的一种来定义防火墙应遵循的准则：第一，未经说明许可的就是拒绝。防火墙阻塞所有流经的信息，每一个服务请求或应用的实现都基于逐项审查的基础上。这是一个值得推荐的方法，它将创建一个非常安全的环境。当然，该理念的不足在于过于强调安全而减弱了可用性，限制了用户可以申请的服务的数量。第二，未说明拒绝的均为许可的。约定防火墙总是传递所有的信息，此方式认定每一个潜在的危害总是可以基于逐项审查而被杜绝。当然，该理念的不足在于它将可用性置于比安全更为重要的地位，增加了保证企业网安全性的难度。

(二)安全策略

在一个企业网中，防火墙应该是全局安全策略的一部分，构建防火墙时首先要考虑其保护的范围。企业网的安全策略应该在细致的安全分析、全面的风险假设以及商务需求分析基础上来制定。

(三)构建费用

简单的包过滤防火墙所需费用最少，实际上任何企业网与因特网的连接都需要一个路由器，而包过滤是标准路由器的一个基本特性。对于一台商用防火墙随着其复杂性和被保护系统数目的增加，其费用也随之增加。

6

至于采用自行构造防火墙方式，虽然费用低一些，但仍需要时间和经费开发、配置防火墙系统，需要不断地为管理、总体维护、软件更新、安全修补以及一些附带的操作提供支持。

六、防火墙的发展特点

(一)高速

从国内外历次测试的结果都可以看出，目前防火墙一个很大的局限性是速度不够，真正达到线速的防火墙少之又少。防范DoS (拒绝服务)是防火墙一个很重要的任务，防火墙往往用在网络出口，如造成网络堵塞，再安全的防火墙也无法应用。

应用ASIC、FPGA和网络处理器是实现高速防火墙的主要方法，但尤以采用网络处理器最优，因为网络处理器采用微码编程，可以根据需要随时升级，甚至可以支持IPv6，而采用其他方法就不那么灵活。

实现高速防火墙，算法也是一个关键，因为网络处理器中集成了很多硬件协处理单元，因此比较容易实现高速。对于采用纯CPU的防火墙，就必须有算法支撑，例如ACL算法。目前有的应用环境，动辄应用数百乃至数万条规则，没有算法支撑，对于状态防火墙，建立会话的速度会十分缓慢。

上面提到，为什么防火墙不适宜于集成内容过滤、防病毒和IDS功能(传输层以下的IDS除外，这些检测对CPU消耗小)呢?说到底还是因为受现有技术的限制。目前，还没有有效的对应用层进行高速检测的方法，也没有哪款芯片能做到这一点。因此，对于IDS，目前最常用的方式还是把网络上的流量镜像到IDS设备中处理，这样可以避免流量较大时造成网络堵塞。此外，应用层漏洞很多，攻击特征库需要频繁升级，对于处在网络出口关键位置的防火墙，如此频繁地升级也是不现实的。

这里还要提到日志问题，根据国家有关标准和要求，防火墙日志要求记录的内容相当多。网络流量越来越大，如此庞大的日志对日志服务器提出了很高的要求。目前，业界应用较多的是SYSLOG日志，采用的是文本方式，每一个字

7

符都需要一个字节，存储量很大，对防火墙的带宽也是一个很大的消耗。二进制日志可以大大减小数据传送量，也方便数据库的存储、加密和事后分析。可以说，支持二进制格式和日志数据库，是未来防火墙日志和日志服务器软件的一个基本要求。

(二)多功能化

多功能也是防火墙的发展方向之一，鉴于目前路由器和防火墙价格都比较高，组网环境也越来越复杂，一般用户总希望防火墙可以支持更多的功能，满足组网和节省投资的需要。例如，防火墙支持广域网口，并不影响安全性，但在某些情况下却可以为用户节省一台路由器; 支持部分路由器协议，如路由、拨号等，可以更好地满足组网需要;支持IPSec VPN，可以利用因特网组建安全的专用通道，既安全又节省了专线投资。据IDC统计，国外90%的加密VPN都是通过防火墙实现的。

