網(wǎng)絡(luò)的安全配置

網(wǎng)絡(luò)設(shè)備安裝與調(diào)試（神碼版）4.網(wǎng)絡(luò)的安全配置網(wǎng)絡(luò)的安全配置全文共43頁，當(dāng)前為第1頁。網(wǎng)絡(luò)設(shè)備安裝與調(diào)試（神碼版）學(xué)習(xí)任務(wù)1交換機(jī)的端口安全配置學(xué)習(xí)任務(wù)2IP訪問控制列表配置學(xué)習(xí)任務(wù)3路由器IpsecVPN隧道實現(xiàn)交換機(jī)的端口安全標(biāo)準(zhǔn)訪問控制列表的配置實現(xiàn)AM功能擴(kuò)展訪問控制列表的配置命名訪問控制列表的配置基于時間的訪問控制列表

使用ACL過濾特制訂病毒報文

網(wǎng)絡(luò)的安全配置全文共43頁，當(dāng)前為第2頁。4.1.1網(wǎng)絡(luò)設(shè)備安裝與調(diào)試（神碼版）交換機(jī)的端口安全4.1端口安全配置網(wǎng)絡(luò)的安全配置全文共43頁，當(dāng)前為第3頁。網(wǎng)絡(luò)設(shè)備安裝與調(diào)試（神碼版）學(xué)習(xí)情境

某公司管理員接到單位員工電腦中病毒的電話，過去查找定位問題主機(jī)很困難，這給管理帶來很大的麻煩，于是管理員決定采用MAC地址與端口進(jìn)行綁定來進(jìn)行管理。情境分析

