《电子科技大学历年分数线(学校及学院)》由会员分享,可在线阅读,更多相关《电子科技大学历年分数线(学校及学院)(10页珍藏版)》请在人人文库网上搜索。
1、实验一实验名称:交换机的端口安全配置。实验目的:掌握交换机的端口安全功能。技术原理:利用交换机的端口安全功能可以防止局域网大部分的内部攻击对用户、网络设备造成的破坏。如MAC地址攻击、ARP攻击、IP/MAC地址欺骗等。交换机端口安全有限制交换机端口的最大连接数和端口的安全地址绑定两种基本功能实现功能:查看交换机的各项参数。实验设备:S2126G一台,主机一台,直连网线一根。实验拓朴:S2126ConsoleF0/5com1NIC实验步骤:1.配置交换机端口最大连接数限制。Switch(config)#interface range fastethernet 0/1-23 ! 进行一组端口的配。
2、置。Switch(config-if-range)# switchport port-security ! 开放交换机端口的安全功能。Switch(config-if-range)#switchport port-security maximum 1 ! 配置端口的最大连接数为1。Switch(config-if-range)#switchport port-security violation shutdown ! 配置安全违例的处理方式为shutdown.Switch#show port-security !查看交换机端口的安全配置。Secure Port MaxSecureAddr(co。
3、unt) CurrentAddr(count) Security Action- - - -Fa0/1 1 0 ShutdownFa0/2 1 0 ShutdownFa0/3 1 0 ShutdownFa0/4 1 0 ShutdownFa0/5 1 0 ShutdownFa0/6 1 0 ShutdownFa0/7 1 0 ShutdownFa0/8 1 0 ShutdownFa0/9 1 0 ShutdownFa0/10 1 0 ShutdownFa0/11 1 0 ShutdownFa0/12 1 0 ShutdownFa0/13 1 0 ShutdownFa0/14 1 0 Shutd。
4、ownFa0/15 1 0 ShutdownFa0/16 1 0 ShutdownFa0/17 1 0 ShutdownFa0/18 1 0 ShutdownFa0/19 1 0 ShutdownFa0/20 1 0 ShutdownFa0/21 1 0 ShutdownFa0/22 1 0 ShutdownFa0/23 1 0 Shutdown2配置交换机端口的地址绑定。Switch(config)#interface fastethernet 0/3Switch(config-if)#switchport port-securitySwitch(config-if)#switchport 。
5、port-security mac-address 0006.1bde.13b4 ip-address 172.16.1.55 ! 配置IP地址和MAC地址的绑定,MAC地址用 ipconfig /all命令。Switch#show port-security address !查看地址安全绑定配置。Vlan Mac Address IP Address Type Port Remaining Age(mins)- - - - - -1 0016.ecd3.9136 63.5.8.2 Configured Fa0/3 -注意事项:1.交换机端口安全功能只能在ACCESS接口进行配置。2交换机最。
6、大连接数限制取值范围是1128,默认128。3交换机最大连接数限制默认的处理方式是protect。4.有三种安全违例处理方式:l Protect:当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包。l RestrictTrap:当违例产生时,将发送一个Trap通知。l Shutdown:当违例产生时,将关闭端口并发送一个Trap通知。5. 当端口因为违例而被关闭后,在全局配置模式下使用命令errdisable recovery 来将接口从错误状态中恢复过来。实验二实验名称:标准IP访问控制列表。实验目的:掌握路由器上标准IP访问控制列表规则及配置。技术原理:I。
7、P访问控制是对经过网络设备的数据包根据一定的规则进行数据包的过滤,达到安全的目的。标准访问列表根据数据包源IP地址进行规则定义。1.定义标准ACL编号的标准访问列表Router(config)#access-list permit|deny 源地址 反掩码命名的标准访问列表switch(config)# ip access-list standard switch(config-std-nacl)#permit|deny 源地址 反掩码2.应用ACL到接口Router(config-if)#ip access-group in | out 实现功能:实现网段间相互访问的安全控制。实验设备:R1。
8、762路由器两台,V.35线缆一条,直连线或交叉线三根。实验拓朴:实验步骤:1. router1基本配置。Router(config)#hostname router1Router1(config)#interface fastethernet 1/0Router1(config-if)#ip address 172.16.1.1 255.255.255.0 Router1(config-if)#no shutdownRouter1(config)#interface fastethernet 1/1Router1(config-if)#ip address 172.16.2.1 255.25。
9、5.255.0Router1(config-if)#no shutdownRouter1(config)#interface serial 1/2Router1(config-if)#ip add 172.16.3.1 255.255.255.0Router1(config-if)#clock rate 64000Router1(config-if)#no shutdownRouter1(config-if)#endRouter1#show ip interface brief ! 查处接口状态。Interface IP-Address(Pri) OK? Statusserial 1/2 17。