(三)安全

未来防火墙的操作系统会更安全。随着算法和芯片技术的发展，防火墙会更多地参与应用层分析，为应用提供更安全的保障。“魔高一尺，道高一丈”，在信息安全的发展与对抗过程中，防火墙的技术一定会不断更新，日新月异，在信息安全的防御体系中，起到堡垒的作用。未来防火墙的操作系统会更安全。随着算法和芯片技术的发展，防火墙会更多地参与应用层分析，为应用提供更安全的保障。

七、防火墙的发展趋势

近年来，计算机网络获得了飞速的发展。它不知不觉的占据了我们生活的大半部分，成为我们社会结构的一个基本组成部分。从Internet的诞生之日起，就不可避免的面临着网络信息安全的问题。而随着Internet的迅速发展，计算机网络对安全的要求也日益增高。越来越多的网站因为安全性问题而瘫痪，公司的机密信息不断被窃取，政府机构和组织不断遭受着安全问题的威胁等等。

8

尽管利用防火墙可以保护内部网免受外部黑客的攻击，但其只能提高网络的安全性，不可能保证网络的绝对安全。事实上仍然存在着一些防火墙不能防范的安全威胁，如防火墙不能防范不经过防火墙的攻击。例如，如果允许从受保护的网络内部向外拨号，一些用户就可能形成与Internet的直接连接。另外，防火墙很难防范来自于网络内部的攻击以及病毒的威胁。所以在一个实际的网络运行环境中，仅仅依靠防火墙来保证网络的安全显然是不够，此时，应根据实际需求采取其他相应的安全策略。

计算机的安全问题正面临着前所未有的挑战。在这场网络安全的攻击和反攻击的信息战中，永远没有终点。黑客的攻击手段不断翻新，决定了信息安全技术也必须进 行革新，防火墙是防范黑客攻击的常用手段，但这样的技术必须与当今最前沿的其他安全技术结合在一起，才能更有效地防范各种新的攻击手段。

参考文献

[1] 谢希仁. 计算机网络(第5版)[M].北京：电子工业出版社

[2] 吴秀梅，傅嘉伟编著.防火墙技术及应用教程.北京：清华大学出版社 [3] 张红旗，王鲁 等编著.信息安全技术.高等教育出版社

9

[4] 张华贵，王海燕. 计算机网络在安全分析与对策

[5] 黄思育. 浅议防火墙. 达县师范高等专科学校学报(自然科学版)

10

第四篇：网络技术实验报告

南通大学校园网设计方案

 需求分析

随着计算机、通信和多媒体的发展，网络上的应用也越来越丰富。同时在多媒体教育和管理等方面的需求，对校园网络也提出进一步的要求。因此需要一个高速的、具有先进性的、可扩展的校园计算机网络以适应当前网络技术发展的趋势并满足学校各方面应用的需要。信息技术的普及教育已经越来越受到人们关注。学校领导、广大师生们已经充分认识到这一点，学校未来的教育方法和手段，将是构筑在教育信息化发展战略之上，通过加大信息网络教育的投入，开展网络化教学，开展教育信息服务和远程教育服务等将成为未来建设的具体内容。  总体需求

校园网必须具备教学、管理和通讯三大功能。教师可以方便地浏览和查询网上资源，进行教学和科研工作;学生可以方便地浏览和查询网上资源实现远程学习;通过网上学习学会信息处理能力。学校的管理人员可方便地对教务、行政事务、学生学籍、财务、资产等进行综合管理，同时可以实现各级管理层之间的信息数据交换，实现网上信息采集和处理的自动化，实现信息和设备资源的共享。  系统集成需求

在总体需求确定的基础上，提出的系统集成需求如下：

1、采用千兆以太网技术

千兆以太网技术已经成熟，千兆主干、百兆交换到桌面已经成为校园网技术的主流，因此采用1000M以太网光纤作为校园网的主干，100M交换到各教研组、科室、学生机房的计算机。

2、采用光纤和双绞线布线

千兆以太网使用光纤和双绞线作为传输介质。我校校园网的200多个信息点基本分布在教学楼和实验楼两栋楼和宿舍楼还有办公楼，布线系统采用结构化布线方式，符合ISO/IEC 11801标准。

