高级网络安全管理员 - 网络设备和安全配置:三层交换机和ACL配置

最新推荐文章于 2024-05-21 11:40:53 发布
最新推荐文章于 2024-05-21 11:40:53 发布
阅读量1.9k 收藏 7
点赞数 2
分类专栏: 网络攻防 学习笔记 文章标签: 安全 web安全 思科模拟器 Cisco 三层交换机 ACL配置
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62617719/article/details/133861857
版权

文章目录

使用软件Cisco Packet Tracer(思科模拟器)

在这里插入图片描述

Cisco Packet Tracer 是由Cisco公司发布的一个辅助学习工具,为学习思科网络课程的初学者去设计、配置、排除网络故障提供了网络模拟环境。用户可以在软件的图形用户界面上直接使用拖曳方法建立网络拓扑,并可提供数据包在网络中行进的详细处理过程,观察网络实时运行情况。可以学习IOS的配置、锻炼故障排查能力。

Packet Tracer是一个功能强大的网络仿真程序,允许学生实验与网络行为,问“如果”的问题。随着网络技术学院的全面的学习经验的一个组成部分,包示踪提供的仿真,可视化,编辑,评估,和协作能力,有利于教学和复杂的技术概念的学习。

Packet Tracer补充物理设备在课堂上允许学生用的设备,一个几乎无限数量的创建网络鼓励实践,发现,和故障排除。基于仿真的学习环境,帮助学生发展如决策第二十一世纪技能,创造性和批判性思维,解决问题。Packet Tracer补充的网络学院的课程,使教师易教,表现出复杂的技术概念和网络系统的设计。

Packet Tracer软件是免费提供的唯一的网络学院的教师,学生,校友,和管理人员,注册学校连接的用户。

附软装安装包

版本8.0,百度网盘自取
链接:https://pan.baidu.com/s/1GLVmHl_2nH5j_u-icNWzQg
提取码:6w9t

三层交换机简介

三层交换机就是具有部分路由器功能的交换机,工作在OSI网络标准模型的第三层:网络层。三层交换机的最重要目的是加快大型局域网内部的数据交换,所具有的路由功能也是为这目的服务的,能够做到一次路由,多次转发。
在这里插入图片描述

对于数据包转发等规律性的过程由硬件高速实现,而像路由信息更新、路由表维护、路由计算、路由确定等功能,由软件实现。

ACL简介

ACL技术在路由器中被广泛采用,它是一种基于包过滤的流控制技术。控制列表通过把源地址、目的地址及端口号作为数据包检查的基本元素,并可以规定符合条件的数据包是否允许通过。ACL通常应用在企业的出口控制上,可以通过实施ACL,可以有效的部署企业网络出网策略。随着局域网内部网络资源的增加,一些企业已经开始使用ACL来控制对局域网内部资源的访问能力,进而来保障这些资源的安全性。

三层交换机和ACL配置

为了保障网络的安全性,在网络中配置访问控制列表,实现非授权用户禁止访问相关VLAN。

配置要求如下:

设备名称IP地址
PC0192.168.100.100/24
PC1192.168.100.200/24
PC2192.168.200.100/24
PC3192.168.200.200/24
VLAN 100192.168.100.254/24
VLAN 200192.168.200.254/24

1.在网络中分别划分VLAN100和VLAN200。
2.将PC1和PC0放入VLAN 100,将PC3和PC2放入VLAN200。
3.给分别给VLAN100和VLAN 200配置VLAN IF地址,地址为192.168.100.254/24和192.168.200.254/24。
4.交换机上配置标准的访问控制列表,禁止非授权用户PC0访问VLAN200,其余访问不受限

一,绘制拓扑图

1,添加三层交换机
在这里插入图片描述

2,添加PC机
在这里插入图片描述
3,连接交换机和PC机
在这里插入图片描述

二,配置PC机的IP地址

IP地址表
在这里插入图片描述

PC0

1,单击PC0,打开设置界面
在这里插入图片描述

2,选择Desktop,单击IP configuration
在这里插入图片描述
3,输入PC0 IP地址后,单击子网掩码自动生成
在这里插入图片描述

PC1

在这里插入图片描述

PC2

在这里插入图片描述

PC3

在这里插入图片描述

三,配置三层交换机

(一)创建vlan

1,单击三层交换机,选择cli,进入配置窗口
在这里插入图片描述

2,输入no,进入用户模式

% Please answer 'yes' or 'no'.
Would you like to enter the initial configuration dialog? [yes/no]: no


Press RETURN to get started!



