網(wǎng)絡構建與協(xié)議分析課程設計

1、<p>　　課程設計（大作業(yè)）報告</p><p>　　課程名稱： 網(wǎng)絡協(xié)議工程 </p><p>　　設計題目： 網(wǎng)絡構建與協(xié)議分析 </p><p>　　院 系： 信息技術學院 </p><p>　　班 級： </p><p>　　設

2、計 者： XXX </p><p>　　學 號： XXXXXXXX </p><p>　　指導教師： XXX XXX </p><p><b>　　設計時間： </b></p><p><b>　　信息技術學院</b></p&g

3、t;<p>　　課程設計（大作業(yè)）任務書</p><p>　　姓 名：XXX 院（系）：信息技術學院</p><p>　　專 業(yè)：計算機科學與技術學 號：XXXXXXXX</p><p><b>　　任務起止日期：</b></p><p>　　課程設計題目：

4、實驗一 網(wǎng)絡構建及分析</p><p>　　實驗二 協(xié)議分析</p><p><b>　　課程設計要求：</b></p><p>　　實驗一：企業(yè)網(wǎng)絡搭建及應用</p><p>　　學校搭建網(wǎng)絡拓撲圖，配置交換機，路由器，pc機，，并能熟悉使用命令語句，知道企業(yè)網(wǎng)絡拓撲圖怎樣配置等等。</p>&l

5、t;p>　　實驗一：用協(xié)議分析工具分析SSH以及以下各層協(xié)議的工作機制</p><p>　　了解SSH協(xié)議以及以下各層協(xié)議的工作機制。并能熟悉運用各種命令，理解各種命令的功能和執(zhí)行方式以及結果，并能熟練運用，并了解SSH命令的各種功能和作用等等 掌握協(xié)議分析工具的安裝、配置和基本操作。利用協(xié)議分析工具分析現(xiàn)實中某種網(wǎng)絡應用的協(xié)議工作過程，通過分析工具捕獲網(wǎng)絡數(shù)據(jù)的具體傳輸，分析該應用

6、在協(xié)議棧個層次中數(shù)據(jù)包的具體內(nèi)容，從而理解各層協(xié)議的作用與協(xié)同工作的過程，達到能更加深入掌握網(wǎng)絡協(xié)議原理的目的。</p><p><b>　　工作計劃及安排：</b></p><p>　　2011年12月19日星期一下午：老師安排實驗要求，做相應的實驗指導</p><p>　　2011年12月20日星期二下午：查閱相關資料，了解實驗目的,機房進

7、行命令的上機操作</p><p>　　2011年12月21日星期三下午：機房進行拓撲圖的搭建以及設備的配置,寫實驗一實驗報告</p><p>　　2011年12月22日星期四上午：機房SSH協(xié)議的分析,寫實驗二的實驗報告</p><p>　　2011年12月22日星期四下午：寫實驗一、實驗二總結</p><p>　　2011年12月23日星期

8、五：交實驗報告</p><p>　　指導教師簽字 </p><p>　　年 月 日 </p><p>　　課程設計（大作業(yè)）成績</p><p>　　學號：XXXXXX 姓名：XXX 指導教師：XXX</p><p>　　課程設計題目：第一部分 網(wǎng)絡構建及分析

9、</p><p><b>　　第二部分 協(xié)議分析</b></p><p>　　總結：這次的課程設計，真的讓我學到了很多知識。平時上課學到的都是理論的知識，通過這次的課程設計，讓我可以在實踐中更好的提高自己。在這次課程設計中遇到了不少的問題。例如：在使用思科模擬器構建網(wǎng)絡模型的時候，一開始甚至不知道該用哪種線去連接設備；在配置路由器，分配拓撲編址的時候不知該如何操作……

