网络攻防实训 第七天

实验七：企业网流量访问控制技术组网

1、ACL技术应用场景

访问控制列表ACL（Access Control List）能够定义一系列不一样的规则，设备根据这些规则对数据包进行分类，并针对不一样类型的报文进行不一样的处理，从而能够实现对网络访问行为的控制、限制网络流量、提升网络性能、防止网络攻击等等。

2、实验任务及需求

1. 经过VLAN技术实现不一样业务之间的隔离，其中vlan10为总经办、vlan20为财务部、vlan30为生产部、vlan40为办公部、vlan50为服务器、vlan1为网管业务；
2. 经过trunk技术实现相同vlan跨交换机访问；
3. 经过核心交换机上部署三层网关实现不一样业务之间的访问；
4. 熟悉DHCP地址分配的工做原理和基本配置；
5. ACL需求：
   (1) 总经办能够访问全部业务部门；
   (2) 财务部只能访问总经办和服务器，其余全部部门均不能访问；
   (3) 生产部能够访问总经办和办公部，可是不容许访问服务器、网管部和财务部；
   (4) 办公部能够总经办、生产部、服务器、网管，可是不容许访问财务部；
6. 学会经过wireshark软件抓包分析数据流通讯过程；

3、实验拓扑图及IP地址规划（注意：拓扑图和地址规划以本身实验为准）

IP地址规划：（注意：详细地址规划参考以上拓扑图）
拓扑图的地址及接口仅供参考，具体以你们实际网络结构和接口为准。
注意：地址规划每一个人都不同，与每一个学生班级及学号挂钩，一下表格中的X为所在班级号，Y为学号，本人为2班27号。

4、实验步骤及思路

步骤一：分别在接入层SW一、SW2上建立vlan10和vlan20，并将接口加入相对应的VLAN中；（截图）

1） 分别对三个交换机进行重命名为HX-SW0,JR-SW1,JR-SW2，并更改相应时钟：

HX-SW0:

JR-SW1:

JR-SW2:

在接入层交换机上建立本身须要的vlan，将链接终端的接口开启access，加入到对应的vlan中：

步骤二：将接入层交换机与核心交换机相连的接口均配置为trunk；（截图）

JR-SW1:

JR-SW2:

HX-SW0:

步骤三：总部和分部在核心交换机上分别建立总经办、财务部、生产和办公的网关地址；（截图）

用show ip route 来检验核心交换机是否开启路由功能：

由上可知核心交换机未打开路由功能；

则进行如下操做：

出现上图则路由功能已打开。

步骤四：公司内部各个三层设备之间路由接口进行IP地址配置；（同下）

步骤五：核心交换机上DHCP服务器配置；

先使用 no ip domain-lookup 禁用域名查找：

建立DHCP地址池：（ZJB,CW,SC,BG）

打开电脑的DHCP请求服务：

测试DHCP分配的地址是否能用：

在HX-SW0上输入 show ip dhcp binding 查看生成的IP地址：

步骤六：ACL配置：

在实验四的基础上在核心交换机上添加vlan1 和 vlan50：

给vlan50 进行命名等操做：

给vlan50配access接口（不是trunk）：

查看trunk接口F0/1,F0/2:

使用show run 查看：

步骤八：让各个部门的PC经过DHCP动态获取地址，给服务器手动配置IP地址。（截图）（先点击Static,再点击DHCP）

服务器Ping通成功，说明各个主机之间能够进行相互访问：

步骤九：根据流量访问控制需求，进行连通性测试。

1）财务部只能访问总经办和服务器，其余全部部门均不能访问；

查看：

进行调用：

测试：

2）生产部能够访问总经办和办公部，可是不容许访问服务器、网管部和财务部；

查看：

进行测试：

3）办公部能够总经办、生产部、服务器、网管，可是不容许访问财务部；

调用并查看：

测试：

4、实验测试及截图说明：

1. vlan和trunk测试（注意：截图并说明）

2. 接口IP地址测试

3. 路由表测试：

4. DHCP服务器部署测试：

5. ACL测试：

6. 业务连通性测试：

6、实验总结：

经过今天关于网络访问控制技术ACL技术课程的学习，我了解到了访问控制列表ACL能够定义一系列不一样的规则，设备根据这些规则对数据包进行分类，并针对不一样类型的报文进行不一样的处理，从而能够实现对网络访问行为的控制、限制网络流量、提升网络性能、防止网络攻击等等；经过结合实验和理论了解了经过核心交换机上部署三层网关实现不一样业务之间的访问以及熟悉DHCP地址分配的工做原理和基本配置。
总之，经过此次的项目实训，能够对ACL访问控制有一个较为全面的理解，并对平常生活中遇到的一些关于这方面的问题有必定的处理能力，为之后更加深刻学习ACL访问控制奠基了基础。