Switch>

Switch>en
Switch#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)#vlan 100
Switch(config-vlan)#vlan 200
Switch(config-vlan)#exit
Switch(config)#

(二)给vlan配置ip地址

Switch(config)#int vlan 100
Switch(config-if)#
%LINK-5-CHANGED: Interface Vlan100, changed state to up

Switch(config-if)#ip add 192.168.100.254 255.255.255.0
Switch(config-if)#int vlan 200
Switch(config-if)#
%LINK-5-CHANGED: Interface Vlan200, changed state to up

Switch(config-if)#ip add 192.168.200.254 255.255.255.0
Switch(config-if)#exit
Switch(config)#

(三)划分端口到vlan中

Switch(config)#int range f0/1-2
Switch(config-if-range)#swi mode acc
Switch(config-if-range)#swi acc vlan 100
Switch(config-if-range)#
%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan100, changed state to up

Switch(config-if-range)#int range f0/3-4
Switch(config-if-range)#swi mode acc
Switch(config-if-range)#swi acc vlan 200
Switch(config-if-range)#
%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan200, changed state to up

Switch(config-if-range)#exit
Switch(config)#

(四)打开三层交换机的路由模式

Switch(config)#ip routing
Switch(config)#

(五)配置标准的访问控制列表,禁止非授权用户PC1访问VLAN200,其余访问不受限

Switch(config)#access-list 1 deny 192.168.100.100
Switch(config)#access-list 1 permit any
Switch(config)#int vlan 200
Switch(config-if)#ip access-group 1 out
Switch(config-if)#end
Switch#
%SYS-5-CONFIG_I: Configured from console by console

Switch#wri
Building configuration...
[OK]
Switch#

四,使用命令检查配置

单击PC0,选择desktop——command prompt
在这里插入图片描述

pc0是无法正常访问vlan200中的机器的,所以是ping不通pc2和pc3的

(一)pc0 ping 其余机器

在这里插入图片描述

如上图所示正常

(二)pc1 ping 其他机器

按配置来说,pc1是可以正常访问所有机器的,下面使用ping命令实验
在这里插入图片描述

五,错误解决

如上述操作完成后,ping的结果是vlan100和vlan200直接的机器是不能通信的,经过检查交换机配置,发现没有错误,检查机器配置时发现三层交换机机通信需要配置网关,但是每个pc都没有配置网关,所以不通通信。

网关配置对应表,因为pc0-1在vlan 100中,所以网关为192.168.100.254;pc2-3在vlan 200中所以网关为192.168.200.254。

机器名网关
PC0192.168.100.254
PC1192.168.100.254
PC2192.168.200.254
PC3192.168.200.254