10、在遇到這些問題的時候，我及時的查找資料，向老師同學請教，認真的學習，花費了很多的時間和精力來完成這一次的課程設計。在實驗過程分析了SSH協(xié)議報文格式、SSH的工作過程，在第一部分的網(wǎng)絡拓撲結構的構建中，學會IP地址的編址和數(shù)據(jù)報文發(fā)送、轉(zhuǎn)發(fā)的過程，體會子網(wǎng)掩碼的作用。尤其是在不同網(wǎng)絡中傳輸數(shù)據(jù)報文時，網(wǎng)絡設備通過查找路由表，確定目的地址是否可達及下一跳是哪個端口，從而實現(xiàn)路由功能。在這次課程設計中花費很多的精力，但是我覺得學到了很多使用

11、的知識，感覺很滿意。在這次的課程設計中，我明顯發(fā)現(xiàn)了自己還有很多的不足，在以后的學習中，一定要努力認真，爭取做的更好。</p><p><b>　　指導教師評語：</b></p><p><b>　　成績：</b></p><p>　　填表時間：指導教師簽名：</p><p>　　第一

12、部分 網(wǎng)絡構建及分析</p><p><b>　　題目分析</b></p><p>　　在S3550與S2126兩臺設備創(chuàng)建相應的VLAN。</p><p>　　S3550與S2126兩臺設備利用F0/1與F0/2建立TRUNK鏈路。</p><p>　　S3550與S2126兩臺設備之間提供冗余鏈路。</p>

13、;<p>　　在RA和RB上配置接口IP地址。</p><p>　　配置三層交換機的路由功能。</p><p>　　RA和RB配置廣域網(wǎng)鏈路。</p><p><b>　　配置靜態(tài)路由。</b></p><p>　　為了保證服務器安全，在RA上做安全控制。</p><p><b

14、>　　總體設計</b></p><p>　　某學校網(wǎng)絡拓撲模擬圖，接入層設備采用S2126交換機，在匯聚層上采用S3550交換機，在接入層上劃分了辦公網(wǎng)VLAN4和學生網(wǎng)VLAN5。在S3550上有網(wǎng)管VLAN8，S3550通過VLAN1中的F0/15和RA相連。RA和RB通過S1/2端口相連，在RB上的以太網(wǎng)口F1/0上連接著WEBServer，為了保證信息安全，禁止學生網(wǎng)訪問WEB服務器，允

15、許辦公網(wǎng)訪問WEB服務器，但是禁止辦公網(wǎng)訪問WEB服務器的telnet服務。</p><p><b>　　實驗器材</b></p><p>　　1、網(wǎng)絡環(huán)境 根據(jù)具體協(xié)議構建合適的網(wǎng)絡環(huán)境2、操作系統(tǒng) WindowsXP，如果需要，安裝相應的服務（如FTP，SSH，TELNET，HTTP等） 3、協(xié)議分析工具 Wind

16、ows環(huán)境下常用的工具有：Sniffer Pro、Ethereal、Iris以及Packet Tracer 等。實驗中可具體選擇一種協(xié)議分析工具，本實驗選擇Cisco Packet Tracer。</p><p><b>　　制作步驟</b></p><p>　　分析實驗設計要求，進行初步的規(guī)劃；</p><p>　　2、在電腦上安裝思科模擬器

17、一臺</p><p>　　3、 根據(jù)老師給的拓撲圖題目，將相應的器材拖至工作區(qū)，用線連接器材。（相同設備用交叉相，不同設備用直通線）</p><p>　　4 根據(jù)網(wǎng)絡拓撲圖要求，正確配置所有網(wǎng)絡設備的名稱。</p><p>　　5、按照要求的網(wǎng)絡拓撲圖在思科模擬器上進行對網(wǎng)絡拓撲圖的連接，此處要特別注意對設備和連接線的選擇連線時要特別注意選用的線的種類：同種設備之間

18、互聯(lián)使用交叉線，不同種設備互聯(lián)使用直通線。</p><p>　　6、在全網(wǎng)所有設備上按照要求配置正確的IP地址，進行設置和配置的檢測，對實驗的結果進行分析。</p><p>　　五、分析網(wǎng)絡中可能用到的網(wǎng)絡協(xié)議</p><p>　　可能用到的網(wǎng)絡協(xié)議 　　</p><p>　　應用層DNS, FTP，HTTP, RIP, DHCP</p

