实验七 交换机基本配置
一、实验目的
(1)使用R2611模块化路由器进行网络安全策略配置学习使用路由器进行初步的网络运行配置和网络管理,行能根据需要进行简单网络的规划和设计。 实验设备与器材 熟悉交换机开机界面;
(2)掌握Quidway S系列中低端交换机几种常用配置方法; (3)掌握Quidway S系列中低端交换机基本配置命令。 二、实验环境
Quidway R2611模块化路由器、交换机、Console配置线缆、双绞线、PC。 交换机,标准Console配置线。 三、实验内容
学习使用Quidway R2611模块化路由器的访问控制列表(ACL)进行防火墙实验。
预备知识
1、防火墙
防火墙作为Internet访问控制的基本技术,其主要作用是监视和过滤通过它的数据包,根据自身所配置的访问控制策略决定该包应当被转发还是应当被抛弃,以拒绝非法用户访问网络并保障合法用户正常工作。 2、包过滤技术
一般情况下,包过滤是指对转发IP数据包的过滤。对路由器需要转发的数据包,先获取包头信息,包括IP层所承载的上层协议的协议号、数据包的源地址、目的地址、源端口号和目的端口号等,然后与设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。 3、访问控制列表
路由器为了过滤数据包,需要配置一系列的规则,以决定什么样的数据包能够通过,这些规则就是通过访问控制列表ACL(Access Control List)定义的。
.
.
访问控制列表是由permit | deny语句组成的一系列有顺序的规则,这些规则根据数据包的源地址、目的地址、端口号等来描述。ACL通过这些规则对数据包进行分类,这些规则应用到路由器接口上,路由器根据这些规则判断哪些数据包可以接收,哪些数据包需要拒绝。
访问控制列表(Access Control List )的作用
访问控制列表可以用于防火墙;
访问控制列表可用于Qos(Quality of Service),对数据流量进行控制; 访问控制列表还可以用于地址转换;
在配置路由策略时,可以利用访问控制列表来作路由信息的过滤。
一个IP数据包如下图所示(图中IP所承载的上层协议为TCP)
ACL示意图
ACL的分类
按照访问控制列表的用途,可以分为四类: 基本的访问控制列表(basic acl) 高级的访问控制列表(advanced acl)
基于接口的访问控制列表(interface-based acl) 基于MAC的访问控制列表(mac-based acl)
访问控制列表的使用用途是依靠数字的范围来指定的,1000~1999是基于接口的访问控制列表,2000~2999范围的数字型访问控制列表是基本的访问控制列表,3000~3999范围的数字型访问控制列表是高级的访问控制列表,4000~4999范围的数字型访问控制列表是基于MAC地址访问控制列表。 4、防火墙的配置项目 防火墙的配置包括:
.
.
允许/禁止防火墙 配置标准访问控制列表 配置扩展访问控制列表
配置在接口上应用访问控制列表的规则 设置防火墙的缺省过滤方式 设置特殊时间段 指定日志主机
允许/禁止防火墙
在报文过滤时,应先打开防火墙功能,这样才能使其它配置生效。 请在系统视图下进行下列配置。
表1 允许/禁止防火墙
操作 启动防火墙 禁止防火墙 命令 firewall enable firewall disable 缺省情况下,防火墙处于“启动”状态。 配置标准访问控制列表
标准访问控制列表序号可取值1~99之间的整数。首先应使用acl命令进入到ACL配置视图并配置访问控制列表的匹配顺序,然后再使用rule命令配置具体的访问规则。若不配置匹配顺序的话,按照auto方式进行。
请在系统视图(acl命令)和ACL视图(rule命令)下进行下列配置。
表2 配置标准访问控制列表
操作 进入ACL视图并配置访问控制列表的匹配顺序 命令 acl acl-number [ match-order config | auto ] rule { normal | special }{ permit | deny } 配置标准访问列表规则 [source source-addr source-wildcard | any ] 删除特定的访问列表规则 删除访问列表 undo rule { rule-id | normal | special} undo acl {acl-number| all } .