PC0配置如下图:
在这里插入图片描述
最后结果如上《四,使用命令检查配置》所示,配置完成,收工。

梁辰兴
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
三、实验3——思科模拟器Cisco Packet Tracer配置接口IP
锦慈的技术博客
06-27 1212
在因特网,IP地址是能使连接到网上的所有计算机网络实现相互通信的一套规则,规定了计算机在因特网上进行通信时应当遵守的规则。任何厂家生产的计算机系统,只要遵守IP协议就可以与因特网互连互通。第一步:根据拓扑图,配置PC0的地址使 192.168.1.2,R1的地址使192.168.1.1(图示路由器2911)至此实验完结,此实验是让大家学会怎么配置PC和路由器接口的地址,后续文档将不再重复。第二步:验证PC0到R1互连接口的通信(此步骤很重要,必须验证)安装模拟器的Windows系统。
H3C IE4320 TSN 系列工业交换机 配置指导-整本手册
07-15
H3C IE4320 TSN 系列工业交换机 配置指导-整本手册
网络设备安全配置规范.docx
06-10
网络设备安全配置规范全文共19页,当前为第1页。网络设备安全配置规范全文共19页,当前为第1页。 网络设备安全配置规范全文共19页,当前为第1页。 网络设备安全配置规范全文共19页,当前为第1页。 网络设备安全配置规范 CISCO路由器及基于CISCO IOS 的三层交换模块部分 网络设备安全配置规范全文共19页,当前为第2页。网络设备安全配置规范全文共19页,当前为第2页。目录 网络设备安全配置规范全文共19页,当前为第2页。 网络设备安全配置规范全文共19页,当前为第2页。 第一部分 设备的安全机制 8 1 访问控制 8 2 数据加密 8 3 日志问题 8 4 防攻击能力 9 第二部分 设备安全配置建议 10 1 访问控制列表及其管理 10 1.1 访问控制列表特性 10 1.2 访问控制列表应用 10 1.3 实施原则 12 3 网管及认证问题 22 3.1 远程登录 22 3.1.1 远程登录的原则 22 3.1.2 启用SSH服务 22 3.1.3 登录空闲时间 23 3.1.4 登录尝试次数 24 3.1.5 并发登录个数 24 3.1.6 采用访问列表严格控制访问的地址 24 3.2 帐号和密码管理 25 3.3 帐号认证和授权 26 3.3.1 本机认证和授权 26 3.3.2 AAA认证 26 3.3.3 RADIUS认证方式 26 3.3.4 TACACS+认证方式 27 网络设备安全配置规范全文共19页,当前为第3页。网络设备安全配置规范全文共19页,当前为第3页。第一部分 设备的安全机制 网络设备安全配置规范全文共19页,当前为第3页。 网络设备安全配置规范全文共19页,当前为第3页。 该部分内容对Cisco路由器和基于Cisco IOS的交换机及其三层处理模块自身的安全机制进行简单描述,对每种安全机制可以解决什么问题进行阐述。 访问控制 Cisco设备具有强大的访问控制能力,具体如下: 可以实现对远程登录并发个数和空闲时长的限制; 支持使用SSH代替Telnet,并提供ACL对用户登陆进行严格控制; 支持AAA认证和授权; 支持snmp管理认证、限制TRAP主机,修改TRAP端口等; 路由协议的认证支持RIP、OSPF和BGP MD5认证,同时也支持密码明文认证; 数据加密 CISCO设备的数据加密能力主要有: 支持SSH替代Telnet,可以在网络传递加密的用户名和密码; 对于enable密码,使用加密的enable secret,并且密码可以通过service password-encryption命令,进行密码加密; 提供Cisco加密技术(CET); IPSec技术实现数据传输的加密技术。 网络设备安全配置规范全文共19页,当前为第4页。网络设备安全配置规范全文共19页,当前为第4页。日志问题 网络设备安全配置规范全文共19页,当前为第4页。 网络设备安全配置规范全文共19页,当前为第4页。 Cisco设备将LOG信息分成八个级别,由低到高分别为debugging、informational、notifications、warnings、errors、critical、alerts、emergencies。可以设置将一定级别的LOG消息通过SYSLOG、SNMP TRAP传递给SERVER长期保存,对SERVER的地址可以进行严格控制。 防攻击能力 Cisco设备的防攻击能力主要体现如下: 可以通过对Q0S技术的配置,起到自身的防护的能力,它支持排队技术、CAR和GTS等; 结合强大的ACL命令,用于自身以及网络的防攻击,支持标准访问控制列表、扩展的访问控制列表、动态访问列表、自反访问列表、基于时间的访问控制列表、基于上下文的访问控制列表,从而保证了强大的防攻击能力; 支持黑洞路由; 支持源路由检查。 