19、><p>　　傳輸層TCP, UDP</p><p>　　網(wǎng)絡層IP,ICMP,IGMP</p><p>　　數(shù)據(jù)鏈路層 ARP,RARP　</p><p>　　物理層 以太網(wǎng)，RS-232</p><p>　　.路由協(xié)議(RIP)：路由協(xié)議主要運行于路由器上，路由協(xié)議是用來確定到達路徑的，它包括RIP,IGRP,EIGR

20、P,OSPF。起到一個地圖導航，負責找路的作用。它工作在網(wǎng)絡層。路由選擇協(xié)議主要是運行在路由器上的協(xié)議，主要用來進行路徑選擇。</p><p>　　FTP ：FTP（File Transfer Protocol, FTP）是TCP/IP網(wǎng)絡上兩臺計算機傳送文件的協(xié)議，F(xiàn)TP是在TCP/IP網(wǎng)絡和INTERNET上最早使用的協(xié)議之一，它屬于網(wǎng)絡協(xié)議組的應用層。FTP客戶機可以給服務器發(fā)出命令來下載文件，上載文件，創(chuàng)

21、建或改變服務器上的目錄。</p><p>　　HTTP：HTTP協(xié)議（HyperText Transfer Protocol，超文本傳輸協(xié)議）是用于從WWW服務器傳輸超文本到本地瀏覽器的傳輸協(xié)議。HTTP是客戶端瀏覽器或其他程序與Web服務器之間的應用層通信協(xié)議。</p><p>　　IP: IP是英文Internet Protocol（網(wǎng)絡之間互連的協(xié)議）的縮寫，中文簡稱為“網(wǎng)協(xié)”，也就

22、是為計算機網(wǎng)絡相互連接進行通信而設計的協(xié)議。</p><p>　　ARP：在以太網(wǎng)協(xié)議中規(guī)定，同一局域網(wǎng)中的一臺主機要和另一臺主機進行直接通信，必須要知道目標主機的MAC地址。而在TCP/IP協(xié)議棧中，網(wǎng)絡層和傳輸層只關心目標主機的IP地址。這就導致在以太網(wǎng)中使用IP協(xié)議時，數(shù)據(jù)鏈路層的以太網(wǎng)協(xié)議接到上層IP協(xié)議提供的數(shù)據(jù)中，只包含目的主機的IP地址。于是需要一種方法，根據(jù)目的主機的IP地址，獲得其MAC地址。這

23、就是ARP協(xié)議要做的事情。</p><p>　　RARP：反向地址解析協(xié)議用于一種特殊情況，如果站點被初始化后，只有自己的物理網(wǎng)絡地址而沒有IP地址，則它可以通過RARP協(xié)議，并發(fā)出廣播請求，征求自己的IP地址，而RARP服務器則負責回答。</p><p>　　NAT轉(zhuǎn)發(fā)協(xié)議：網(wǎng)絡地址轉(zhuǎn)換(NAT,Network Address Translation)屬接入廣域網(wǎng)(WAN)技術，是一種將

24、私有（保留）地址轉(zhuǎn)化為合法IP地址的轉(zhuǎn)換技術，它被廣泛應用于各種類型Internet接入方式和各種類型的網(wǎng)絡中。原因很簡單，NAT不僅完美地解決了lP地址不足的問題，而且還能夠有效地避免來自網(wǎng)絡外部的攻擊，隱藏并保護網(wǎng)絡內(nèi)部的計算機。</p><p>　　DNS：DNS 是計算機域名系統(tǒng) (Domain Name System) 的縮寫，它是由解析器和域名服務器組成的。域名服務器是指保存有該網(wǎng)絡中所有主機的域名和

25、對應IP地址，并具有將域名轉(zhuǎn)換為IP地址功能的服務器</p><p>　　STP: STP（Spanning Tree Protocol）是生成樹協(xié)議的英文縮寫。該協(xié)議可應用于環(huán)路網(wǎng)絡，通過一定的算法實現(xiàn)路徑冗余，同時將環(huán)路網(wǎng)絡修剪成無環(huán)路的樹型網(wǎng)絡，從而避免報文在環(huán)路網(wǎng)絡中的增生和無限循環(huán)。</p><p>　　DHCP: 動態(tài)主機設置協(xié)議（Dynamic Host Configurat