.
normal指该规则是在普通时间段内起起用;special指该规则是在特殊时间段内起作用,使用special时用户需另外设定特殊时间段。具有同一序号的多条规则按照“深度优先原则”进行匹配。 缺省情况下,为normal时间段。 配置扩展访问控制列表
扩展访问控制列表可取值100~199之间的整数。首先应使用acl命令进入到ACL配置视图并配置访问控制列表的匹配顺序,然后再使用rule命令配置具体的访问规则。若不配置匹配顺序的话,按照auto方式进行。
请在系统视图(acl命令)和ACL视图(rule命令)下进行下列配置。
表3 配置扩展访问控制列表
操作 进入ACL视图并配置访问控制列表的匹配顺序 命令 acl acl-number [ match-order config | auto ] rule { normal | special }{ permit | deny } { tcp | udp } 配置TCP/UDP协议的扩展访问列表规则 [source source-addr source-wildcard | any ] [source-port operator port1 [ port2 ] ] [destination dest-addr dest- wildcard | any ] [destination-port operator port1 [ port2 ] ] [logging] rule { normal | special }{ permit | deny } ICMP 配置ICMP协议的扩展访问列表规则 [source source-addr source-wildcard | any ] [ destination dest-addr dest- wildcard | any ] [icmp-type icmp-type icmp-code] [logging] 删除特定的访问列表规则 删除访问列表 undo rule { rule-id | normal | special} undo acl {acl-number| all } 从表2和表3中的rule配置命令的参数中可以看出标准列表仅能对source数据源作规则设置,而扩展控制列表则还可以对destination目的地址进行规则设置。
.
.
参数说明: normal指该规则是在普通时间段内起起用;special指该规则是在特殊时间段内起作用,使用special时用户需另外设定特殊时间段。具有同一序号的多条规则按照“深度优先原则”进行匹配。
缺省情况下,为normal时间段。 设置防火墙的缺省过滤方式
防火墙的缺省过滤方式是指:当访问规则中没有找到一个合适的匹配规则来判定用户数据包是否可以通过的时候,将根据用户设置的防火墙的缺省过滤方式来决定究竟允许还是禁止报文通过。
请在系统视图下进行下列配置。
表4 设置防火墙缺省过滤方式 操作 设置防火墙的缺省过滤方式为允许报文通过 设置防火墙的缺省过滤方式为禁止报文通过 命令 firewall default permit firewall default deny 缺省情况下,防火墙的缺省过滤方式为允许报文通过。 配置在接口上应用访问控制列表的规则
若要实现接口对报文的过滤功能,就必须先将相应访问控制列表规则应用到接口上。用户可在一个接口上对接收和发送两个方向的报文分别定义不同的访问控制规则。
请在接口视图下进行下列配置。
表5 配置接口上应用访问控制列表的规则 操作 配置在接口的入口或出口方向上应用访问控制列表规则 取消在接口的入口或出口方向上应用访问控制列表规则 命令 firewall packet-filter acl-number [ inbound | outbound ] undo firewall packet-filter acl-number [ inbound | outbound ] 缺省情况下,接口上未定义过滤报文的规则。
在一个接口的一个方向上(inbound或outbound方向),最多可以应用20条访问规则。即在firewall packet-filter inbound方向上可应用20条规则;在firewall packet-filter outbound方向上也可应用20条规则。
.
.
若两条互相冲突的规则序号不同,优先匹配acl-number较大的规则。 防火墙的显示和调试
在所有视图下使用debugging、reset、display命令。
表3-12 防火墙的显示和调试
操作 显示包过滤规则及在接口上的应用 显示防火墙状态 显示当前时间段的范围 显示当前时间是否在特殊时间段之内 清除访问规则计数器 打开防火墙包过滤调试信息开关 命令 display acl [ all | acl-number | interface type number ] display firewall display timerange display isintr reset acl counters [ acl-number ] debugging filter { all | icmp | tcp | udp} 3.8.4实验过程
1、防火墙配置实验示例 组网方案
要求通过配置静态路由,使任意两台主机或路由器之间都能两两互通。 网络拓扑
请按下图连接好线缆,并配置好路由器接口和计算机的IP地址,所有的子网掩码均为24位掩码。
图2 配置防火墙组网图
.