对QOS属性的说明如下:Cisco设备通过配置QOS属性具有一定的自动攻击检测和防范机制。如排队技术、CAR、GTS,都通过对网络流量控制,在一定程度上实现对攻击的防护。排队技术允许用户按照报文优先级的顺序,定义报文从接口发送的顺序,从而控制路由器接口的拥塞。这样我们可以对已经明确的安网络设备安全配置规范全文共19页,当前为第5页。网络设备安全配置规范全文共19页,当前为第5页。全流量设置高优先级,让这些流量优先通过,而丢弃低优先级流量,在一定程度上丢弃了一些攻击包;CAR是Committed Access Rate的简写,意思是:承诺访问速率,允许某一设备严格地限制流入或流出某一接口流量数量的一种技术。CAR软件确保只有指定数量的流量被发送或接收,而其他的流量会被丢弃。流量整形技术GTS,与CAR技术相似,都是通过定义参数来对流量分类,并按这些分类来管理流量。区别在于整形试图缓冲流量,并尽
思科模拟器--07.三层交换机实验配置--24.5.21
最新发布
2301_81989907的博客
05-21 1247
查看当前的路由信息(当前会发现啥也没有的,小编此时就傻了的!将交换机(管理该系列的f0/5-6接口,上面的也一样)端口设置为接入模式。计算机领域里并没有黑魔法,有的只是我们不知道的一些知识罢了,将PC1~6的F0依次按交换机的接口Fa/1~6相连接。第1步:(配置个人电脑的IP地址,子网掩码和默认路由)配置vl 2的IP地址为: 192.168.1.254。将交换机的f0/1-2系列接口划分vlan 2。将f0/3-4系列的接口划分到vl 3。进入f0/1-2系列的vl接口配置模式。
思科三层交换机配置命令
10-01
主要介绍了思科三层交换机配置命令,需要的朋友可以一起看看
关于Cisco Packet Tracer三层交换机路由配置
weixin_58235104的博客
05-01 8989
步骤1:交换机trunk配置 交换机sw1配置 Switch>en Switch#conf t Switch(config)#ho sw1 sw1(config)#int f0/2 sw1(config-if)#sw mo tr sw1(config-if)#exit 交换机sw2配置 Switch>en Switch#conf t Switch(config)#ho sw2 sw2(config)#int f0/2 sw2(config-if)#sw mo tr sw2(...
三层交换机配置ACL访问控制(标准控制和扩展控制)策略的应用
zhang_yazhou的博客
05-15 6134
拓扑图示 这是一个简单的三层拓扑图示,如上图示,我们需要划分两个VLAN 10 20并且他们之间是可以通信的。 那面我们就说一说简单的配置命令吧: 在二层交换机上: 创建VLAN 10和VLAN20 进入接口把端口性质配置成access 把这个接口加入到VLAN10 激活端口 进入g0/0/1接口,把这个接口性质配置成trunk。 允许VLAN10和VLAN20通过这个trunk 在三层交换机上面配置: 创建VLAN10和VLAN20 进入VLAN10接口配置IP地址,也是内网网关 记得要激
思科模拟器ACL配置
Cisco Packet Tracer 思科模拟器知识分享
03-01 3428
本篇文章主要讲解思科模拟器ACL配置,以及ACL延伸知识
三层交换机的优势
k0sec的安全路
08-01 580
switch Switch(config)#vlan 10 Switch(config-vlan)#vlan 20 Switch(config-vlan)# Switch(config-vlan)# Switch(config-vlan)# Switch(config-vlan)#int f0/1 Switch(config-if)#sw Switch(config-if)#switchpo...
网络安全软硬件配置
Aquarius_ego的博客
09-28 6198
网络安全软硬件配置
Cisco Packet Tracer 三层路由和交换机配置
Coder的博客
11-17 1084
三层路由 不划分vlan 三层路由 划分vlan
思科三层交换机实现vlan间路由拓扑图
07-01
思科三层交换机实现vlan间路由拓扑图。使用Cisco Packet Tracer模拟器实现Cisco三层交换机实现Vlan间路由的配置脚本,内含每一步的详细操作及注释说明,包括配置接入层交换机、配置核心交换机、配置firewall路由器、配置ISP互联网路由器、配置分公司路由器、配置Wlan无线接入、配置PPPoe、配置voip
工控安全职业证书技能实践:工控设备安全配置核查.docx
07-09
实验步骤包括四个任务:搭建网络拓扑图、配置路由器网关、配置三层交换机配置DNS服务器。 4.1 搭建网络拓扑图 搭建网络拓扑图是实验的第一步。需要使用网络拓扑图软件来搭建工控网络环境,包括PC、交换机、...