26、ion Protocol, DHCP）是一個局域網(wǎng)的網(wǎng)絡協(xié)議，使用UDP協(xié)議工作，主要有兩個用途：給內(nèi)部網(wǎng)絡或網(wǎng)絡服務供應商自動分配IP地址給用戶給內(nèi)部網(wǎng)絡管理員作為對所有計算機作中央管理的手段。</p><p>　　ICMP:ICMP是（Internet Control Message Protocol）Internet控制報文協(xié)議。它是TCP/IP協(xié)議族的一個子協(xié)議，用于在IP主機、路由器之間傳遞控制消息?？?/p>

27、制消息是指網(wǎng)絡通不通、主機是否可達、路由是否可用等網(wǎng)絡本身的消息。這些控制消息雖然并不傳輸用戶數(shù)據(jù)，但是對于用戶數(shù)據(jù)的傳遞起著重要的作用。</p><p>　　IGMP: Internet 組管理協(xié)議（IGMP）是因特網(wǎng)協(xié)議家族中的一個組播協(xié)議，用于 IP 主機向任一個直接相鄰的路由器報告他們的組成員情況。IGMP 信息封裝在 IP 報文中，其 IP 的協(xié)議號為 2。</p><p>　　

28、TCP:傳輸控制協(xié)議TCP是一種面向連接的、可靠的、基于字節(jié)流的運輸層通信協(xié)議。</p><p>　　UDP:用戶數(shù)據(jù)包協(xié)議，是 OSI 參考模型中一種無連接的傳輸層協(xié)議，提供面向事務的簡單不可靠信息傳送服務。</p><p><b>　　六、程序代碼</b></p><p>　　1、在S3550與S2126兩臺設備創(chuàng)建相應的VLAN。<

29、/p><p>　　首先在S3550上創(chuàng)建VLAN 10，并將F0/1接口加入到VLAN 10中配置過程：S3550#configure S3550 (config)#vlan 10S3550 (config-vlan)#exitS3550 (config)#interface fastEthernet 0/1S3550 (config-if)#sw

30、itchport access vlan 10然后在S2126上創(chuàng)建VLAN 2、VLAN 3，并將F0/1、F0/2接口加入到VLAN 2、VLAN 3中</p><p>　　配置過程：S2126#configure S2126 (config)#vlanS2126 (config)#vlan 2</p>

31、;<p>　　S2126 (config)#vlan 3S2126 (config-vlan)#exitS2126 (config)#interface range fastEthernet 0/1-2  S2126 (config-if-range)#switchport access vlan 200</p>

32、<p>　　2、S3550與S2126兩臺設備利用F0/1與F0/2建立TRUNK鏈路</p><p>　　首先在S3550的F0/1、F0/2接口設置為Trunk端口</p><p>　　配置過程：S3550#configure S3550 (config)#interface range fastEthernet 0/1-2S35

33、50 (config-if-range)#switchport mode trunk然后在S2126的F0/1、F0/2接口設置為Trunk端口</p><p>　　配置過程：S2126#configure S2126(config)#interface range fastEthernet 0/1-2S2126 (config-if-rang

34、e)#switchport mode trunk最后將S3550的F0/1接口和S2126 的F0/2接口設置為Trunk端口配置過程：S3550#configure S3550 (config)#interface fastEthernet 0/1S3550(config-if)#switchport mode trunkS2126#con

35、figure S2126B(config)#interface fastEthernet 0/10S2126 (config-if)#switchport mode trunk</p><p>　　3、S3550與S2126兩臺設備之間提供冗余鏈路</p><p>　　首先S3550啟用STP</p><p>　

36、　配置過程：S3550 (config)#spanning-tree mode stpS3550 (config)#spanning-tree然后在S2126啟用STP</p><p>　　配置過程：S2126 (config)#spanning-tree mode stpS2126 (config)#spanning-tree</p>

37、<p>　　4、在RA和RB上配置接口IP地址</p><p>　　首先在RA的VLAN接口配置IP地址</p><p><b>　　配置過程：</b></p><p>　　RA(config)#interface f1/0        

38、60;RA(config-if)#ip address 192.168.100.1.1.255.255.255.0</p><p>　　RA(config)#interface f1/1         RA(config-if)#ip address211.168.100.1.

