網絡攻防實訓 第七天

實驗七：企業網流量訪問控制技術組網

1、ACL技術應用場景

訪問控制列表ACL（Access Control List）能夠定義一系列不一樣的規則，設備根據這些規則對數據包進行分類，並針對不一樣類型的報文進行不一樣的處理，從而能夠實現對網絡訪問行爲的控制、限制網絡流量、提升網絡性能、防止網絡攻擊等等。

2、實驗任務及需求

1. 經過VLAN技術實現不一樣業務之間的隔離，其中vlan10爲總經辦、vlan20爲財務部、vlan30爲生產部、vlan40爲辦公部、vlan50爲服務器、vlan1爲網管業務；
2. 經過trunk技術實現相同vlan跨交換機訪問；
3. 經過核心交換機上部署三層網關實現不一樣業務之間的訪問；
4. 熟悉DHCP地址分配的工做原理和基本配置；
5. ACL需求：
   (1) 總經辦能夠訪問全部業務部門；
   (2) 財務部只能訪問總經辦和服務器，其餘全部部門均不能訪問；
   (3) 生產部能夠訪問總經辦和辦公部，可是不容許訪問服務器、網管部和財務部；
   (4) 辦公部能夠總經辦、生產部、服務器、網管，可是不容許訪問財務部；
6. 學會經過wireshark軟件抓包分析數據流通訊過程；

3、實驗拓撲圖及IP地址規劃（注意：拓撲圖和地址規劃以本身實驗爲準）

IP地址規劃：（注意：詳細地址規劃參考以上拓撲圖）
拓撲圖的地址及接口僅供參考，具體以你們實際網絡結構和接口爲準。
注意：地址規劃每一個人都不同，與每一個學生班級及學號掛鉤，一下表格中的X爲所在班級號，Y爲學號，本人爲2班27號。

4、實驗步驟及思路

步驟一：分別在接入層SW一、SW2上建立vlan10和vlan20，並將接口加入相對應的VLAN中；（截圖）

1） 分別對三個交換機進行重命名爲HX-SW0,JR-SW1,JR-SW2，並更改相應時鐘：

HX-SW0:

JR-SW1:

JR-SW2:

在接入層交換機上建立本身須要的vlan，將鏈接終端的接口開啓access，加入到對應的vlan中：

步驟二：將接入層交換機與核心交換機相連的接口均配置爲trunk；（截圖）

JR-SW1:

JR-SW2:

HX-SW0:

步驟三：總部和分部在覈心交換機上分別建立總經辦、財務部、生產和辦公的網關地址；（截圖）

用show ip route 來檢驗覈心交換機是否開啓路由功能：

由上可知核心交換機未打開路由功能；

則進行如下操做：

出現上圖則路由功能已打開。

步驟四：公司內部各個三層設備之間路由接口進行IP地址配置；（同下）

步驟五：核心交換機上DHCP服務器配置；

先使用 no ip domain-lookup 禁用域名查找：

建立DHCP地址池：（ZJB,CW,SC,BG）

打開電腦的DHCP請求服務：

測試DHCP分配的地址是否能用：

在HX-SW0上輸入 show ip dhcp binding 查看生成的IP地址：

步驟六：ACL配置：

在實驗四的基礎上在覈心交換機上添加vlan1 和 vlan50：

給vlan50 進行命名等操做：

給vlan50配access接口（不是trunk）：

查看trunk接口F0/1,F0/2:

使用show run 查看：

步驟八：讓各個部門的PC經過DHCP動態獲取地址，給服務器手動配置IP地址。（截圖）（先點擊Static,再點擊DHCP）

服務器Ping通成功，說明各個主機之間能夠進行相互訪問：

步驟九：根據流量訪問控制需求，進行連通性測試。

1）財務部只能訪問總經辦和服務器，其餘全部部門均不能訪問；

查看：

進行調用：

測試：

2）生產部能夠訪問總經辦和辦公部，可是不容許訪問服務器、網管部和財務部；

查看：

進行測試：

3）辦公部能夠總經辦、生產部、服務器、網管，可是不容許訪問財務部；

調用並查看：

測試：

4、實驗測試及截圖說明：

1. vlan和trunk測試（注意：截圖並說明）

2. 接口IP地址測試

3. 路由表測試：

4. DHCP服務器部署測試：

5. ACL測試：

6. 業務連通性測試：

6、實驗總結：

經過今天關於網絡訪問控制技術ACL技術課程的學習，我瞭解到了訪問控制列表ACL能夠定義一系列不一樣的規則，設備根據這些規則對數據包進行分類，並針對不一樣類型的報文進行不一樣的處理，從而能夠實現對網絡訪問行爲的控制、限制網絡流量、提升網絡性能、防止網絡攻擊等等；經過結合實驗和理論瞭解了經過核心交換機上部署三層網關實現不一樣業務之間的訪問以及熟悉DHCP地址分配的工做原理和基本配置。
總之，經過此次的項目實訓，能夠對ACL訪問控制有一個較爲全面的理解，並對平常生活中遇到的一些關於這方面的問題有必定的處理能力，爲之後更加深刻學習ACL訪問控制奠基了基礎。