3、网络交换设备

根据现有的计算机数量，确定使用交换机的数量为46台。

其中控制中心设置4台，2台作为核心的千兆交换机，2台作为控制中心的交换设备，其他百兆交换机32台，学生机房各配备12台，规格与上面的相同,但可以堆叠。以上三处均用光纤连接到核心交换机的1000M光纤端口。宿舍区分配20台。

控制中心配备1台24口带1000M光纤模块、可堆叠的10/100M自适应交换机，用10条双绞线分别连接10台交换机到学生机房、各学院教研室、多功能教室、教研组、办公楼、图书馆(已有100M集线器)。另外，控制中心的6台管理计算机也连接到这台交换机上。

4、服务器

根据学校的实际应用，配有服务器7台，用途如下：

① 主服务器2台：装有Solaris操作系统，负责整个校园网的管理，用来存储和管理学生档案、学生成绩、教务管理档案、文书档案、教务档案、财产档案、会计档案、团委档案，教育资源管理等。其中一台服务器装有DNS服务，负责整个校园网中各个域名的解析。另一台服务器装有电子邮件系统，负责整个校园网中各个用户的邮件管理。

②WEB服务器1台：负责远程服务管理及WEB站点的管理。能够在校园网上发布南通大学的主页;所有终端机能顺利上传主页;所有终端机能够实现聊天室功能，老师能够在网上回答学生在网上提出的问题;申请域名后能对外发布南通大学的各种信息。

③电子阅览服务器1台：多媒体资料的阅览、查询及文件管理等;

④教师备课服务器1台：教师备课、课件制作、资料查询等文件管理以及Proxy服务等。

⑤光盘服务器1台：负责多媒体光盘及视频点播服务。

⑥图书管理服务器1台：负责图书资料管理。

6、网络操作系统和其他系统

网络操作系统宜选用Windows Xp，数据库系统选用SQL Server 2003。  校园网具体环境

南通大学分为主校区、启秀、钟秀三个校区，考虑到各个方面的应用方便，按功能划分成教学子网、宿舍子网、机房、图书馆。主校区有十三幢教学楼，其中有综合楼、办公楼、计算机楼、各学院教研室、阅览室、图书馆。其中学生机房、计算机实验室、网络控制中心均在计算机楼。另外主校区宿舍分为三期，共24幢。

二、系统总体设计目标

综合以上的各种信息，结合当前的国外各类计算机系统应用情况，本网要实现的目标是：

满足日常工作的处理电子化、日常办公自动化、领导决策科学化，和信息交流快捷方便化。即实现业务系统处理、日常办公、领导决策计算机化、信息交流国际化的先进系统。即：以先进的计算机及通讯为手段建立内部网络，纵向向上与Internet互联网相连，向下与各管理子网点相连接，横向与其它单位相连接的计算机综合网络系统。在统一思想、统一信息交换标准、统一技术规范的原则下，系统达到以下目标：

◆ 为各办公室提供宽带网络支持; ◆ 提供公用信息交换平台;

◆ 提供Web发布信息等Internet的信息服务;

◆ 提供日常工作的处理网络化、电子化的日常办公自动化环境;

◆ 电子档案的信息查询，提供先进和更多的服务手段, 提高效率和质量; ◆ 为调控、科学决策提供有力的支持;

◆ 为内部网提供有力的技术保障，增加内部系统的安全性 ; ◆ 增强校园的教学信息的领先优势。

三、系统总体设计原则

网络系统总体设计目标是最大限度的满足应用系统的需求，与计算机及网络技术发展水平相适应。建立网络系统主要是完成将所有网络设备连网工作，即通过网络设备将信息点与中心网络系统可靠地连接起来，为当前的各种应用环境系统和应用软件系统提供运行环境支持。

由于网络系统对工作的运作与发展具有非常重要的作用，因此网络改造系统的先进性、可靠性、安全性、易维护、易升级等方面均有一定的要求，网络系统对先进性的要求是在计算机技术突飞猛进的今天，提供达几年甚至更长时间的可用性。网络系统设计必须满足其应用的要求，网络总体设计、建设的原则如下：