39、255.255.255.0然后在RB的接口配置IP地址配置過程：RB#configureRB(config)#VLAN1RB(config-vlan)#exit</p><p>　　RB(config)# VLAN2RB(config-vlan)#exit</p><p>　　RB(config)# VLAN3RB(config-vlan)#exit</p>&

40、lt;p>　　RB(config)#interface VLAN1RB(config-if)#ip address 192.168.1.1. 255.255.255.0</p><p>　　RB(config)#interface VLAN2RB(config-if)#ip address172.16. 2.1. 255.255.255.0</p>

41、<p>　　RB(config)#interface VLAN3RB(config-if)#ip address172.16. 3.1. 255.255.255.0</p><p>　　5、配置三層交換機的路由功能。</p><p>　　將S3550的VLAN10配置為三層端口</p><p>　　配置過程：S3550 (config)#in

42、terfaceVLAN10S3550 (config-if)#no switchportS3550 (config-if)#ip address172.16. 10.1. 255.255.255.0</p><p>　　6、RA和RB配置廣域網(wǎng)鏈路</p><p><b>　　RA配置廣域網(wǎng)鏈路</b></p><p>

43、　　Router>Router>enableRouter#configure terminal Router(config)#hostname RARA(config)#line vty 0 4</p><p>　　RA(config-line)#loginRA(config-line)#password 100RA(config-line)#exitRA(config)#enable

44、password 100 </p><p>　　RA(config)#interface fastEthernet 0/0 </p><p>　　RA(config-if)#ip address 192.168.1.1 255.255.255.0 </p><p>　　RA(config-if)#no shutdownRA(config-if)#exitRA(c

45、onfig)#ip route 192.168.2.0 255.255.255.0 192.168.12.2 </p><p>　　RA(config)#</p><p><b>　　RB配置廣域網(wǎng)鏈路</b></p><p>　　Router>Router>enableRouter#configure terminal Ro

46、uter(config)#hostname RBRB(config)#line vty 0 4 </p><p>　　RB(config-line)#loginRB(config-line)#password 100RB(config-line)#exitRB(config)#enable password 100 </p><p>　　RB(config)#interface f

47、astEthernet 0/0 </p><p>　　RB(config-if)#ip address 192.168.2.1 255.255.255.0 </p><p>　　RB(config-if)#no shutdownRB(config-if)#exitRB(config-if)#no shutdownRB(config-if)#exit RB(config)#ip ro

48、ute 192.168.1.0 255.255.255.0 192.168.12.1</p><p>　　RB(config)#exitRB#</p><p><b>　　7、配置靜態(tài)路由</b></p><p>　　配置S3550靜態(tài)路由</p><p>　　S3550 (config-if)#ip add

49、ress172.16. 10.1. 255.255.255.0 </p><p>　　S3550 (config-if)#no shut </p><p>　　S3550 (config-if)#int f0/1 </p><p>　　S3550 (config-if)#ip address172.16. 10.1. 255.255.255.0 </

50、p><p>　　S3550 (config-if)#no shut </p><p>　　S330(config-if)exit </p><p>　　S3550 (config)#</p><p><b>　　配置RA靜態(tài)路由</b></p><p>　　BA (config-if)#ip 

51、;address192.168.100.1.1. 255.255.255.0</p><p>　　RA (config-if)#no shut </p><p>　　RA (config-if)#int f0/1 </p><p>　　RA (config-if)#ip address211.168.100.1. 255.255.255.0RA (con

52、fig-if)#no shut </p><p>　　RA(config-if)exit </p><p>　　RA (config)#</p><p><b>　　配置RB靜態(tài)路由</b></p><p>　　RB (config-if)#ip address172.16. 3.1. 255.255.255.