.
2、配置步骤
首先用分别Console线缆连接两个路由器并进入配置视图,按下面步骤对接口进行配置。配置好计算机的IP地址和子网掩码,计算机A的网关地址设置为10.100.110.100,计算机B的网关地址设置为10.100.120.100 # 配置路由器Router A 启动防火墙 [RouterA] firewall enable # 配置路由器接口IP
[RouterA] interface Ethernet 0/0
[RouterA-Ethernet0/0]ip address 192.10.1.1 24 [RouterA-Ethernet0/0]quit
[RouterA] interface Ethernet 0/1
[RouterA-Ethernet0/1]ip address 10.100.110.100 24 [RouterA-Ethernet0/1]quit # 配置路由器静态路由
[RouterA] ip route-static 10.100.120.0 255.255.255.0 192.10.1.2 # 配置路由器Router B,并启动防火墙 [RouterB] firewall enable # 配置路由器接口IP
[RouterB] interface Ethernet 0/0
[RouterB-Ethernet0/0]ip address 192.10.1.2 24 [RouterB-Ethernet0/0]quit [RouterB] interface Ethernet 1
[RouterB-Ethernet0/1]ip address 10.100.120.100 24 [RouterB-Ethernet0/1]quit # 配置路由器静态路由
[RouterA] ip route-static 10.100.110.0 255.255.255.0 192.10.1.1 #测试网络连通性
在计算机A上使用命令:Ping 10.100.120.139 #在路由器A上设置标准控制列表
#在路由器A上验证标准访问控制列表禁止IP地址为10.100.110.138的主机访问10.100.120的网络,而允许其他IP访问。
.
.
#进入2001号标准访问控制列表视图 [RouterA] acl number 2001 #设置控制规则
[RouterA-acl-2001] rule deny source 10.100.110.138 0.0.0.0 #上条命令中最后一个参数0.0.0.0是反掩码,用来唯一确定一个IP,若改为 0.0.0.255 则用来确定对一个C类的网络实施访问控制。 #允许其他的IP地址的数据通过路由器A访问外网 [RouterA-acl-2001] rule permit source any
#注意:2001号控制列表有上面有两条规则,其匹配时按深度优先规则,先匹配精确的规则,因此当IP时10.100.110.138时将先按第一条规则执行 #返回系统视图
[RouterA-acl-2001] quit
#进入接口LAN 1,在其上应用访问控制列表的规则 [RouterA] interface Ethernet 0/1
[RouterA-ethernet0/1] firewall packet-filter 2001 inbound
#这时若把IP 地址改为其他的地址,如:10.100.110.140则可以通过路由器访问外网。可以用Ping 命令测试连通性 #在路由器B上使用扩展控制列表 [RouterB] acl number 3002
#设置控制规则,只禁止目的IP地址为10.100.110.138数据通过路由器B的Ethernet 0/0 ,其他目的地址的数据包都能通过。
[RouterB-acl] rule deny ip destination 10.100.120.138 0.0.0.0 #允许所有除了上个规则外的数据包访问外网
[RouterB-acl-3002] rule permit ip source any destination any #进入接口Ethernet 0/0,在其上应用访问控制列表的规则 [RouterB] interface Ethernet 0/0
[RouterB-Ethernet 0/0] firewall packet-filter 3002 outbound #这时若计算机A的IP为10.100.110.138,则在计算机B上使用Ping命令则无法连通,若将计算机A的IP改为其他地址则可以连通计算机B
.
.
3.8.5实验总结
根据实验情况简单描述自己对防火墙工作原理的认识并列举出一种防火墙其它应用案例。
.
因篇幅问题不能全部显示,请点此查看更多更全内容