1、开放性：

当前计算机技术的发展日新月异，各种硬件和软件产品层出不穷。但总体上看，整个计算机仍然在开放式系统的概念下不断趋于统一，新模式主要有如下特点：

开放式系统越来越为广大用户所接受，传统的封闭式厂商也开始走向开放式道路，开放式体系结构已经发展成为计算机技术的主流。

网络互联技术成熟，推动了分布式运算环境的建立，如TCP/IP的迅速发展，已成为异种机型互联的标准。

关系型数据库发展已非常成熟，已成为数据库管理的主流工具。

在开放系统环境OSE(Open System Environment) 中有两个最基本的特点： 一是开放系统所采用的规范是厂家中立的，或者说是与厂家无关的; 二是开放系统允许不同厂家的计算机系统和软件系统可以互换，并可组成一个集成的操作环境。OSE包括了多种功能，它能在不同厂家的网络上实现计算机应用的互操作性、可移植性和集成性。

对于用户来说，选择开放系统的意义深远，它包括： 应用系统独立于平台外部环境，不受厂家的约束。 可以在不同厂家的产品中随意地选用最佳产品。

能较快地获得新技术。因为对厂家来说，在一个标准平台上开发产品成本较底。减少了购置新计算机及网络设备的投资，因为系统和应用软件可以从原有计算机上移植。

2、 标准化

在方案设计中，所有计算机网络软硬件产品必须坚持标准化原则，遵从国际标准化组织所制订的各种国际标准及各种工业标准。

3、 简洁性

对于网络系统，在设计过程中要考虑系统的能够适应不断的新的发展需要，并使系统能适应多种硬件平台和多种网络结构，而且网络拓扑结构简洁，硬件和软件按需要能进行灵活的配置。

4、可扩展性

目前设计的网络系统不仅仅用于当前，同时在今后的一段时间内，将是校园电子化的主要系统。因此，设计时一定得考虑将来的发展，除了当前设计得有一定的超前外，还需要考虑系统的可扩充性，易于系统以后的发展。

网络系统必须有足够的扩展性，使得将来增加信息点时，只需很少变动。如当网络设备增加、通信网络升级时，所有设备要保证仍能继续使用，而不能以弃掉已有设备为升级的代价。采用的产品具有充分的可扩充性及升级能力，具有足够的先进网络技术过渡的能力。

5、安全性

安全性是指可靠性、保密性和数据一致性。校园网对安全性的要求较高，计算机系统的安全性主要包括以下几个方面: 硬件平台安全性：当计算机的元器件突然发生故障，或计算机系统工作环境设备突然发生故障时，计算机系统能继续工作或迅速恢复。

网络通迅系统安全性：网络的安全性主要包括采取以下安全措施：认证措施，包括网点认证和人员认证;数据保密措施如传输加密;存取控制措施如防止非法操作。

操作系统安全性：操作系统选用正版的可升级维护的WINDOWS系统。

数据库安全性：数据库要有以下安全机制：磁盘镜像、数据备份、恢复机制、事务日志、内部一致性检查、锁机制以及审计机制等安全保障体制，确保数据库的安全。

应用软件系统的安全性：

认同用户和鉴别，确认用户的真实身份，防止非法用户进入系统。

存取控制，当用户已注册登录后，核对用户权限，根据用户对该项资源被授予的权限对其进行存取控制。

审计，系统能记录用户所进行的操作及其相关数据，能记录操作结果，能判断违反安全的事件是否发生，如果发生则能记录备查。

保障数据完整性，对数据库操作保证数据的一致性和数据的完整性。

6、技术先进性

网络系统不能够一经实现即落后，应当至少处于现今先进水平，只有这样才能在计算机技术迅速发展的今天不落伍，不会在竞争激烈的今天，因计算机技术的不足而影响工作的进行开展。应至少保持系统具备几年的领先性。

采用先进而成熟的网络技术和产品，适应大量数据和多媒体信息传输、处理、交换的需要，使网络系统具有较强的生命力。

7、实用性

网络的建设要强调网络系统与网络应用并重，以应用推动建设，信息资源的开发、利用和效果。

产品应选择主流产品，并且具有成熟、稳定、实用的特点。能充分满足日常使用、科学决策、对外交流、以及信息自动化管理等各方面的需要。

8、网络可靠性

网络可靠性需要从以下方面来保证：设备的硬件制造品质与运行软件的成熟性。网络设备必须选用已经证实，并在实际应用中得到普遍应用的产品，只有这样，才可能提供不间断运行的能力。网络产品应具备在线热更换的能力，当某一板卡出现故障时，应能带电更换，而不需进行停机操作。

