網(wǎng)絡(luò)設(shè)備配置與調(diào)試安全網(wǎng)絡(luò)組建課件

學(xué)習(xí)情境三

安全網(wǎng)絡(luò)組建《網(wǎng)絡(luò)硬件配置與調(diào)試》學(xué)習(xí)情境三安全網(wǎng)絡(luò)組建《網(wǎng)絡(luò)硬件配置與調(diào)試》在學(xué)習(xí)情境一和學(xué)習(xí)情境二中的任務(wù)做完之后，基本的園區(qū)網(wǎng)絡(luò)就搭建起來了。但是這個(gè)網(wǎng)絡(luò)是不安全的，為了使組建的網(wǎng)絡(luò)足夠安全，小李在本學(xué)習(xí)情境中首先帶領(lǐng)我們了解網(wǎng)絡(luò)設(shè)備的安全，然后通過訪問控制列表、端口綁定、和網(wǎng)絡(luò)地址轉(zhuǎn)換實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的安全。學(xué)習(xí)情境在學(xué)習(xí)情境一和學(xué)習(xí)情境二中的任務(wù)做完之后，基本的園區(qū)網(wǎng)絡(luò)就搭任務(wù)一安全網(wǎng)絡(luò)設(shè)備子任務(wù)1-1認(rèn)識(shí)網(wǎng)絡(luò)安全設(shè)備1．主要網(wǎng)絡(luò)設(shè)備簡介2．路由器在網(wǎng)絡(luò)安全方面的應(yīng)用3．交換機(jī)的安全技術(shù)4．無線局域網(wǎng)的安全知識(shí)任務(wù)一安全網(wǎng)絡(luò)設(shè)備子任務(wù)1-1認(rèn)識(shí)網(wǎng)絡(luò)安全設(shè)備學(xué)習(xí)情境小李帶我們了解了網(wǎng)絡(luò)設(shè)備的安全后，通過三個(gè)子任務(wù)介紹訪問控制列表、端口綁定、和網(wǎng)絡(luò)地址轉(zhuǎn)換實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的安全。學(xué)習(xí)情境小李帶我們了解了網(wǎng)絡(luò)設(shè)備的安全后，通過三個(gè)子任務(wù)介紹任務(wù)二網(wǎng)絡(luò)安全設(shè)備配置子任務(wù)2-1交換機(jī)端口與MAC地址綁定一、任務(wù)目的了解什么是交換機(jī)的MAC綁定功能；熟練掌握MAC與端口綁定的靜態(tài)方式。二、任務(wù)描述主要任務(wù)內(nèi)容如下：1．交換機(jī)IP地址為192.168.1.10/24，PC1的地址為192.168.1.101/24；PC2的地址為192.168.1.102/242.在交機(jī)上作MAC與端口綁定三、任務(wù)拓?fù)渚W(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖3.1所示。四、任務(wù)設(shè)備1.S29601臺(tái)2．PC2臺(tái)3.console線1根任務(wù)二網(wǎng)絡(luò)安全設(shè)備配置子任務(wù)2-1交換機(jī)端口與MAC網(wǎng)絡(luò)設(shè)備配置與調(diào)試安全網(wǎng)絡(luò)組建課件子任務(wù)2-1交換機(jī)端口與MAC地址綁定五、任務(wù)步驟第1步：得到PC1的主機(jī)的MAC地址第2步：配置交換機(jī)的IP地址第3步：使用端口的MAC地址綁定功能第4步：添加端口靜態(tài)安全MAC地址，缺省端口最大安全地址數(shù)為1第5步：使用PING命令驗(yàn)證第6步：在一個(gè)口上綁定多個(gè)MAC第7步：使用PING命令驗(yàn)證六、注意事項(xiàng)如果出現(xiàn)端口無法配置MAC地址綁定功能的情況，請(qǐng)檢查交換機(jī)的端口是否運(yùn)行了生成樹協(xié)議、802.1X、端口匯聚或端口已經(jīng)配置為TRUNK端口，MAC綁定與這些配置是互斥的，所以在執(zhí)行端口綁定前一定要先關(guān)閉端口下的上述功能。