1、网络设备安装与调试4.网络的安全配置网络设备安装与调试学习任务学习任务1交换机的端口安全配置交换机的端口安全配置学习任务学习任务2IP访问控制列表配置访问控制列表配置学习任务学习任务3路由器路由器Ipsec VPN隧道实现隧道实现交换机的端口安全标准访问控制列表的配置实现AM功能扩展访问控制列表的配置命名访问控制列表的配置基于时间的访问控制列表使用ACL过滤特制订病毒报文4.1.1网络设备安装与调试 交换机的端口安全4.1端口安全配置网络设备安装与调试学习情境学习情境某公司管理员接到单位员工电脑中病毒的电话,过去查找定位问题主机很困难,这给管理带来很大的麻烦,于是管理员决定采用MAC地址与端口
2、进行绑定来进行管理。情境分析情境分析为了安全和方便管理,采用将MAC地址与端口进行绑定,在MAC地址与端口进行绑定后,该MAC地址的数据流只能从绑定端口进入,不能从其他端口进入,该端口可以允许其他MAC地址的数据流通过。这样一旦网络当中有哪台计算机出了问题,都能很快定位出来,及时采取有效措施。网络设备安装与调试本任务是通过MAC地址与端口绑定技术来实现计算机的安全接入,该任务在交换机上完成,任务实施过程当中应按如下几点要求操作。(1)交换机设置管理IP地址为192.168.10.100/24,PC1的IP地址设置为192.168.10.110/24,PC2的IP地址设置为192.168.10.
3、220/24。(2)在交换机上对PC1的MAC地址作端口绑定。(3)将PC1分别连接到绑定的端口和未绑定的端口ping交换机IP,检验理论是否和实验一致。(4)将PC2分别连接到绑定了PC1的MAC地址的端口和未绑定的端口ping交换机IP,检验理论是否和实验一致。所需设备:(1)DCS-3950交换机1台。(2)PC机1台。(3)console线一根。(4)直通双绞线一根。Console 口Console 线PC1网线网络设备安装与调试请任课教师根据拓扑结构图进行讲解和演示请任课教师根据拓扑结构图进行讲解和演示网络设备安装与调试知识拓展知识拓展-动态实现动态实现MAC地址与端口绑定地址与端口
4、绑定所需设备:所需设备:(1)DCS-5650 交换机1台。(2)PC机2台。(3)console线一根。(4)直通线2根。consol e 口consol e 线PC1网线网络设备安装与调试请任课教师根据拓扑结构图进行讲解和演示请任课教师根据拓扑结构图进行讲解和演示4.1.2网络设备安装与调试 实现AM功能4.1端口安全配置网络设备安装与调试学习情境学习情境公司员工的计算机使用的都是固定IP地址,但有时员工会修改自己的IP地址,造成IP地址冲突,这样给内部网络造成了很大的麻烦,管理起来也很不方便,于是管理员想把计算机的MAC地址与IP绑定。情境分析情境分析将计算机的MAC地址与IP绑定,使用
5、户不能随便修改IP地址,可以使用交换机的AM功能做到,管理员可以实现内部网络管理上的完善。AM全称为Access Management即访问管理,它利用收到数据报文的信息,与配置硬件地址池相比较,如果找到则转发,否则丢弃。通过对接入交换机的适当设置,可以将很多网络威胁隔离在交换机的每端口内,而不至于对整网产生危害。网络设备安装与调试所需设备:(1)DCRS-5650交换机1台。(2)PC机1台。(3)console线一根。(4)直通双绞线一根。网络设备安装与调试请任课教师根据拓扑结构图进行讲解和演示请任课教师根据拓扑结构图进行讲解和演示4.2.1网络设备安装与调试 标准访问控制列表的配置4.2
6、IP访问控制列表网络设备安装与调试学习情境学习情境某公司组建了公司内部网络,其中有财务部、技术部、市场部等部门。为了保证公司财务安全,公司经理让管理员实现禁止技术部门员工访问财务部门的主机。情境分析情境分析应用了ACL之后,交换机会在相应端口上检查某一方向的数据包,如果数据包与ACL的某一条规则匹配成功,则应用该规则的动作:允许该数据包通过或者丢弃该数据包。标准访问控制列表匹配规则元素只包括IP数据包的源IP地址,这意味着标准ACL只检查IP数据包的源IP地址。网络设备安装与调试所需设备:(1)DCS-3950交换机1台。(2)DCRS-5650交换机1台。(3)PC机1台。(4)consol
7、e线1根。(5)直通双绞线3根。网络设备安装与调试请任课教师根据拓扑结构图进行讲解和演示请任课教师根据拓扑结构图进行讲解和演示网络设备安装与调试知识拓展知识拓展 在路由器上使用标准ACL实现网段的隔离。在路由器RouterA或者RouterB上创建ACL,阻断PC2访问PC1。所需设备:所需设备:(1)DCR2626路由器2台。(2)PC机 2台。(3)CR-V35MT 1条。(4)CR-V35FC 1条。(5)交叉线2条。PC1 PC2 F0/0 S0/1 S0/1 R outerA R outerB F0/0 网络设备安装与调试IP地址子网掩码RouterA的F0/0接口192.168.1
8、.1255.255.255.0RouterB的F0/0接口192.168.3.1255.255.255.0RouterA的S0/1接口192.168.2.1255.255.255.0RouterB的S0/1接口192.168.2.2255.255.255.0PC1192.168.1.2255.255.255.0PC2192.168.3.2255.255.255.0 IP地址配置表网络设备安装与调试请任课教师根据拓扑结构图进行讲解和演示请任课教师根据拓扑结构图进行讲解和演示4.2.2网络设备安装与调试 扩展访问控制列表的配置4.2IP访问控制列表网络设备安装与调试学习情境学习情境 公司为了提升工