9、易维护管理性

网络管理应走向科学化，采用先进的网络管理系统，实现“在网络中心即能实时控制、监测整个系统的运行状况，能够自动发现故障点”的目标，并具有良好的人-机操作界面。

10、保护投资

在网络方案设计时充分考虑现有的硬件和软件资源，尽量把各期投资和未来发展的兼容性容于系统方案中。保护投资从如下几个方面考虑：

直接的硬件设备、软件系统的投资;

应用系统开发的人力、物力、财力和时间上的投资; 人员培训投资;

原有运行系统和业务数据的有效兼容。

四、网络详细设计方案

在网络工程中，主要考虑的是该网络在完成日常办公和现代化管理及对外交流中充分的功能，应用现有的、先进的网络技术，利用最新的交换式网络设备，充分拓展带宽，以满足日益增长的需求。 4.1、网络拓扑结构

利用Microsoft Office Visio 2003画拓扑图： 总拓扑图：

核心网络：

教学子网：

宿舍子网：

启秀校区子网：

钟秀校区子网：

利用Cisco Packet Tracer仿真实现：

具体配置命令如下： 核心网络部分：

 ISP: ISP#sh run Building configuration...

Current configuration : 678 bytes ! version 12.2 no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption ! hostname ISP ! interface FastEthernet0/0 no ip address duplex auto speed auto shutdown ! interface FastEthernet1/0 no ip address duplex auto speed auto shutdown ! interface Serial2/0 no ip address shutdown ! interface Serial3/0 ip address 222.184.232.2 255.255.255.240 clock rate 64000 ! interface FastEthernet4/0 no ip address shutdown ! interface FastEthernet5/0 no ip address shutdown ! ip classless ip route 10.0.0.0 255.0.0.0 Serial3/0 ! line con 0 line vty 0 4 login ! end

 边界路由 BORD#sh run Building configuration...

Current configuration : 1644 bytes ! version 12.2 no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption ! hostname BORD ! interface FastEthernet0/0 ip address 10.11.0.2 255.255.0.0 ip nat inside duplex auto speed auto ! interface FastEthernet1/0 ip address 10.13.0.2 255.255.0.0 ip nat inside duplex auto speed auto ! interface Serial2/0 ip address 10.17.0.1 255.255.0.0 ip nat inside clock rate 64000 ! interface Serial3/0 ip address 222.184.232.1 255.255.255.240 ip nat outside ! interface FastEthernet4/0 no ip address shutdown ! interface FastEthernet5/0 no ip address shutdown ! interface FastEthernet6/0 ip address 10.15.0.2 255.255.0.0 ip nat inside duplex auto speed auto ! interface FastEthernet7/0 no ip address duplex auto speed auto shutdown ! interface FastEthernet8/0 no ip address duplex auto speed auto shutdown ! interface FastEthernet9/0 no ip address duplex auto speed auto shutdown ! router ospf 1 log-adjacency-changes network 10.11.0.0 0.0.255.255 area 0 network 10.13.0.0 0.0.255.255 area 0 network 10.15.0.0 0.0.255.255 area 0 network 10.17.0.0 0.0.255.255 area 0 default-information originate ! ip nat pool pol10 10.0.0.1 10.255.255.254 netmask 255.0.0.0 ip nat inside source list 10 interface Serial3/0 overload ip nat inside source static 10.18.0.3 222.184.232.3 ip nat inside source static 10.18.0.5 222.184.232.4 ip nat inside source static 10.18.0.6 222.184.232.5 ip classless ip route 0.0.0.0 0.0.0.0 Serial3/0 ! ! access-list 10 permit 10.0.0.0 0.255.255.255 ! line con 0 line vty 0 4 login ! end