七、參考配置(略）子任務(wù)2-1交換機(jī)端口與MAC地址綁定五、任務(wù)步驟子任務(wù)2-2標(biāo)準(zhǔn)訪問控制列表一、任務(wù)目的1.掌握訪問控制列表安全性的配置2.理解標(biāo)準(zhǔn)訪問控制列表的作用。二、任務(wù)描述1.某些安全性要求比較高的主機(jī)或網(wǎng)絡(luò)需要進(jìn)行訪問控制2.其他的很多應(yīng)用都可以使用訪問控制列表提供操作條件3.在本例中禁止192.168.1.0/24對(duì)PC2的訪問三、任務(wù)拓?fù)渚W(wǎng)絡(luò)拓?fù)鋱D如圖3.2所示。四、任務(wù)設(shè)備1.R28012臺(tái)2.PC2臺(tái)3.網(wǎng)線2根4.串口線1根子任務(wù)2-2標(biāo)準(zhǔn)訪問控制列表一、任務(wù)目的網(wǎng)絡(luò)設(shè)備配置與調(diào)試安全網(wǎng)絡(luò)組建課件子任務(wù)2-2標(biāo)準(zhǔn)訪問控制列表五、任務(wù)步驟第1步：基本配置第2步：路由配置，保證網(wǎng)絡(luò)的連通性第3步：PC1能與PC2通信第4步：配置訪問控制列表禁止PC1所在網(wǎng)段對(duì)PC2的訪問第5步：將訪問控制列表綁定在相應(yīng)的接口第6步：驗(yàn)證第7步：測試六、注意事項(xiàng)標(biāo)準(zhǔn)訪問控制列表是基于源地址的每條訪問控制列表都有隱含的拒絕標(biāo)準(zhǔn)訪問控制列表一般綁定在離目標(biāo)最近的接口注意方向，以該接口為參考點(diǎn)，in是流進(jìn)的方向；out是流出的方向七、參考配置(略）子任務(wù)2-2標(biāo)準(zhǔn)訪問控制列表五、任務(wù)步驟子任務(wù)2-3擴(kuò)展訪問控制列表一、任務(wù)目的1.掌握擴(kuò)展訪問列表的配置2.理解擴(kuò)展訪問列表的過濾條件二、任務(wù)描述1.可以針對(duì)目標(biāo)IP地址進(jìn)行控制2.針對(duì)某些服務(wù)進(jìn)行控制3.可以針對(duì)某些協(xié)議進(jìn)行控制本任務(wù)中禁PC1telnet到PC2,但能PING.三、任務(wù)拓?fù)渚W(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖3.5所示。四、所需設(shè)備1.R28012臺(tái)2.PC2臺(tái)3.網(wǎng)線2根4.串口線1根子任務(wù)2-3擴(kuò)展訪問控制列表一、任務(wù)目的網(wǎng)絡(luò)設(shè)備配置與調(diào)試安全網(wǎng)絡(luò)組建課件子任務(wù)2-3擴(kuò)展訪問控制列表五、任務(wù)步驟第1步：對(duì)路器進(jìn)行基本配置，并加路由保證網(wǎng)絡(luò)是連通的，此配置請(qǐng)參照標(biāo)準(zhǔn)訪問控制列表。第2步：在R2上設(shè)置擴(kuò)展訪問控制列表第3步：查看訪問列表第4步：驗(yàn)證六、注意事項(xiàng)擴(kuò)展訪問控制列表通常放在離源比較近的地方擴(kuò)展訪問控制列表可以基于源、目標(biāo)IP、協(xié)議、端口等條件過濾七、參考配置（略）子任務(wù)2-3擴(kuò)展訪問控制列表五、任務(wù)步驟子任務(wù)2-4靜態(tài)地址轉(zhuǎn)換一、任務(wù)目的通過任務(wù)掌握靜態(tài)NAT的配置方法及實(shí)際應(yīng)用。二、任務(wù)描述根據(jù)需要將內(nèi)部主機(jī)PC1:192.168.1.1和PC2:192.168.1.2私有地址轉(zhuǎn)為能上外網(wǎng)的公有地址。