工控安全职业证书技能实践:工控设备访问权限配置实战.docx
07-09
1. **扩展ACL的基础配置**:ACL是一种在网络设备上实施访问控制的机制,通过定义规则来允许或拒绝特定流量。扩展ACL允许基于协议、源IP地址、目的IP地址、端口号等更详细的条件来过滤数据包。 2. **配置不同设备的...
交换机端口安全防护与配置
10-01
三层交换机不仅具备二层交换的功能,还能处理IP路由,实现不同VLAN之间的通信,并且可以应用更高级安全策略,如访问控制列表(ACL)来过滤网络流量,进一步增强网络安全。 总结来说,交换机端口安全配置包括限制...
高级工技能等级认定---网络设备安全
weixin_49345320的博客
10-30 529
高级工技能等级认定---网络设备安全
Packer Tracer实验——三层交换机
irene@1999的博客
11-11 643
实验要求:配置三层交换机实现VLAN间通信,PC0和PC1分属于两个不同的VLAN(假设PC0属于VLAN10,PC1输入VLAN20) 连接图如下所示: 对PC0,设置IP地址和默认网关如下: 对PC0,设置IP地址和默认网关如下: 然后点击交换机0->CLI,输入如下命令: 解释: ------创建vlan10 vlan10 ------设置连接主机交换机端口为access并...
思科三层交换机配置ACL(访问控制列表)的步骤讲解
热门推荐
WFlySky的博客
11-23 1万+
ACL访问控制列表是构建安全规范的网络不可缺少的,但在三层交换机配置ACL却不为一些刚进企业的初级网络管理维护人员所知。下面介绍一下在三层交换机配置ACL的试验过程。 三层交换机配置本地Vlan 实现下层接入层交换机不同Vlan互通。 PC1 192.168.20.10 VLAN 192.168.20.1 PC2 192.168.30.20 VLAN 192.168.30.1 PC3 192.168.40.30 VLAN 192.168.40.1 PC4 192.168.50.40 VLAN 192
高级网络安全管理员 - 网络设备安全配置:SSH 配置
梁辰兴的博客
10-21 2071
SSH(Secure Shell)是一种加密的网络传输协议,用于在不安全网络上提供安全的远程登录和文件传输服务。它取代了传统的Telnet和FTP等明文传输协议,提供了更加安全和可靠的数据传输方式。SSH配置主要是指在客户端和服务器上设置SSH服务的相关参数,以实现安全、高效的远程访问。以下是一些常见的SSH配置简介:安装SSH客户端:在大多数操作系统,可以通过安装对应的SSH客户端软件来实现远程访问。例如,Windows系统可以使用PuTTY,Linux和macOS系统自带SSH客户端。
华为三层交换机acl配置不通网段不能互访
07-08
对于华为三层交换机,您可以使用ACL(访问控制列表)来实现不同网段之间的互访控制。ACL可以限制流量的进出,从而实现网络安全和访问控制。 以下是一个简单的示例配置,实现两个网段之间的互访控制: 1. 创建一个ACL,设置其编号和名称: ``` [Switch] acl number 2001 [Switch-acl-basic-2001] quit ``` 2. 在ACL添加规则,允许两个网段之间的通信: ``` [Switch] acl number 2001 [Switch-acl-adv-2001] rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 [Switch-acl-adv-2001] rule permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 [Switch-acl-adv-2001] quit ``` 3. 将ACL应用到接口上,限制流量进出: ``` [Switch] interface GigabitEthernet 0/1/0 [Switch-GigabitEthernet0/1/0] packet-filter 2001 inbound [Switch-GigabitEthernet0/1/0] quit ``` 以上配置将允许192.168.1.0/24网段和192.168.2.0/24网段之间的互访。您可以根据实际需求调整ACL规则和接口应用。 请注意,具体配置可能因设备型号、软件版本和网络拓扑而有所不同。建议查阅华为交换机的官方文档或咨询华为技术支持以获取更准确和详细的配置指导。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

梁辰兴

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值