9、作效率,购买了专门的服务器,用于搭建公司的办公自动化系统。基于安全上的考虑,公司希望禁止销售部门的员工对服务器的FTP服务,只能访问公司服务器的其它服务。情境分析情境分析 在交换机上配置扩展ACL,禁止VLAN10所属网段192.168.10.0/24访问VLAN100所属网段192.168.100.0/24的TCP端口20和21。在三层交换机上开启防火墙ACL检查功能,设置默认动作为Permit,并在TRUNK端口入站方向应用ACL。PC1访问Server1 FTP服务器的数据包将被ACL丢弃,其它数据包则被放行。网络设备安装与调试所需设备:(1)DCS-3950交换机1台。(2)DCRS-
10、5650交换机1台。(3)PC机1台。(4)console线1根。(5)直通双绞线3根。网络设备安装与调试网络设备安装与调试请任课教师根据拓扑结构图进行讲解和演示请任课教师根据拓扑结构图进行讲解和演示4.2.3网络设备安装与调试 命名访问控制列表的配置4.2IP访问控制列表网络设备安装与调试学习情境学习情境某公司的网络工程师们发现近期网络上流行震荡波病毒,为了防范这些病毒,工程师们要在公司连接外网的路由器上配置命名ACL,防范震荡波病毒侵入公司内部,危及网络安全。情境分析情境分析在路由器外网入站方向配置扩展命名访问控制列表,过滤外网访问内网的数据包,将病毒拒之门外,以维护内网的安全稳定。网络设
11、备安装与调试所需设备:(1)DCR-2626路由器1台。(2)DCRS-5650交换机1台。(3)PC机1台。(4)交换机和路由器console线各1根。(5)直通双绞线3根。网络设备安装与调试网络设备安装与调试请任课教师根据拓扑结构图进行讲解和演示请任课教师根据拓扑结构图进行讲解和演示4.2.4网络设备安装与调试 时间访问控制列表的配置4.2IP访问控制列表网络设备安装与调试学习情境学习情境你是公司的网络管理员,为了保证公司上班时间工作效率,公司要求192.168.1.0网段上班时间不能访问IP地址为192.168.3.2的Web服务器上的网站,下班以后访问网络不受限制。情境分析情境分析公司
12、为了保证上班时间的工作效率,在上班时间限制员工访问某web服务器网站,下班以后访问网络不受限制。这要求使用基于时间的访问控制列表来实现。网络设备安装与调试所需设备:所需设备:(1)DCR2600 2台。(2)PC 2台。(3)CR-V35MT 1条。(4)CR-V35FC 1条。(5)Console配置线1条。(5)交叉线2条。PC1 PC2 F0/0 S0/1 S0/1 R outerA R outerB F0/0 网络设备安装与调试IP地址子网掩码RouterA的F0/0接口192.168.1.1255.255.255.0RouterB的F0/0接口192.168.3.1255.255.2
13、55.0RouterA的S0/1接口192.168.2.1255.255.255.0RouterB的S0/1接口192.168.2.2255.255.255.0PC1192.168.1.2255.255.255.0PC2192.168.3.2255.255.255.0 IP地址配置表网络设备安装与调试请任课教师根据拓扑结构图进行讲解和演示请任课教师根据拓扑结构图进行讲解和演示网络设备安装与调试 4.2.5使用ACL过滤特定 病毒报文4.2IP访问控制列表网络设备安装与调试学习情境学习情境某公司的网络管理员早晨上班来的时候发现公司的网络不正常,经过分析之后发现是公司的电脑中了病毒,使用杀毒软件查
14、杀证实是冲击波和震荡波的病毒,于是管理员想在三层交换机通过配置来进行隔离。情境分析情境分析冲击波、震荡波曾经给网络带来很沉重的打击,到目前为止,整个internet中还有这种病毒以及病毒的变种,他们无孔不入,伺机发作。因此我们在配置网络设备的时候,采用ACL进行过滤,把这些病毒拒之门,保证网络的稳定运行。网络设备安装与调试所需设备:所需设备:(1)DCRS-5650交换机1台(2)PC机1台(3)Console线1根(4)直通网线若干网络设备安装与调试请任课教师根据拓扑结构图进行讲解和演示请任课教师根据拓扑结构图进行讲解和演示网络设备安装与调试 4.3路由器IPsec VPN隧道实现网络设备安
15、装与调试学习情境学习情境由于公司规模的扩大,总公司和分公司之间之间出于安全性的考虑,想在两个公司的出口之间,使用一种更安全的VPN连接方式,管理员认为路由器的IPsec VPN可以实现此功能。情境分析情境分析IPSec VPN是现在互联网上最重要的网关到网关VPN技术,他已经成为企业分支机构间互联的首选。总部和分支之前要实现互访时,就涉及到此类VPN,或者需要将数据包进行加密时就涉及到IPSEC VPN。网络设备安装与调试所需设备:所需设备:(1)DCR-2655路由器 2台。(2)PC机 2台。(3)CR-V35MT 1条。(4)CR-V35FC 1条。(5)console线1条。(6)交叉线2条。PC1 PC2 F0/0 S0/1 S0/1 R outerA R outerB F0/0 网络设备安装与调试网络设备安装与调试请任课教师根据拓扑结构图进行讲解和演示请任课教师根据拓扑结构图进行讲解和演示