三、任務(wù)拓?fù)渚W(wǎng)絡(luò)拓?fù)鋱D如圖3.7所示四、任務(wù)設(shè)備1.R28011臺(tái)2.S29601臺(tái)3.PC2臺(tái)4.網(wǎng)線3根5.串口線1根子任務(wù)2-4靜態(tài)地址轉(zhuǎn)換一、任務(wù)目的網(wǎng)絡(luò)設(shè)備配置與調(diào)試安全網(wǎng)絡(luò)組建課件子任務(wù)2-4靜態(tài)地址轉(zhuǎn)換五、任務(wù)步驟第1步:基本配置。第2步：配置路由協(xié)議第3步：在R1上配置靜態(tài)內(nèi)部地址轉(zhuǎn)換第4步：PING2.2.2.2(虛擬外網(wǎng)地址)六、注意事項(xiàng)1.在配置的時(shí)候不要把inside和outside應(yīng)用接口弄錯(cuò)2.要加上能能使數(shù)據(jù)包外發(fā)的路由協(xié)議。七、參考配置（略）子任務(wù)2-4靜態(tài)地址轉(zhuǎn)換五、任務(wù)步驟子任務(wù)2-5動(dòng)態(tài)地址轉(zhuǎn)換一、任務(wù)目的通過任務(wù)掌握動(dòng)態(tài)NAT的配置方法及實(shí)際應(yīng)用。二、任務(wù)描述你是公司的高級(jí)網(wǎng)絡(luò)管理員，公司申請(qǐng)了100個(gè)公網(wǎng)IP地址為整個(gè)銷售部門提供上網(wǎng)服務(wù)，銷售部門的網(wǎng)段為192.168.1.0/24.合法地址不夠每人分配一個(gè)，但是銷售部門平均有三分之一的人在外跑業(yè)務(wù)，在公司內(nèi)部的也不會(huì)一直需要網(wǎng)絡(luò)服務(wù)，根據(jù)此情況解決公司全局地址不夠一一映射的情況。三、任務(wù)拓?fù)渚W(wǎng)絡(luò)拓?fù)鋱D如圖3.9所示。四、任務(wù)設(shè)備1.R28012臺(tái)2.S29601臺(tái)3.PC2臺(tái)4.網(wǎng)線3根5.串口線1根子任務(wù)2-5動(dòng)態(tài)地址轉(zhuǎn)換一、任務(wù)目的網(wǎng)絡(luò)設(shè)備配置與調(diào)試安全網(wǎng)絡(luò)組建課件子任務(wù)2-5動(dòng)態(tài)地址轉(zhuǎn)換五、任務(wù)步驟第1步：基本配置第2步：配置路由協(xié)議第3步：配置動(dòng)態(tài)內(nèi)部源地址轉(zhuǎn)換第4步：驗(yàn)證結(jié)果六、注意事項(xiàng)在配置的時(shí)候不要把inside和outside應(yīng)用接口弄錯(cuò)要加上能能使數(shù)據(jù)包外發(fā)的路由協(xié)議。七、參考配置（略）子任務(wù)2-5動(dòng)態(tài)地址轉(zhuǎn)換五、任務(wù)步驟子任務(wù)2-6PAT一、任務(wù)目的通過實(shí)驗(yàn)掌握PAT的配置方法及實(shí)際應(yīng)用。二、任務(wù)描述為解決內(nèi)網(wǎng)上外網(wǎng)時(shí)地址不足問題可使用PAT實(shí)現(xiàn)多個(gè)私有地址對(duì)應(yīng)一個(gè)公有地址上網(wǎng)。三、任務(wù)拓?fù)渚W(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖如圖3.11所示。四、任務(wù)設(shè)備1.R28012臺(tái)2.S29601臺(tái)3.PC2臺(tái)4.網(wǎng)線3根5.串口線1根子任務(wù)2-6PAT一、任務(wù)目的網(wǎng)絡(luò)設(shè)備配置與調(diào)試安全網(wǎng)絡(luò)組建課件子任務(wù)2-6PAT五、任務(wù)步驟第1步：基本配置第2步：配置路由協(xié)議第3步：配置PAT地址轉(zhuǎn)換第4步：驗(yàn)證結(jié)果六、注意事項(xiàng)在配置的時(shí)候不要把inside和outside