• Welcome to the world's largest Chinese hacker forum

    Welcome to the world's largest Chinese hacker forum, our forum registration is open! You can now register for technical communication with us, this is a free and open to the world of the BBS, we founded the purpose for the study of network security, please don't release business of black/grey, or on the BBS posts, to seek help hacker if violations, we will permanently frozen your IP and account, thank you for your cooperation. Hacker attack and defense cracking or network Security

    business please click here: Creation Security  From CNHACKTEAM

网络攻防实训 第七天


JieGe

Recommended Posts

  • Members

实验七:企业网流量访问控制技术组网

一、ACL技术应用场景

访问控制列表ACL(Access Control List)可以定义一系列不同的规则,设备根据这些规则对数据包进行分类,并针对不同类型的报文进行不同的处理,从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等等。

二、实验任务及需求

  1. 通过VLAN技术实现不同业务之间的隔离,其中vlan10为总经办、vlan20为财务部、vlan30为生产部、vlan40为办公部、vlan50为服务器、vlan1为网管业务;
  2. 通过trunk技术实现相同vlan跨交换机访问;
  3. 通过核心交换机上部署三层网关实现不同业务之间的访问;
  4. 熟悉DHCP地址分配的工作原理和基本配置;
  5. ACL需求:
    (1) 总经办可以访问所有业务部门;
    (2) 财务部只能访问总经办和服务器,其他所有部门均不能访问;
    (3) 生产部可以访问总经办和办公部,但是不允许访问服务器、网管部和财务部;
    (4) 办公部可以总经办、生产部、服务器、网管,但是不允许访问财务部;
  6. 学会通过wireshark软件抓包分析数据流通信过程;

三、实验拓扑图及IP地址规划(注意:拓扑图和地址规划以自己实验为准)

2274384-20210117170653007-1020729134.png
2274384-20210117170657024-326839460.png

IP地址规划:(注意:详细地址规划参考以上拓扑图)
拓扑图的地址及接口仅供参考,具体以大家实际网络结构和接口为准。
注意:地址规划每个人都不一样,与每个学生班级及学号挂钩,一下表格中的X为所在班级号,Y为学号,本人为2班27号。
2274384-20210117170808795-2073693518.png

四、实验步骤及思路

步骤一:分别在接入层SW1、SW2上创建vlan10和vlan20,并将接口加入相对应的VLAN中;(截图)

1) 分别对三个交换机进行重命名为HX-SW0,JR-SW1,JR-SW2,并更改相应时钟:

HX-SW0:

2274384-20210117170838910-445977542.png
2274384-20210117170842821-672213290.png

JR-SW1:

2274384-20210117170847852-923123522.png

JR-SW2:

2274384-20210117170854463-471837691.png

在接入层交换机上创建自己需要的vlan,将连接终端的接口开启access,加入到对应的vlan中:

2274384-20210117170902942-404833393.png
2274384-20210117170906484-1148706354.png
2274384-20210117170910892-702073416.png
2274384-20210117170914798-130377225.png
2274384-20210117170919535-591754613.png
2274384-20210117170924139-1267906943.png

步骤二:将接入层交换机与核心交换机相连的接口均配置为trunk;(截图)

JR-SW1:

2274384-20210117170930858-1287644863.png

JR-SW2:

2274384-20210117170935832-484608986.png
2274384-20210117170940367-266737289.png

HX-SW0:

2274384-20210117170946080-1670789407.png
2274384-20210117170951348-2074368657.png
2274384-20210117170955361-877909001.png
2274384-20210117171000992-1437862608.png

2274384-20210117171005672-2009040370.png

步骤三:总部和分部在核心交换机上分别创建总经办、财务部、生产和办公的网关地址;(截图)

2274384-20210117171011651-989587411.png
2274384-20210117171015648-487117118.png
2274384-20210117171021307-9343619.png

2274384-20210117171024618-372955181.png
2274384-20210117171029628-1689008231.png

用show ip route 来检验核心交换机是否开启路由功能:

2274384-20210117171034991-169761161.png

由上可知核心交换机未打开路由功能;

则进行以下操作:
2274384-20210117171037982-1456553859.png
2274384-20210117171042154-1841990237.png

出现上图则路由功能已打开。

步骤四:公司内部各个三层设备之间路由接口进行IP地址配置;(同下)

步骤五:核心交换机上DHCP服务器配置;

先使用 no ip domain-lookup 禁用域名查找:

2274384-20210117171055823-828584620.png

创建DHCP地址池:(ZJB,CW,SC,BG)

