實驗七:企業網流量訪問控制技術組網
一、ACL技術應用場景
訪問控制串列ACL(Access Control List)可以定義一系列不同的規則,設備根據這些規則對資料包進行分類,并針對不同型別的報文進行不同的處理,從而可以實作對網路訪問行為的控制、限制網路流量、提高網路性能、防止網路攻擊等等,
二、實驗任務及需求
- 通過VLAN技術實作不同業務之間的隔離,其中vlan10為總經辦、vlan20為財務部、vlan30為生產部、vlan40為辦公部、vlan50為服務器、vlan1為網管業務;
- 通過trunk技術實作相同vlan跨交換機訪問;
- 通過核心交換機上部署三層網關實作不同業務之間的訪問;
- 熟悉DHCP地址分配的作業原理和基本配置;
- ACL需求:
(1) 總經辦可以訪問所有業務部門;
(2) 財務部只能訪問總經辦和服務器,其他所有部門均不能訪問;
(3) 生產部可以訪問總經辦和辦公部,但是不允許訪問服務器、網管部和財務部;
(4) 辦公部可以總經辦、生產部、服務器、網管,但是不允許訪問財務部; - 學會通過wireshark軟體抓包分析資料流通信程序;
三、實驗拓撲圖及IP地址規劃(注意:拓撲圖和地址規劃以自己實驗為準)
IP地址規劃:(注意:詳細地址規劃參考以上拓撲圖)
拓撲圖的地址及介面僅供參考,具體以大家實際網路結構和介面為準,
注意:地址規劃每個人都不一樣,與每個學生班級及學號掛鉤,一下表格中的X為所在班級號,Y為學號,本人為2班27號,
四、實驗步驟及思路
步驟一:分別在接入層SW1、SW2上創建vlan10和vlan20,并將介面加入相對應的VLAN中;(截圖)
1) 分別對三個交換機進行重命名為HX-SW0,JR-SW1,JR-SW2,并更改相應時鐘:
HX-SW0:
JR-SW1:
JR-SW2:
在接入層交換機上創建自己需要的vlan,將連接終端的介面開啟access,加入到對應的vlan中:
步驟二:將接入層交換機與核心交換機相連的介面均配置為trunk;(截圖)
JR-SW1:
JR-SW2:
HX-SW0:
步驟三:總部和分部在核心交換機上分別創建總經辦、財務部、生產和辦公的網關地址;(截圖)
用show ip route 來檢驗核心交換機是否開啟路由功能:
由上可知核心交換機未打開路由功能;
則進行以下操作:
出現上圖則路由功能已打開,
步驟四:公司內部各個三層設備之間路由介面進行IP地址配置;(同下)
步驟五:核心交換機上DHCP服務器配置;
先使用 no ip domain-lookup 禁用域名查找:
創建DHCP地址池:(ZJB,CW,SC,BG)
打開電腦的DHCP請求服務:
測驗DHCP分配的地址是否能用:
在HX-SW0上輸入 show ip dhcp binding 查看生成的IP地址:
步驟六:ACL配置:
在實驗四的基礎上在核心交換機上添加vlan1 和 vlan50:
給vlan50 進行命名等操作:
給vlan50配access介面(不是trunk):
查看trunk介面F0/1,F0/2:
使用show run 查看:
步驟八:讓各個部門的PC通過DHCP動態獲取地址,給服務器手動配置IP地址,(截圖)(先點擊Static,再點擊DHCP)
服務器Ping通成功,說明各個主機之間可以進行相互訪問:
步驟九:根據流量訪問控制需求,進行連通性測驗,
1)財務部只能訪問總經辦和服務器,其他所有部門均不能訪問;
查看:
進行呼叫:
測驗:
2)生產部可以訪問總經辦和辦公部,但是不允許訪問服務器、網管部和財務部;
查看:
進行測驗:
3)辦公部可以總經辦、生產部、服務器、網管,但是不允許訪問財務部;
呼叫并查看:
測驗:
四、實驗測驗及截圖說明:
1. vlan和trunk測驗(注意:截圖并說明)
2. 介面IP地址測驗
3. 路由表測驗:
4. DHCP服務器部署測驗:
5. ACL測驗:
6. 業務連通性測驗:
六、實驗總結:
通過今天關于網路訪問控制技術ACL技術課程的學習,我了解到了訪問控制串列ACL可以定義一系列不同的規則,設備根據這些規則對資料包進行分類,并針對不同型別的報文進行不同的處理,從而可以實作對網路訪問行為的控制、限制網路流量、提高網路性能、防止網路攻擊等等;通過結合實驗和理論了解了通過核心交換機上部署三層網關實作不同業務之間的訪問以及熟悉DHCP地址分配的作業原理和基本配置,
總之,通過這次的專案實訓,可以對ACL訪問控制有一個較為全面的理解,并對日常生活中遇到的一些關于這方面的問題有一定的處理能力,為以后更加深入學習ACL訪問控制奠定了基礎,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/250069.html
標籤:其他
上一篇:網路攻防實訓 第六天