交换机与路由器配置实验教程 张世勇第3版 教案 第7、8章 安全配置实验、 交换机与路由器综合实验.docx

第七章安全配置实验随着网络技术的发展，现在面临的安全问题越来越严峻。网络必须保证其开放性和连接性才能成长并称之为网络，但现在必须高度重视网络的安全性，只有更安全的网络才能保证网络为人民服务，才能推动网络的发展，最终推动社会的发展和人类的进步，针对网络的安全问题，我们从网络设备的安全配置方面，介绍一些安全技术的实验。实验一交换机端口安全交换机（包括路由器）的端口安全，就是对交换机的端口（接口）进行配置，主要包括限制端口的状态，允许或拒绝符合条件的访问，从而实现网络安全0一、实验概述大多数交换机都有端口安全配置，也就是对端口进行相应的设置，实现对网络设备的安全控制。端口的安全配置主要有以下三项：1、端口工作方式所谓端口工作方式，主要是在网络设备发展的时间渐进过程中形成的，一般分为单工、半双工、全双工，自动等工作模式。早期的端口，工作能力不行，只能发送，不能接收，称为单工。发送数据的时候不能同时接收，接收时不能发送称为半双工。现在的交换机一般都可以工作在全双工工作模式下，在两台设备之间同时可以接收和发送数据，使得工作能力增强。交换机端口工作方式的设置命令为：DUPleXauto/full/half其中auto,表示端口的工作模式为自动协商模式，即交换机端口根据所连设备的速率来自动确定其工作速率。full,表示强制进入全双工模式。half,表示强制进入半双工模式。端口工作方式这个命令，在dynamips仿真软件上使用3640的iso做仿真是可以使用的。但以下两个功能（端口最大连接数和MAC（或IP）地址绑定）不能在仿真软件上实现,因为3640是CiSCo的一款路由器产品，在进行仿真时，一般是增加路由器网络模块：NM-4E4端口IobT以太网网络模块，实现路由器功能。增加交换机模块NM-16ESW16端口10/100快速以太网交换机网络模块，实现交换机功能。但这个交换机模块不支持以下两种端口命令。不过这两种功能比较简单，我们在此还是讲一下：2、端口最大连接数限制交换机端口的最大连接数，就是控制交换机某端口所能连接的计算机数量。因为端口可以级联下一级交换机（或集线器），下一级交换机又可以连接多台电脑。所以端口的最大连接数也可以很多。不同品牌或型号的交换机，默认允许的端口最大连接数不同，一般为100以上。假如人为设定交换机端口最大连接数为1,那么连接到该端口的设备只能是一个设备，如果一个设备建立了连接，其余设备将不能建立连接。命令：SiritPOrt-SeCUritymaximumValUCvalue是最大连接数量。3、MAC(或IP)地址绑定为了增强交换机的端口安全，可以针对交换机进行端口地址的绑定，将接入设备的MAC地址或IP地址绑定到某端口，也可以MAC地址+IP地址双重绑定。绑定以后，不符合要求的设备将不能建立连接。命令：SIdtPOrt-SeCUritymac-addressmacadd或：SWitPOrt-SeCuritYip-addressipadd其中macadd和ipadd,指的是具体的MAC地址和IP地址。实验二标准IP访问控制列表访问控制列表AC1.(AccessControl1.ist),是一种安全技术，配置在路由器、三层交换机或防火墙上。简单说就是包过滤。通过设置可以允许(permit)或拒绝(deny)进入(in)或离开(OUt)路由器的数据包，对网络起到安全保护作用。AC1.包含了一组安全控制和检查的命令，根据设定，指定哪些数据可以通过，哪些数据被拒绝，网管人员通过设置对网络中的数据包过滤，实现访问控制。一般是根据IP地址进行AC1.eAC1.分为标准IP访问控制列表和扩展访问控制列表，标准访问控制列表比较简单，只对数据包的源地址进行检查，其编号取值范围为199或1300-1999o命令格式，全局配置模式下：1ACCeSSTiStnumberpermitdenySOUrCO-addSOUrC。-WiIdCard其中三Ev就是访问控制列表的号，其编号取值范围为199或1300-1999Permit就是允许数据包通过，deny就是拒绝通过SOMCeFdd就是允许或拒绝的源地址，source-widcad就是通配符掩码。比如：acceTist10Permit10.0.0.00.0.0.255表示允许来自100.0.0/24网段的访问另外还可以用主机的IP地址来进行精确控制，其通配符为0.0.0.0：如：acce-list10Permit10.0.0.20.0.0.0表示允许10.0.0.2这个IP地址访问或：acce-list10Permithost10.0.0.2,也可以表达同一个意思。允许所有报文通过则用参数any：acce-list10Permitany。我们再来看一个例子：Router(config)Vacce-Iist10deny10.0.0.20.0.0.0ROUtCr(Config)cceTist10Permitany这两个命令的组合就是表示除了来自10.0.0.2的访问，其他的都允许。注意：Ae1.对每个数据包都以自上向下的顺序进行匹配，如果数据包满足第一个条件，就按规定执行，不满足就检测下一条，以此类推。一旦满足了匹配条件，相应操作就会执行,对数据包的检测也到此为止。因此过滤规则的顺序必须考虑，如上例中，一旦顺序颠倒，则允许所有报文通过，不能拒绝10.0.0.2了。2、定义访问控制列表作用于接口上的方向接口模式下，某一接口：IPaccess-goupnumberinout!在某一接口上应用标识为number的访问控制列表，inout,表示在入站端口调用还是在出站端口调用。