為了安全和方便管理，采用將MAC地址與端口進(jìn)行綁定，在MAC地址與端口進(jìn)行綁定后，該MAC地址的數(shù)據(jù)流只能從綁定端口進(jìn)入，不能從其他端口進(jìn)入，該端口可以允許其他MAC地址的數(shù)據(jù)流通過。這樣一旦網(wǎng)絡(luò)當(dāng)中有哪臺計算機(jī)出了問題，都能很快定位出來，及時采取有效措施。網(wǎng)絡(luò)的安全配置全文共43頁，當(dāng)前為第4頁。網(wǎng)絡(luò)設(shè)備安裝與調(diào)試（神碼版）本任務(wù)是通過MAC地址與端口綁定技術(shù)來實現(xiàn)計算機(jī)的安全接入，該任務(wù)在交換機(jī)上完成，任務(wù)實施過程當(dāng)中應(yīng)按如下幾點要求操作。（1）交換機(jī)設(shè)置管理IP地址為00/24，PC1的IP地址設(shè)置為10/24，PC2的IP地址設(shè)置為20/24。（2）在交換機(jī)上對PC1的MAC地址作端口綁定。（3）將PC1分別連接到綁定的端口和未綁定的端口ping交換機(jī)IP，檢驗理論是否和實驗一致。（4）將PC2分別連接到綁定了PC1的MAC地址的端口和未綁定的端口ping交換機(jī)IP，檢驗理論是否和實驗一致。所需設(shè)備：（1）DCS-3950交換機(jī)1臺。（2）PC機(jī)1臺。（3）console線一根。（4）直通雙絞線一根。網(wǎng)絡(luò)的安全配置全文共43頁，當(dāng)前為第5頁。網(wǎng)絡(luò)設(shè)備安裝與調(diào)試（神碼版）請任課教師根據(jù)拓?fù)浣Y(jié)構(gòu)圖進(jìn)行講解和演示網(wǎng)絡(luò)的安全配置全文共43頁，當(dāng)前為第6頁。網(wǎng)絡(luò)設(shè)備安裝與調(diào)試（神碼版）知識拓展---動態(tài)實現(xiàn)MAC地址與端口綁定所需設(shè)備：（1）DCS-5650交換機(jī)1臺。（2）PC機(jī)2臺。（3）console線一根。（4）直通線2根。網(wǎng)絡(luò)的安全配置全文共43頁，當(dāng)前為第7頁。網(wǎng)絡(luò)設(shè)備安裝與調(diào)試（神碼版）請任課教師根據(jù)拓?fù)浣Y(jié)構(gòu)圖進(jìn)行講解和演示網(wǎng)絡(luò)的安全配置全文共43頁，當(dāng)前為第8頁。4.1.2網(wǎng)絡(luò)設(shè)備安裝與調(diào)試（神碼版）實現(xiàn)AM功能4.1端口安全配置網(wǎng)絡(luò)的安全配置全文共43頁，當(dāng)前為第9頁。網(wǎng)絡(luò)設(shè)備安裝與調(diào)試（神碼版）學(xué)習(xí)情境公司員工的計算機(jī)使用的都是固定IP地址，但有時員工會修改自己的IP地址，造成IP地址沖突，這樣給內(nèi)部網(wǎng)絡(luò)造成了很大的麻煩，管理起來也很不方便，于是管理員想把計算機(jī)的MAC地址與IP綁定。情境分析將計算機(jī)的MAC地址與IP綁定，使用戶不能隨便修改IP地址，可以使用交換機(jī)的AM功能做到，管理員可以實現(xiàn)內(nèi)部網(wǎng)絡(luò)管理上的完善。AM全稱為AccessManagement即訪問管理，它利用收到數(shù)據(jù)報文的信息，與配置硬件地址池相比較，如果找到則轉(zhuǎn)發(fā)，否則丟棄。通過對接入交換機(jī)的適當(dāng)設(shè)置，可以將很多網(wǎng)絡(luò)威脅隔離在交換機(jī)的每端口內(nèi)，而不至于對整網(wǎng)產(chǎn)生危害。網(wǎng)絡(luò)的安全配置全文共43頁，當(dāng)前為第10頁。網(wǎng)絡(luò)設(shè)備安裝與調(diào)試（神碼版）所需設(shè)備：（1）DCRS-5650交換機(jī)1臺。（2）PC機(jī)1臺。（3）console線一根。（4）直通雙絞線一根。網(wǎng)絡(luò)的安全配置全文共43頁，當(dāng)前為第11頁。網(wǎng)絡(luò)設(shè)備安裝與調(diào)試（神碼版）請任課教師根據(jù)拓?fù)浣Y(jié)構(gòu)圖進(jìn)行講解和演示網(wǎng)絡(luò)的安全配置全文共43頁，當(dāng)前為第12頁。4.2.1網(wǎng)絡(luò)設(shè)備安裝與調(diào)試（神碼版）標(biāo)準(zhǔn)訪問控制列表的配置4.2IP訪問控制列表網(wǎng)絡(luò)的安全配置全文共43頁，當(dāng)前為第13頁。網(wǎng)絡(luò)設(shè)備安裝與調(diào)試（神碼版）學(xué)習(xí)情境某公司組建了公司內(nèi)部網(wǎng)絡(luò)，其中有財務(wù)部、技術(shù)部、市場部等部門。為了保證公司財務(wù)安全，公司經(jīng)理讓管理員實現(xiàn)禁止技術(shù)部門員工訪問財務(wù)部門的主機(jī)。情境分析應(yīng)用了ACL之后，交換機(jī)會在相應(yīng)端口上檢查某一方向的數(shù)據(jù)包，如果數(shù)據(jù)包與ACL的某一條規(guī)則匹配成功，則應(yīng)用該規(guī)則的動作：允許該數(shù)據(jù)包通過或者丟棄該數(shù)據(jù)包。標(biāo)準(zhǔn)訪問控制列表匹配規(guī)則元素只包括IP數(shù)據(jù)包的源IP地址，這意味著標(biāo)準(zhǔn)ACL只檢查IP數(shù)據(jù)包的源IP地址。網(wǎng)絡(luò)的安全配置全文共43頁，當(dāng)前為第14頁。網(wǎng)絡(luò)設(shè)備安裝與調(diào)試（神碼版）所需設(shè)備：（1）DCS-3950交換機(jī)1臺。（2）DCRS-5650交換機(jī)1臺。（3）PC機(jī)1臺。（4）console線1根。（5）直通雙絞線3根。網(wǎng)絡(luò)的安全配置全文共43頁，當(dāng)前為第15頁。網(wǎng)絡(luò)設(shè)備安裝與調(diào)試（神碼版）請任課教師根據(jù)拓?fù)浣Y(jié)構(gòu)圖進(jìn)行講解和演示網(wǎng)絡(luò)的安全配置全文共43頁，當(dāng)前為第16頁。網(wǎng)絡(luò)設(shè)備安裝與調(diào)試（神碼版）知識拓展

在路由器上使用標(biāo)準(zhǔn)ACL實現(xiàn)網(wǎng)段的隔離。在路由器RouterA或者RouterB上創(chuàng)建ACL，阻斷PC2訪問PC1。所需設(shè)備：（1）DCR2626路由器2臺。（2）PC機(jī)2臺。（3）CR-V35MT1條。（4）CR-V35FC1條。（5）交叉線2條。網(wǎng)絡(luò)的安全配置全文共43頁，當(dāng)前為第17頁。網(wǎng)絡(luò)設(shè)備安裝與調(diào)試（神碼版）