 校外路由 COR1#sh run Building configuration... Current configuration : 1191 bytes ! version 12.2 no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption ! hostname COR1 ! interface FastEthernet0/0 ip address 10.14.0.2 255.255.0.0 duplex auto speed auto ! interface FastEthernet1/0 ip address 10.16.0.2 255.255.0.0 duplex auto speed auto ! interface Serial2/0 ip address 10.17.0.2 255.255.0.0 ! interface Serial3/0 no ip address shutdown ! interface FastEthernet4/0 no ip address shutdown ! interface FastEthernet5/0 no ip address shutdown ! interface FastEthernet6/0 ip address 10.12.0.2 255.255.0.0 duplex auto speed auto ! interface FastEthernet7/0 ip address 10.18.0.1 255.255.0.0 duplex auto speed auto ! interface FastEthernet8/0 no ip address duplex auto speed auto shutdown ! interface FastEthernet9/0 no ip address duplex auto speed auto shutdown ! router ospf 1 log-adjacency-changes network 10.12.0.0 0.0.255.255 area 0 network 10.14.0.0 0.0.255.255 area 0 network 10.16.0.0 0.0.255.255 area 0 network 10.17.0.0 0.0.255.255 area 0 network 10.18.0.0 0.0.255.255 area 0 ! ip classless ! line con 0 line vty 0 4 login ! end

 新校区教学核心 TEACHCORE#sh run Building configuration...

Current configuration : 3623 bytes ! version 12.2 no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption ! hostname TEACHCORE ! ip routing ! no ip domain-lookup ! interface FastEthernet0/1 no switchport no ip address ip nat outside duplex auto speed auto ! interface FastEthernet0/2 no switchport ip address 10.11.0.1 255.255.0.0 ip nat outside duplex auto speed auto ! interface FastEthernet0/3 no switchport ip address 10.2.0.1 255.255.0.0 ip helper-address 10.18.0.2 ip nat outside duplex auto speed auto ! interface FastEthernet0/4 no switchport ip address 10.9.0.1 255.255.0.0 ip helper-address 10.18.0.2 ip nat inside duplex auto speed auto ! interface FastEthernet0/5 no switchport ip address 10.10.0.1 255.255.0.0 ip helper-address 10.18.0.2 ip nat inside duplex auto speed auto ! interface FastEthernet0/6 no switchport ip address 10.1.0.1 255.255.0.0 ip helper-address 10.18.0.2 ip nat inside duplex auto speed auto ! interface FastEthernet0/7 no switchport ip address 10.3.0.1 255.255.0.0 ip helper-address 10.18.0.2 ip nat inside duplex auto speed auto ! interface FastEthernet0/8 no switchport ip address 10.4.0.1 255.255.0.0 ip helper-address 10.18.0.2 ip nat inside duplex auto speed auto ! interface FastEthernet0/9 no switchport ip address 10.5.0.1 255.255.0.0 ip helper-address 10.18.0.2 ip nat inside duplex auto speed auto ! interface FastEthernet0/10 no switchport ip address 10.6.0.1 255.255.0.0 ip helper-address 10.18.0.2 ip nat inside duplex auto speed auto ! interface FastEthernet0/11 no switchport ip address 10.7.0.1 255.255.0.0 ip helper-address 10.18.0.2 ip nat inside duplex auto speed auto ! interface FastEthernet0/12 no switchport ip address 10.8.0.1 255.255.0.0 ip helper-address 10.18.0.2 ip nat inside duplex auto speed auto ! interface FastEthernet0/13 ! interface FastEthernet0/14 ! interface FastEthernet0/15 ! interface FastEthernet0/16 ! interface FastEthernet0/17 ! interface FastEthernet0/18 ! interface FastEthernet0/19 ! interface FastEthernet0/20 ! interface FastEthernet0/21 ! interface FastEthernet0/22 ! interface FastEthernet0/23 ! interface FastEthernet0/24 ! interface GigabitEthernet0/1 no switchport no ip address duplex auto speed auto shutdown ! interface GigabitEthernet0/2 ! interface Vlan1 no ip address shutdown ! router ospf 1 log-adjacency-changes network 10.1.0.0 0.0.255.255 area 0 network 10.2.0.0 0.0.255.255 area 0 network 10.3.0.0 0.0.255.255 area 0 network 10.4.0.0 0.0.255.255 area 0 network 10.5.0.0 0.0.255.255 area 0 network 10.6.0.0 0.0.255.255 area 0 network 10.7.0.0 0.0.255.255 area 0 network 10.8.0.0 0.0.255.255 area 0 network 10.9.0.0 0.0.255.255 area 0 network 10.10.0.0 0.0.255.255 area 0 network 222.191.5.0 0.0.0.255 area 0 network 222.191.6.0 0.0.0.255 area 0 network 222.191.7.0 0.0.0.255 area 0 network 10.11.0.0 0.0.255.255 area 0 network 10.12.0.0 0.0.255.255 area 0 ! ip classless ! ! access-list 1 permit 10.1.0.0 0.0.255.255 access-list 1 permit 10.2.0.0 0.0.255.255 access-list 1 permit 10.3.0.0 0.0.255.255 access-list 1 permit 10.4.0.0 0.0.255.255 access-list 1 permit 10.5.0.0 0.0.255.255 access-list 1 permit 10.6.0.0 0.0.255.255 access-list 1 permit 10.7.0.0 0.0.255.255 access-list 1 permit 10.8.0.0 0.0.255.255 access-list 1 permit 10.9.0.0 0.0.255.255 access-list 1 permit 10.10.0.0 0.0.255.255 access-list 1 permit 10.11.0.0 0.0.255.255 access-list 1 permit 10.12.0.0 0.0.255.255 ! line con 0 exec-timeout 0 0 logging synchronous line vty 0 4 login ! end