53、0</p><p>　　RB (config-if)#no shut </p><p>　　RB(config-if)#int f0/1 </p><p>　　RB(config-if)#ip address172.16. 10.1. 255.255.255.0 </p><p>　　RB(config-if)#no shut &l

54、t;/p><p>　　RBconfig-if)exit </p><p>　　RB(config)#</p><p>　　8、為了保證服務器安全，在RA上做安全控制</p><p>　　Router(config-if)#</p><p>　　Router(config-if)#exit</p><p&

55、gt;　　Router(config)#interface FastEthernet0/1</p><p>　　Router(config-if)#no shutdown</p><p>　　%LINK-5-CHANGED: Interface FastEthernet0/1, changed state to up</p><p>　　Router(config-

56、if)#hostname RA</p><p>　　R-X(config)#</p><p>　　R-X(config)#exit</p><p>　　Router(config)#interface FastEthernet1/1</p><p>　　Router(config-if)#no shutdown</p><

57、p>　　%LINK-5-CHANGED: Interface FastEthernet1/1, changed state to up</p><p>　　Router(config-if)#hostname RA</p><p>　　R-X(config)#</p><p><b>　　七、參考文獻</b></p><

58、;p>　　1. 《Computer Networking – A Top-down Approach》,Fourth Edition, Kurose & Ross</p><p>　　2. 《TCP/IP詳解 卷 1 協(xié)議》W.Richard Stevens </p><p>　　3. RFC文檔:http://www.ietf.org/rfc.html</p>

59、<p><b>　　4. 百度搜索</b></p><p>　　課程設計（大作業(yè)）報告</p><p>　　第二部分：用協(xié)議分析工具分析SSH以及以下各層協(xié)議的工作機制</p><p><b>　　一、題目分析</b></p><p>　　SSH是英文Secure Shell的簡寫形式

60、。與Linux的B-Shell、C-Shell等命令解釋器完全不同，SSH是一個能夠保證本地主機同網(wǎng)絡上遠端節(jié)點進行文件傳輸、遠程登錄、遠程命令執(zhí)行等應用能夠安全執(zhí)行的安全協(xié)議。要說與shell有關的地方，SSH為在遠程主機上運行shell提供了安全信道。 通過使用SSH，你可以把所有傳輸?shù)臄?shù)據(jù)進行加密，這樣"中間人"這種攻擊方式就不可能實現(xiàn)了，而且也能夠防止DNS欺騙和IP欺騙。使用SSH，還有一個額外的好處就是傳

61、輸?shù)臄?shù)據(jù)是經(jīng)過壓縮的，所以可以加快傳輸?shù)乃俣?。SSH有很多功能，它既可以代替Telnet，又可以為FTP、Pop、甚至為PPP提供一個安全的"通道"。</p><p><b>　　二、實驗環(huán)境</b></p><p>　　1、網(wǎng)絡環(huán)境 根據(jù)具體協(xié)議構建合適的網(wǎng)絡環(huán)境。</p><p>　　2、操作系統(tǒng) 

62、WindowsXP，如果需要，安裝相應的服務（如FTP，SSH，TELNET，HTTP等）。3、協(xié)議分析工具 Windows環(huán)境下常用的工具Ethereal、協(xié)議分析工具。</p><p><b>　　實驗原理</b></p><p>　　很多設備，如路由器、防火墻等等，都提供了一種遠程訪問與管理的接口。如Windows服務器可以利用Telnet協(xié)議進

63、行遠程管理等等。但是，Telnet不怎么安全。因為其在傳輸過程中，帳戶與密碼都是明文傳輸?shù)?。在網(wǎng)絡傳輸過程中，這是非常危險的。因為黑客通過一些網(wǎng)絡嗅探工具，能夠輕易的竊取網(wǎng)絡中明文傳輸?shù)膸襞c密碼。故，筆者是不建議通過Telnet協(xié)議對網(wǎng)絡設備與服務器進行遠程管理。針對Telnet協(xié)議不安全這種情況，有人開發(fā)出了一個SSH協(xié)議。其原理跟Telnet類似，只是其具有更高的安全性。SSH被設計成為工作于自己的基礎之上而不利用超級服務器(in

