《交换机与路由器配置实验教程 张世勇第3版 教案 第7、8章 安全配置实验、 交换机与路由器综合实验.docx》由会员分享,可在线阅读,更多相关《交换机与路由器配置实验教程 张世勇第3版 教案 第7、8章 安全配置实验、 交换机与路由器综合实验.docx(21页珍藏版)》请在第壹文秘上搜索。
1、第七章安全配置实验随着网络技术的发展,现在面临的安全问题越来越严峻。网络必须保证其开放性和连接性才能成长并称之为网络,但现在必须高度重视网络的安全性,只有更安全的网络才能保证网络为人民服务,才能推动网络的发展,最终推动社会的发展和人类的进步,针对网络的安全问题,我们从网络设备的安全配置方面,介绍一些安全技术的实验。实验一交换机端口安全交换机(包括路由器)的端口安全,就是对交换机的端口(接口)进行配置,主要包括限制端口的状态,允许或拒绝符合条件的访问,从而实现网络安全0一、实验概述大多数交换机都有端口安全配置,也就是对端口进行相应的设置,实现对网络设备的安全控制。端口的安全配置主要有以下三项:1
2、、端口工作方式所谓端口工作方式,主要是在网络设备发展的时间渐进过程中形成的,一般分为单工、半双工、全双工,自动等工作模式。早期的端口,工作能力不行,只能发送,不能接收,称为单工。发送数据的时候不能同时接收,接收时不能发送称为半双工。现在的交换机一般都可以工作在全双工工作模式下,在两台设备之间同时可以接收和发送数据,使得工作能力增强。交换机端口工作方式的设置命令为:DUPleXauto/full/half其中auto,表示端口的工作模式为自动协商模式,即交换机端口根据所连设备的速率来自动确定其工作速率。full,表示强制进入全双工模式。half,表示强制进入半双工模式。端口工作方式这个命令,在d
3、ynamips仿真软件上使用3640的iso做仿真是可以使用的。但以下两个功能(端口最大连接数和MAC(或IP)地址绑定)不能在仿真软件上实现,因为3640是CiSCo的一款路由器产品,在进行仿真时,一般是增加路由器网络模块:NM-4E4端口IobT以太网网络模块,实现路由器功能。增加交换机模块NM-16ESW16端口10/100快速以太网交换机网络模块,实现交换机功能。但这个交换机模块不支持以下两种端口命令。不过这两种功能比较简单,我们在此还是讲一下:2、端口最大连接数限制交换机端口的最大连接数,就是控制交换机某端口所能连接的计算机数量。因为端口可以级联下一级交换机(或集线器),下一级交换机
4、又可以连接多台电脑。所以端口的最大连接数也可以很多。不同品牌或型号的交换机,默认允许的端口最大连接数不同,一般为100以上。假如人为设定交换机端口最大连接数为1,那么连接到该端口的设备只能是一个设备,如果一个设备建立了连接,其余设备将不能建立连接。命令:SiritPOrt-SeCUritymaximumValUCvalue是最大连接数量。3、MAC(或IP)地址绑定为了增强交换机的端口安全,可以针对交换机进行端口地址的绑定,将接入设备的MAC地址或IP地址绑定到某端口,也可以MAC地址+IP地址双重绑定。绑定以后,不符合要求的设备将不能建立连接。命令:SIdtPOrt-SeCUritymac-
5、addressmacadd或:SWitPOrt-SeCuritYip-addressipadd其中macadd和ipadd,指的是具体的MAC地址和IP地址。实验二标准IP访问控制列表访问控制列表AC1.(AccessControl1.ist),是一种安全技术,配置在路由器、三层交换机或防火墙上。简单说就是包过滤。通过设置可以允许(permit)或拒绝(deny)进入(in)或离开(OUt)路由器的数据包,对网络起到安全保护作用。AC1.包含了一组安全控制和检查的命令,根据设定,指定哪些数据可以通过,哪些数据被拒绝,网管人员通过设置对网络中的数据包过滤,实现访问控制。一般是根据IP地址进行AC
6、1.eAC1.分为标准IP访问控制列表和扩展访问控制列表,标准访问控制列表比较简单,只对数据包的源地址进行检查,其编号取值范围为199或1300-1999o命令格式,全局配置模式下:1ACCeSSTiStnumberpermitdenySOUrCO-addSOUrC。-WiIdCard其中三Ev就是访问控制列表的号,其编号取值范围为199或1300-1999Permit就是允许数据包通过,deny就是拒绝通过SOMCeFdd就是允许或拒绝的源地址,source-widcad就是通配符掩码。比如:acceTist10Permit10.0.0.00.0.0.255表示允许来自100.0.0/24网
7、段的访问另外还可以用主机的IP地址来进行精确控制,其通配符为0.0.0.0:如:acce-list10Permit10.0.0.20.0.0.0表示允许10.0.0.2这个IP地址访问或:acce-list10Permithost10.0.0.2,也可以表达同一个意思。允许所有报文通过则用参数any:acce-list10Permitany。我们再来看一个例子:Router(config)Vacce-Iist10deny10.0.0.20.0.0.0ROUtCr(Config)cceTist10Permitany这两个命令的组合就是表示除了来自10.0.0.2的访问,其他的都允许。注意:Ae1
8、.对每个数据包都以自上向下的顺序进行匹配,如果数据包满足第一个条件,就按规定执行,不满足就检测下一条,以此类推。一旦满足了匹配条件,相应操作就会执行,对数据包的检测也到此为止。因此过滤规则的顺序必须考虑,如上例中,一旦顺序颠倒,则允许所有报文通过,不能拒绝10.0.0.2了。2、定义访问控制列表作用于接口上的方向接口模式下,某一接口:IPaccess-goupnumberinout!在某一接口上应用标识为number的访问控制列表,inout,表示在入站端口调用还是在出站端口调用。所谓入站端口还是出站端口,是指以路由器为参考点,数据包是进入(in)还是离开(out)这个路由器本实验拓扑图如图7