2274384-20210117171114811-1421561277.png
2274384-20210117171119565-1822686483.png
2274384-20210117171122414-1524888082.png
2274384-20210117171125974-239351101.png
2274384-20210117171129578-230708191.png

打开电脑的DHCP请求服务:

2274384-20210117171137544-467915872.png
2274384-20210117171143399-25318153.png
2274384-20210117171146551-809261487.png

2274384-20210117171150268-1187079563.png

测试DHCP分配的地址是否能用:

2274384-20210117171154728-532837351.png
2274384-20210117171205279-628081672.png
2274384-20210117171210023-1094753397.png

在HX-SW0上输入 show ip dhcp binding 查看生成的IP地址:

2274384-20210117171302241-1820506987.png

步骤六:ACL配置:

在实验四的基础上在核心交换机上添加vlan1 和 vlan50:
2274384-20210117171307654-318921736.png

给vlan50 进行命名等操作:

2274384-20210117171312700-437315271.png
2274384-20210117171316645-90349251.png

给vlan50配access接口(不是trunk):

2274384-20210117171331136-1469318698.png
2274384-20210117171348046-1382665702.png

查看trunk接口F0/1,F0/2:

2274384-20210117171352981-1518405950.png

使用show run 查看:

2274384-20210117171358045-2117915602.png

步骤八:让各个部门的PC通过DHCP动态获取地址,给服务器手动配置IP地址。(截图)(先点击Static,再点击DHCP)

2274384-20210117171405241-1389007377.png
2274384-20210117171409164-1214844959.png
2274384-20210117171412352-330301509.png
2274384-20210117171416133-369609753.png
2274384-20210117171419156-106626035.png

服务器Ping通成功,说明各个主机之间可以进行相互访问:

2274384-20210117171422996-1992898570.png

步骤九:根据流量访问控制需求,进行连通性测试。

1)财务部只能访问总经办和服务器,其他所有部门均不能访问;

2274384-20210117171435240-1699459374.png

查看:

2274384-20210117171440227-1426628153.png

进行调用:

2274384-20210117171504700-1901347365.png
2274384-20210117171508547-853727222.png
2274384-20210117171513320-1027527056.png

测试:

2274384-20210117171520528-975855277.png
2274384-20210117171531608-1201745601.png

2)生产部可以访问总经办和办公部,但是不允许访问服务器、网管部和财务部;

2274384-20210117171551758-1202245378.png

查看:

2274384-20210117171616106-1084538104.png
2274384-20210117171620147-1719459696.png
2274384-20210117171624840-1029690795.png
2274384-20210117171628686-1020201358.png

进行测试:

2274384-20210117171633199-1864127363.png
2274384-20210117171638345-257923750.png

3)办公部可以总经办、生产部、服务器、网管,但是不允许访问财务部;

2274384-20210117171643241-1708838003.png
2274384-20210117171646550-1801965795.png

调用并查看:

2274384-20210117171649683-2135688704.png
2274384-20210117171654488-713323085.png

测试:

2274384-20210117171659176-2129346031.png

四、实验测试及截图说明:

1. vlan和trunk测试(注意:截图并说明)

2274384-20210117171715138-1568820394.png
2274384-20210117171722522-346585319.png

2. 接口IP地址测试

2274384-20210117171727660-41991932.png

3. 路由表测试:

2274384-20210117171731586-492276913.png

4. DHCP服务器部署测试:

2274384-20210117171735722-405223911.png
2274384-20210117171739059-594616020.png
2274384-20210117171742718-1383653015.png
2274384-20210117171746611-725114450.png
2274384-20210117171749690-2047537378.png

5. ACL测试:

2274384-20210117171753550-875243712.png
2274384-20210117171756678-274498281.png
2274384-20210117171759894-2118705652.png

6. 业务连通性测试:

2274384-20210117171804385-243946396.png
2274384-20210117171807123-477999285.png
2274384-20210117171810521-86479130.png

六、实验总结:

通过今天关于网络访问控制技术ACL技术课程的学习,我了解到了访问控制列表ACL可以定义一系列不同的规则,设备根据这些规则对数据包进行分类,并针对不同类型的报文进行不同的处理,从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等等;通过结合实验和理论了解了通过核心交换机上部署三层网关实现不同业务之间的访问以及熟悉DHCP地址分配的工作原理和基本配置。
总之,通过这次的项目实训,可以对ACL访问控制有一个较为全面的理解,并对日常生活中遇到的一些关于这方面的问题有一定的处理能力,为以后更加深入学习ACL访问控制奠定了基础。

多看多学!!!
Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now