所谓入站端口还是出站端口，是指以路由器为参考点，数据包是进入(in)还是离开(out)这个路由器本实验拓扑图如图7-9：图7-9标准AC1.实验拓扑图图中假设PCl为教师用机，PC2为学生用机，PC3代表互联网，出于安全考虑，要求教师机可以访问互联网，学生机则无法访问,拓扑编址：两个SW：没有Vlan,没有IP地址，不用设置PClIP：192.168.0.2/24,网关为Rl上E0/1的IPPC2IP：192.168.1.2/24,网关为Rl上E0/2的IPPC3IP：100.0.0.2/24,网关为Rl上E0/0的IPRI：E0/1IP：192.168.0.1/24E0/2IP：192.168.1.1/24E0/0IP：100.0.0.1/24用用howOCe-IiSt10”命令查看标准访问控制列表的配置情况如下：RI-Shaccess-list10StandardIPaccesslist1010deny192.168.1.0,wildcardbits0.0.0.255(30matches)20permit192.168.0.0,wildcardbits0.0.0.255(10matches)在路由器上运行“showrun”，则可以查看到端口情况，如图7T0：interfaceEthemet0/0ipaddress100.0.0.1255.255.255.0ipaccess-goup10outhalf-duplex*interfaceEthernet0lipaddress192.168.0.1255.255.255.0haIf-duplex?interfaceEthernet02ipaddress192.168.1.1255.255.255.0half-duplextinterfaceEthernet03noipaddressshutdownhaIf-duplex*iphttpserueraccess-list10deny192.168.1.00.0.0.255access-list10permit192.168.0.00.0.0.255图7T0查看AC1.配置信息在实际工作中，标准访问控制列表还可以和NAT,PAT等功能配合使用，提供更好的网络服务。删除访问控制列表命令是：noaccessTistnumber,疝?，就是那个访问控制列表号。实验三扩展IP访问控制列表标准访问控制列表只能对源地址进行检查，功能比较单一，远远不能满足网络的需要。扩展访问控制列表功能齐全，大大扩展了访问控制列表的应用范围。扩展访问控制列表除了可以对数据包的源地址进行过滤操作，还可以对数据包的源IP,目的IP,端口，协议等来定义访问控制规则。扩展IP访问控制列表的功能比较强大，可以根据协议或服务进行配置，如果要想对网络访问实现精确控制，就必须使用扩展访问控制列表。标准访问控制列表的编号取值范围为199或1300-1999O扩展访问控制列表的编号取值范围是100199或20002699。命令格式如下，全局配置模式下：ACCeSS-IiStnumberdenypermitPIPtoColISoUrCe-addSoUrCe-WildCardOperatorJJOrWIdes-addd。S-WiIdCardOPeratOrpOri其中：number是访问控制列表编号，deny表示拒绝，pe11nit表示允许。PrOtoCol表示协议,可以是IP、TCP、UDP、IGMP等协议。source-addsource-wiIdcardfdes-adddes-rJdCard表示源地址和目标地址以及它们的通配符掩码。卬eraSr表示操作符可以是Cq（等于）、neq（不等于）、或range（范围）por£表示应用层端口号，比如WwW为80,ftp为20、21,telnet为23另外还可以用主机的IP地址来进行精确控制，其通配符为0.0.0.O010.0.0.20.0.0.0和host10.0.0.2意思一样都是表示IP地址为10.0.0.2的主机。也可以用any表示所有主机。例如：acceTist110Permittcpany10.0.0.10.0.0.0eqWWW表示允许任何主机的tcp报文到主机10.0.0.1的WwW服务如：acce-list110denytcp100.0.0.00.0.0.25510.0.0.00.0.0.255eq20acceTist110denytcp100.0.0.00.0.0.25510.0.0.00.0.0.255eq21两条命令同时使用，表示拒绝100.0.0.0网段的主机访问10.0.0.0网段的任何ftp服务，由于ftp使用两个端口，20和21,最好同时关闭两个端口。扩展IP访问控制列表一般放在各类应用服务器的前端，对服务器上的各种应用起到安全保护作用。如图7T2图7-12扩展AC1.实验拓扑图图中表示一个学校网络状况，一台三层交换机连接各个主机，其中Vlan10内都是教师用机，Vlan30内都是学生用机，Vlan20内放置学校服务器，现在要求学生机只能访问WWw服务，而不能访问FTP服务。教师机无限制。拓扑编址：SW1：Vlan10IP:10.0.0.1/24Vlan20IP:20.0.0.1/24Vlan30IP:30.0.0.1/24PClIP：PC2IP：PC3IP：PC4IP：PC5IP：10.0.0.2/24,10.0.0.3/24,20.0.0.2/24,20.0.0.3/24,30.0.0.2/24,网关为VIan网关为VIan网关为Vlan网关为VIan10的IP10的IP20的IP20的IP网关为