9、-9:图7-9标准AC1.实验拓扑图图中假设PCl为教师用机,PC2为学生用机,PC3代表互联网,出于安全考虑,要求教师机可以访问互联网,学生机则无法访问,拓扑编址:两个SW:没有Vlan,没有IP地址,不用设置PClIP:192.168.0.2/24,网关为Rl上E0/1的IPPC2IP:192.168.1.2/24,网关为Rl上E0/2的IPPC3IP:100.0.0.2/24,网关为Rl上E0/0的IPRI:E0/1IP:192.168.0.1/24E0/2IP:192.168.1.1/24E0/0IP:100.0.0.1/24用用howOCe-IiSt10”命令查看标准访问控制列表的配
10、置情况如下:RI-Shaccess-list10StandardIPaccesslist1010deny192.168.1.0,wildcardbits0.0.0.255(30matches)20permit192.168.0.0,wildcardbits0.0.0.255(10matches)在路由器上运行“showrun”,则可以查看到端口情况,如图7T0:interfaceEthemet0/0ipaddress100.0.0.1255.255.255.0ipaccess-goup10outhalf-duplex*interfaceEthernet0lipaddress192.168.0.
11、1255.255.255.0haIf-duplex?interfaceEthernet02ipaddress192.168.1.1255.255.255.0half-duplextinterfaceEthernet03noipaddressshutdownhaIf-duplex*iphttpserueraccess-list10deny192.168.1.00.0.0.255access-list10permit192.168.0.00.0.0.255图7T0查看AC1.配置信息在实际工作中,标准访问控制列表还可以和NAT,PAT等功能配合使用,提供更好的网络服务。删除访问控制列表命令是:no
12、accessTistnumber,疝?,就是那个访问控制列表号。实验三扩展IP访问控制列表标准访问控制列表只能对源地址进行检查,功能比较单一,远远不能满足网络的需要。扩展访问控制列表功能齐全,大大扩展了访问控制列表的应用范围。扩展访问控制列表除了可以对数据包的源地址进行过滤操作,还可以对数据包的源IP,目的IP,端口,协议等来定义访问控制规则。扩展IP访问控制列表的功能比较强大,可以根据协议或服务进行配置,如果要想对网络访问实现精确控制,就必须使用扩展访问控制列表。标准访问控制列表的编号取值范围为199或1300-1999O扩展访问控制列表的编号取值范围是100199或20002699。命令格
13、式如下,全局配置模式下:ACCeSS-IiStnumberdenypermitPIPtoColISoUrCe-addSoUrCe-WildCardOperatorJJOrWIdes-addd。S-WiIdCardOPeratOrpOri其中:number是访问控制列表编号,deny表示拒绝,pe11nit表示允许。PrOtoCol表示协议,可以是IP、TCP、UDP、IGMP等协议。source-addsource-wiIdcardfdes-adddes-rJdCard表示源地址和目标地址以及它们的通配符掩码。卬eraSr表示操作符可以是Cq(等于)、neq(不等于)、或range(范围)po
14、r表示应用层端口号,比如WwW为80,ftp为20、21,telnet为23另外还可以用主机的IP地址来进行精确控制,其通配符为0.0.0.O010.0.0.20.0.0.0和host10.0.0.2意思一样都是表示IP地址为10.0.0.2的主机。也可以用any表示所有主机。例如:acceTist110Permittcpany10.0.0.10.0.0.0eqWWW表示允许任何主机的tcp报文到主机10.0.0.1的WwW服务如:acce-list110denytcp100.0.0.00.0.0.25510.0.0.00.0.0.255eq20acceTist110denytcp100.0.
15、0.00.0.0.25510.0.0.00.0.0.255eq21两条命令同时使用,表示拒绝100.0.0.0网段的主机访问10.0.0.0网段的任何ftp服务,由于ftp使用两个端口,20和21,最好同时关闭两个端口。扩展IP访问控制列表一般放在各类应用服务器的前端,对服务器上的各种应用起到安全保护作用。如图7T2图7-12扩展AC1.实验拓扑图图中表示一个学校网络状况,一台三层交换机连接各个主机,其中Vlan10内都是教师用机,Vlan30内都是学生用机,Vlan20内放置学校服务器,现在要求学生机只能访问WWw服务,而不能访问FTP服务。教师机无限制。拓扑编址:SW1:Vlan10IP:10.0.0.1/24Vlan20IP:20.0.0.1/24Vlan30IP:30.0.0.1/24PClIP:PC2IP:PC3IP:PC4IP:PC5IP:10.0.0.2/24,10.0.0.3/24,20.0.0.2/24,20.0.0.3/24,30.0.0.2/24,网关为VIan网关为VIan网关为Vlan网关为VIan10的IP10的IP20的IP20的IP网关为