IP地址子網(wǎng)掩碼RouterA的F0/0接口RouterB的F0/0接口RouterA的S0/1接口RouterB的S0/1接口PC1PC2IP地址配置表網(wǎng)絡(luò)的安全配置全文共43頁，當(dāng)前為第18頁。網(wǎng)絡(luò)設(shè)備安裝與調(diào)試（神碼版）請任課教師根據(jù)拓?fù)浣Y(jié)構(gòu)圖進(jìn)行講解和演示網(wǎng)絡(luò)的安全配置全文共43頁，當(dāng)前為第19頁。4.2.2網(wǎng)絡(luò)設(shè)備安裝與調(diào)試（神碼版）擴(kuò)展訪問控制列表的配置4.2IP訪問控制列表網(wǎng)絡(luò)的安全配置全文共43頁，當(dāng)前為第20頁。網(wǎng)絡(luò)設(shè)備安裝與調(diào)試（神碼版）學(xué)習(xí)情境

公司為了提升工作效率，購買了專門的服務(wù)器，用于搭建公司的辦公自動化系統(tǒng)?；诎踩系目紤]，公司希望禁止銷售部門的員工對服務(wù)器的FTP服務(wù)，只能訪問公司服務(wù)器的其它服務(wù)。情境分析

在交換機(jī)上配置擴(kuò)展ACL，禁止VLAN10所屬網(wǎng)段/24訪問VLAN100所屬網(wǎng)段/24的TCP端口20和21。在三層交換機(jī)上開啟防火墻ACL檢查功能，設(shè)置默認(rèn)動作為Permit，并在TRUNK端口入站方向應(yīng)用ACL。PC1訪問Server1FTP服務(wù)器的數(shù)據(jù)包將被ACL丟棄，其它數(shù)據(jù)包則被放行。網(wǎng)絡(luò)的安全配置全文共43頁，當(dāng)前為第21頁。網(wǎng)絡(luò)設(shè)備安裝與調(diào)試（神碼版）所需設(shè)備：（1）DCS-3950交換機(jī)1臺。（2）DCRS-5650交換機(jī)1臺。（3）PC機(jī)1臺。（4）console線1根。（5）直通雙絞線3根。網(wǎng)絡(luò)的安全配置全文共43頁，當(dāng)前為第22頁。網(wǎng)絡(luò)設(shè)備安裝與調(diào)試（神碼版）網(wǎng)絡(luò)的安全配置全文共43頁，當(dāng)前為第23頁。網(wǎng)絡(luò)設(shè)備安裝與調(diào)試（神碼版）請任課教師根據(jù)拓?fù)浣Y(jié)構(gòu)圖進(jìn)行講解和演示網(wǎng)絡(luò)的安全配置全文共43頁，當(dāng)前為第24頁。4.2.3網(wǎng)絡(luò)設(shè)備安裝與調(diào)試（神碼版）命名訪問控制列表的配置4.2IP訪問控制列表網(wǎng)絡(luò)的安全配置全文共43頁，當(dāng)前為第25頁。網(wǎng)絡(luò)設(shè)備安裝與調(diào)試（神碼版）學(xué)習(xí)情境某公司的網(wǎng)絡(luò)工程師們發(fā)現(xiàn)近期網(wǎng)絡(luò)上流行震蕩波病毒，為了防范這些病毒，工程師們要在公司連接外網(wǎng)的路由器上配置命名ACL，防范震蕩波病毒侵入公司內(nèi)部，危及網(wǎng)絡(luò)安全。情境分析在路由器外網(wǎng)入站方向配置擴(kuò)展命名訪問控制列表，過濾外網(wǎng)訪問內(nèi)網(wǎng)的數(shù)據(jù)包，將病毒拒之門外，以維護(hù)內(nèi)網(wǎng)的安全穩(wěn)定。網(wǎng)絡(luò)的安全配置全文共43頁，當(dāng)前為第26頁。網(wǎng)絡(luò)設(shè)備安裝與調(diào)試（神碼版）所需設(shè)備：（1）DCR-2626路由器1臺。（2）DCRS-5650交換機(jī)1臺。（3）PC機(jī)1臺。（4）交換機(jī)和路由器console線各1根。（5）直通雙絞線3根。網(wǎng)絡(luò)的安全配置全文共43頁，當(dāng)前為第27頁。網(wǎng)絡(luò)設(shè)備安裝與調(diào)試（神碼版）網(wǎng)絡(luò)的安全配置全文共43頁，當(dāng)前為第28頁。網(wǎng)絡(luò)設(shè)備安裝與調(diào)試（神碼版）請任課教師根據(jù)拓?fù)浣Y(jié)構(gòu)圖進(jìn)行講解和演示網(wǎng)絡(luò)的安全配置全文共43頁，當(dāng)前為第29頁。4.2.4網(wǎng)絡(luò)設(shè)備安裝與調(diào)試（神碼版）時間訪問控制列表的配置4.2IP訪問控制列表網(wǎng)絡(luò)的安全配置全文共43頁，當(dāng)前為第30頁。網(wǎng)絡(luò)設(shè)備安裝與調(diào)試（神碼版）學(xué)習(xí)情境你是公司的網(wǎng)絡(luò)管理員，為了保證公司上班時間工作效率，公司要求網(wǎng)段上班時間不能訪問IP地址為的Web服務(wù)器上的網(wǎng)站，下班以后訪問網(wǎng)絡(luò)不受限制。情境分析公司為了保證上班時間的工作效率，在上班時間限制員工訪問某web服務(wù)器網(wǎng)站，下班以后訪問網(wǎng)絡(luò)不受限制。這要求使用基于時間的訪問控制列表來實現(xiàn)。網(wǎng)絡(luò)的安全配置全文共43頁，當(dāng)前為第31頁。網(wǎng)絡(luò)設(shè)備安裝與調(diào)試（神碼版）所需設(shè)備：（1）DCR26002臺。（2）PC2臺。（3）CR-V35MT1條。（4）CR-V35FC1條。（5）Console配置線1條。（5）交叉線2條。網(wǎng)絡(luò)的安全配置全文共43頁，當(dāng)前為第32頁。網(wǎng)絡(luò)設(shè)備安裝與調(diào)試（神碼版）