 新校区宿舍核心 FLOCORE#sh run Building configuration...

Current configuration : 1857 bytes ! version 12.2 no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption ! hostname FLOCORE ! ip routing ! no ip domain-lookup ! interface FastEthernet0/1 no switchport ip address 10.14.0.1 255.255.0.0 ip nat outside duplex auto speed auto ! interface FastEthernet0/2 no switchport ip address 10.13.0.1 255.255.0.0 ip nat outside duplex auto speed auto ! interface FastEthernet0/3 no switchport ip address 10.20.0.1 255.255.0.0 ip helper-address 10.18.0.2 ip nat inside duplex auto speed auto ! interface FastEthernet0/4 no switchport ip address 10.21.0.1 255.255.0.0 ip helper-address 10.18.0.2 ip nat inside duplex auto speed auto ! interface FastEthernet0/5 ! interface FastEthernet0/6 ! interface FastEthernet0/7 ! interface FastEthernet0/8 ! interface FastEthernet0/9 ! interface FastEthernet0/10 ! interface FastEthernet0/11 ! interface FastEthernet0/12 ! interface FastEthernet0/13 ! interface FastEthernet0/14 ! interface FastEthernet0/15 ! interface FastEthernet0/16 ! interface FastEthernet0/17 ! interface FastEthernet0/18 ! interface FastEthernet0/19 ! interface FastEthernet0/20 ! interface FastEthernet0/21 ! interface FastEthernet0/22 ! interface FastEthernet0/23 ! interface FastEthernet0/24 ! interface GigabitEthernet0/1 ! interface GigabitEthernet0/2 ! interface Vlan1 no ip address shutdown ! router ospf 1 log-adjacency-changes network 222.191.4.0 0.0.0.255 area 0 network 222.191.8.0 0.0.0.255 area 0 network 10.20.0.0 0.0.255.255 area 0 network 10.21.0.0 0.0.255.255 area 0 network 10.13.0.0 0.0.255.255 area 0 network 10.14.0.0 0.0.255.255 area 0 ! ip nat pool pool1 222.191.4.3 222.191.8.3 netmask 0.0.0.0 ip classless ! line con 0 exec-timeout 0 0 logging synchronous line vty 0 4 login ! end

 新校区图书馆核心 LIBCORE#sh run Building configuration...