64、etd)，雖然可以通過inetd上的tcpd來運行SSH進程，但是這完全沒有必要。啟動SSH服務器后，sshd運行起來并在默認的22端口進行監(jiān)聽（你可以用#ps-waux|grepsshd來查看sshd是否已經(jīng)被正確的運行了）如果不是通過inetd啟動的SSH，那么SSH就將一直等待連接請求。當請求到來的時候SSH守護進程會產(chǎn)生一個子進程，該子進程進行這次的連接處理。SSH是一個運行在傳輸控制層上的應用程序。他跟Telnet相比，提供了

65、強大的</p><p><b>　　實驗器材</b></p><p><b>　　pc機一臺</b></p><p>　　分析工具Ethereal </p><p><b>　　五、實驗過程</b></p><p>　　1、SSH協(xié)議的內(nèi)容　　SSH

66、協(xié)議是建立在應用層和傳輸層基礎上的安全協(xié)議，它主要由以下三部分組成，共同實現(xiàn)SSH的安全保密機制?！　鬏攲訁f(xié)議，它提供諸如認證、信任和完整性檢驗等安全措施，此外它還可以任意地提供數(shù)據(jù)壓縮功能。通常情況下，這些傳輸層協(xié)議都建立在面向連接的TCP數(shù)據(jù)流之上?！　∮脩粽J證協(xié)議層，用來實現(xiàn)服務器的跟客戶端用戶之間的身份認證，它運行在傳輸層協(xié)議之上。　　連接協(xié)議層，分配多個加密通道至一些邏輯通道上，它運行在用戶認證層協(xié)議之上。　　當安全

67、的傳輸層連接建立之后，客戶端將發(fā)送一個服務請求。當用戶認證層連接建立之后將發(fā)送第二個服務請求。這就允許新定義的協(xié)議可以和以前的協(xié)議共存。連接協(xié)議提供可用作多種目的通道，為設置安全交互Shell會話和傳輸任意的TCP/IP端口和X11連接提供標準方法。</p><p>　　運行協(xié)議分析工具Ethereal，進行抓包。結果抓到的包如下圖所示：</p><p>　　2、 SSH協(xié)議的內(nèi)容<

68、/p><p>　　SSH協(xié)議軟件由客戶端程序和服務器程序組成。協(xié)議建立在網(wǎng)絡的應用層和傳輸層上，</p><p>　　它不是單個協(xié)議，而是由以下三層協(xié)議組成。</p><p><b>　　1、傳輸層協(xié)議</b></p><p>　　首先進行版本協(xié)商，由客戶端向服務器發(fā)出TCP連接請求。TCP連接建立后，客戶端進入等待，服務器

69、向客戶端發(fā)送第一個報文，宣告自已的版本號，包括協(xié)議版本號和軟件版本號。客戶端接到報文后，回送一個報文，內(nèi)容也是版本號。服務器接到客戶端送來的協(xié)議版本號后，把它與自已的進行比較，決定能否與客戶端一起工作．如果不能。則斷開TCP連接I如果能，則按照二進制數(shù)據(jù)包協(xié)議發(fā)送第一個二進制數(shù)據(jù)包，雙方以較低的協(xié)議版本來一起工作。</p><p>　　接著服務器和客戶端交換會話密鑰。由服務器向客戶端發(fā)送第一個包，內(nèi)容為自己的RS

70、A主機密鑰的公鑰部分、RSA服務密鑰(server key)的公鑰部分、支持的加密方法、支持的認證方法、次協(xié)議版本標志、以及一個64位的隨機數(shù)(cookie)。這個包沒有加密，是明文發(fā)送的。</p><p>　　客戶端接收包后，依據(jù)這兩把密鑰和64位隨機數(shù)計算出會話號和會話密鑰。隨后客戶端回送一個包給服務器，內(nèi)容為選用的加密方法、cookie的拷貝、客戶端次協(xié)議版本標志、以及32個字節(jié)的會話密鑰，會話密鑰用服務器