IP地址子網(wǎng)掩碼RouterA的F0/0接口RouterB的F0/0接口RouterA的S0/1接口RouterB的S0/1接口PC1PC2IP地址配置表網(wǎng)絡(luò)的安全配置全文共43頁，當(dāng)前為第33頁。網(wǎng)絡(luò)設(shè)備安裝與調(diào)試（神碼版）請任課教師根據(jù)拓?fù)浣Y(jié)構(gòu)圖進(jìn)行講解和演示網(wǎng)絡(luò)的安全配置全文共43頁，當(dāng)前為第34頁。網(wǎng)絡(luò)設(shè)備安裝與調(diào)試（神碼版）

4.2.5使用ACL過濾特定

病毒報文4.2IP訪問控制列表網(wǎng)絡(luò)的安全配置全文共43頁，當(dāng)前為第35頁。網(wǎng)絡(luò)設(shè)備安裝與調(diào)試（神碼版）學(xué)習(xí)情境某公司的網(wǎng)絡(luò)管理員早晨上班來的時候發(fā)現(xiàn)公司的網(wǎng)絡(luò)不正常，經(jīng)過分析之后發(fā)現(xiàn)是公司的電腦中了病毒，使用殺毒軟件查殺證實是沖擊波和震蕩波的病毒，于是管理員想在三層交換機(jī)通過配置來進(jìn)行隔離。情境分析沖擊波、震蕩波曾經(jīng)給網(wǎng)絡(luò)帶來很沉重的打擊，到目前為止，整個internet中還有這種病毒以及病毒的變種，他們無孔不入，伺機(jī)發(fā)作。因此我們在配置網(wǎng)絡(luò)設(shè)備的時候，采用ACL進(jìn)行過濾，把這些病毒拒之門，保證網(wǎng)絡(luò)的穩(wěn)定運行。網(wǎng)絡(luò)的安全配置全文共43頁，當(dāng)前為第36頁。網(wǎng)絡(luò)設(shè)備安裝與調(diào)試（神碼版）所需設(shè)備：（1）DCRS-5650交換機(jī)1臺（2）PC機(jī)1臺（3）Console線1根（4）直通網(wǎng)線若干網(wǎng)絡(luò)的安全配置全文共43頁，當(dāng)前為第37頁。網(wǎng)絡(luò)設(shè)備安裝與調(diào)試（神碼版）請任課教師根據(jù)拓?fù)浣Y(jié)構(gòu)圖進(jìn)行講解和演示網(wǎng)絡(luò)的安全配置全文共43頁，當(dāng)前為第38頁。網(wǎng)絡(luò)設(shè)備安裝與調(diào)試（神碼版）

4.3路由器IPsecVPN隧道實現(xiàn)網(wǎng)絡(luò)的安全配置全文共43頁，當(dāng)前為第39頁。網(wǎng)絡(luò)設(shè)備安裝與調(diào)試（神碼版）學(xué)習(xí)情境由于公司規(guī)模的擴(kuò)大，總公司和分公司之間之間出于安全性的考慮，想在兩個公司的出口之間，使用一種更安全的VPN連接方式，管理員認(rèn)為路由器的IPsecVPN可以實現(xiàn)此功能。情境分析IPSecVPN是現(xiàn)在互聯(lián)網(wǎng)上最重要的網(wǎng)關(guān)到網(wǎng)關(guān)VPN技術(shù)，他已經(jīng)成為企業(yè)分支機(jī)構(gòu)間互聯(lián)的首選?？偛亢头种е耙獙崿F(xiàn)互訪時，就涉及到此類VPN，或者需要將數(shù)據(jù)包進(jìn)行加密時就涉及到IPSECVPN。網(wǎng)絡(luò)的安