Current configuration : 1589 bytes ! version 12.2 no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption ! hostname LIBCORE ! interface FastEthernet0/1 no switchport ip address 10.16.0.1 255.255.0.0 duplex auto speed auto ! interface FastEthernet0/2 no switchport ip address 10.15.0.1 255.255.0.0 duplex auto speed auto ! interface FastEthernet0/3 no switchport ip address 10.19.0.1 255.255.0.0 ip helper-address 10.18.0.2 duplex auto speed auto ! interface FastEthernet0/4 no switchport ip address 10.22.0.1 255.255.0.0 ip helper-address 10.18.0.2 duplex auto speed auto ! interface FastEthernet0/5 ! interface FastEthernet0/6 ! interface FastEthernet0/7 ! interface FastEthernet0/8 ! interface FastEthernet0/9 ! interface FastEthernet0/10 ! interface FastEthernet0/11 ! interface FastEthernet0/12 ! interface FastEthernet0/13 ! interface FastEthernet0/14 ! interface FastEthernet0/15 ! interface FastEthernet0/16 ! interface FastEthernet0/17 ! interface FastEthernet0/18 ! interface FastEthernet0/19 ! interface FastEthernet0/20 ! interface FastEthernet0/21 ! interface FastEthernet0/22 ! interface FastEthernet0/23 ! interface FastEthernet0/24 ! interface GigabitEthernet0/1 ! interface GigabitEthernet0/2 ! interface Vlan1 no ip address shutdown ! router ospf 1 log-adjacency-changes network 10.15.0.0 0.0.255.255 area 0 network 10.16.0.0 0.0.255.255 area 0 network 10.19.0.0 0.0.255.255 area 0 network 10.22.0.0 0.0.255.255 area 0 ! ip classless ! line con 0 line vty 0 4 login ! end

 DHCP服务器

第五篇：南邮通信技术实验报告实验一

南京邮电大学通达学院

课程实验报告

题 目： IP网络中的TCP-UDP通信实验

学 院 通达学院 学 生 姓 名 王伟慧 班 级 学 号 10005002 指 导 教 师 王珺 开 课 学 院 通信与信息工程学院 日 期 2013.5

一，实验目的

了解局域网TCP消息通信过程的机制;

1，了解局域网UDP消息通信过程的特点; 2，熟悉最简单的Socket类的操作和使用;

3，实现字符串通信、文件(ASCII文件)传输、Socket局域网电话的实现;

二 实验设备及软件环境

答：一台或两台装有VC++的带有网卡的PC机(或工控机)。

以太网TCP通信UDP通信服务器端10.10.9.1客户端10.10.9.210.10.9.3710.10.9.15

三 实验步骤

内容一：基于TCP协议的Socket消息发送和接收

说明：事例程序包括“TCP聊天服务器” 与“TCP聊天客户端”。 1，运行示例程序“TCP聊天服务器”设置端口号：1001， 2，点击“服务器开启服务”

3，运行示例程序“TCP聊天客户端”，设置端口号一定要与“TCP聊天服务器”设置的一致。如果在同一台机器上运行，输入服务器IP地址：127.0.0.1，如果不在同一台机器上，输入局域网上服务器所在机器的IP地址(当然首先确保局域网通畅) 4，点击“连接”

在客户端输入文字消息，可以看到服务器端能显示出客户机的名称、IP地址、以及通过Socket消息发送过来的文字内容。 内容二，基于UDP的SOCKET消息 1，(必须是在两台机器上，说明书上示意为10.10.9.37和10.10.9.15两个IP地址)均运行程序“UDP客户端”，运行界面如图1.5，注意此时已经没有明确的“服务器”“客户端”之说，“服务器名”输入对端IP地址，端口号必须一致。 2，分别点击“打开端口”，连接上服务器后，可以互发消息

四.实验内容及实验结果

TCP通信

UDP通信

五.实验体会

实验过程中，虽然有很多的困难，但经过老师和同学的知道，最终都顺利解决了，实验之后，对TCP、UDP的通信连接有了更加深刻的认识，增长了有关通信技术方面的知识，对以后的学习生活，都会有很大的帮助。

六.思考题

3，如果现在要传送一个TXT文本，应如何实现，写出编程思路? (1)打开文本 将内容读入 缓冲区 (2)与 另一台机器建立 socket连接 (3)发送

(4)另一台机器 保存接收到的内容

5，TCP本机通信时可以使用哪些IP地址来进行访问? 答：1.本机设定的IP 2. 环回地址，以127.开头的IP地址如127.0.0.1 6.TCP通信时如果服务器一方改变端口号，客户端应做怎样的处理?

答：因为客户端一般情况下不设置端口号，因此在调用SOCKET()创建套接口后,直接调用CONNECT()函数连接到目标主机,这中情况下客户端的端口是系统分配的,如果你想自己指定客户端的端口,那么就象服务端一样,在SOCKET()创建套接口后,调用一下BIND()函数绑定本机端口,然后再调用CONNECT()函数。