71、的主機密鑰的公鑰部分和服務密鑰的公鑰部分進行加密。除了會話密鑰，這個包的其他內(nèi)容都沒有加密。</p><p>　　之后，雙方的通訊就是加密的了，服務器向客戶端發(fā)第二個包(該包用計算出的會話密鑰進行加密)證實客戶端的包已收到。</p><p><b>　　2、用戶認證協(xié)議</b></p><p>　　客戶端向服務器發(fā)送認證請求，認證請求中包含用戶

72、名，認證方法和該認證方法的內(nèi)容。</p><p>　　如果用戶存在，并且不需要認證，服務器回送一SSH--SMSG--SUCCESS包，表示認證完成。否則，服務器會送一個sSH—sMSG—FAILURE包，表示或是用戶不存在，或是需要進行認證。如果用戶不存在，服務器仍然保持讀取從客戶端發(fā)來的任何數(shù)據(jù)包。但是除了對類型為ssH—MSG—DIscONNECT、SSH--MSG--IGNORE以及SSH--MSG--D

73、EBUG的數(shù)據(jù)包外，對任何類型的數(shù)據(jù)包都返回SSH—SMSG—FAILURE包。</p><p><b>　　3、連接協(xié)議</b></p><p>　　認證完成后，客戶端向服務器提交會話請求。服務器則進行等待，處理客戶端的請求。在這個階段，無論什么請求只要成功處理了，服務器都向客戶端回應SSH--SMSG--SUCCESS包；否則回應SSH—SMSG—FAILURE包

74、，這表示或者是服務器處理請求失敗，或者是不能識別請求。會話申請成功后，連接進入交互會話模式。在這個模式下，數(shù)據(jù)在服務器和客戶端之間雙向傳送。</p><p>　?。?）、客戶端將要執(zhí)行的命令加密后傳給服務器;</p><p>　　（2）服務器接收到報文，解密后執(zhí)行該命令,將執(zhí)行的結果加密發(fā)還給客戶端;</p><p>　　SSH具備典型的c／s架構，是一種很實用的網(wǎng)

75、絡安全解決方案，基于SSH來實現(xiàn)不同操作系統(tǒng)之間的安全文件傳輸已經(jīng)被廣泛的采用，但是SSH加密的CBC模式在對抗選擇明文攻擊的能力較弱，同時也難以抵擋拒絕服務攻擊。盡管存在一些不足，但是SSH為系統(tǒng)管理員提供了安全的通道，安全可靠的將數(shù)據(jù)傳輸?shù)竭h程機器上。</p><p><b>　　4、交互會話階段</b></p><p>　　在這個模式下，數(shù)據(jù)被雙向傳送： <

76、;/p><p>　?。?）客戶端將要執(zhí)行的命令加密后傳給服務器;</p><p>　　（2）服務器接收到報文，解密后執(zhí)行該命令,將執(zhí)行的結果加密發(fā)還給客戶端;</p><p>　　（3）客戶端將接收到的結果解密后顯示到終端上。</p><p><b>　　六、心得體會</b></p><p>　　這次

77、課程設計，我了解SSH協(xié)議的基本原理,，SSH協(xié)議的工作過程,SSH協(xié)議的基本命令格式以及SSH協(xié)議的工作機制，并能熟悉運用各種命令，并理解各種命令的功能和執(zhí)行方式以及結果。指導并了解SSH命令的各種功能和作用等等。搭建企業(yè)網(wǎng)絡拓撲圖，接入層設備采用哪種交換機，在匯聚層上采用哪種交換機，在接入層上劃分vlan網(wǎng)，搭建網(wǎng)絡拓撲圖，配置交換機，路由器，pc機。實驗過程中我有很多問題都不是太清楚，比如在構建拓撲結構圖時，一開始是不知道怎么連線

78、等等，不知道怎么使用配置環(huán)境等等，后來在不斷學習中，終于解決了問題，完成試驗。通過這次試驗我深刻認識到動手能力的重要性，自己的知識還不夠充足，老師講的內(nèi)容還沒有學到家，自己還有很多不足之處，以后學習中還要加強。</p><p><b>　　七、參考文獻</b></p><p>　　1、《TCP/IP協(xié)議》</p><p>　　2、《計算機網(wǎng)絡設