10、2.16.3.1/24 YES DOWNserial 1/3 no address YES DOWNFastEthernet 1/0 172.16.1.1/24 YES DOWNFastEthernet 1/1 172.16.2.1/24 YES DOWNNull 0 no address YES UP2. router2基本配置。Router(config)#hostname router2Router2(config)#interface fastethernet 1/0Router2(config-if)#ip address 172.16.4.1 255.255.255.0 Route。
11、r2(config-if)#no shutdownRouter2(config)#interface serial 1/2Router2(config-if)#ip add 172.16.3.2 255.255.255.0Router2(config-if)#no shutdownRouter2(config-if)#endRouter2#show ip interface brief ! 查处接口状态。Interface IP-Address(Pri) OK? Statusserial 1/2 172.16.3.2/24 YES DOWNserial 1/3 no address YES D。
12、OWNFastEthernet 1/0 172.16.4.1/24 YES DOWNFastEthernet 1/1 no address YES DOWNNull 0 no address YES UPRouter1(config)#ip route 172.16.4.0 255.255.255.0 serial 1/2 !配置静态路由。Router2(config)#ip route 172.16.1.0 255.255.255.0 serial 1/2 !配置静态路由。Router2(config)#ip route 172.16.2.0 255.255.255.0 serial 1/2。
13、 !配置静态路由。Router1#show ip route !查看路由表信息。Codes: C - connected, S - static, R - RIPO - OSPF, IA - OSPF inter areaN1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2E1 - OSPF external type 1, E2 - OSPF external type 2* - candidate defaultGateway of last resort is no setC 172.16.3.0/24 is dir。
14、ectly connected, serial 1/2C 172.16.3.1/32 is local host.S 172.16.4.0/24 is directly connected, serial 1/2注意:两台路由器没连接之前只能显示:Codes: C - connected, S - static, R - RIPO - OSPF, IA - OSPF inter areaN1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2E1 - OSPF external type 1, E2 - OSPF extern。
15、al type 2* - candidate defaultGateway of last resort is no setRouter2#show ip route !查看路由表信息。Codes: C - connected, S - static, R - RIPO - OSPF, IA - OSPF inter areaN1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2E1 - OSPF external type 1, E2 - OSPF external type 2* - candidate defaultG。
16、ateway of last resort is no setS 172.16.1.0/24 is directly connected, serial 1/2S 172.16.2.0/24 is directly connected, serial 1/2C 172.16.3.0/24 is directly connected, serial 1/2C 172.16.3.2/32 is local host.3配置标准访问控制列表。Router2(config)#access-list 1 deny 172.16.2.0 0.0.0.255 !拒绝来自172.16.2.0网段的流量通过。R。
17、outer2(config)#access-list 1 permit 172.16.1.0 0.0.0.255 !允许来自172.16.1.0网段的流量通过。Router2#show access-lists 1Standard IP access list 1 includes 2 items:deny 172.16.2.0, wildcard bits 0.0.0.255permit 172.16.1.0, wildcard bits 0.0.0.2554.在接口下应用访问控制列表。Router2(config)#interface fastethernet 1/0Router2(con。
18、fig-if)#ip access-group 1 out ! 访问列表的出栈应用Router2#show ip interface fastethernet 1/0FastEthernet 1/0IP interface state is: DOWNIP interface type is: BROADCASTIP interface MTU is: 1500IP address is:172.16.4.1/24 (primary)IP address negotiate is: OFFForward direct-boardcast is: ONICMP mask reply is: ON。
19、Send ICMP redirect is: ONSend ICMP unreachabled is: ONDHCP relay is: OFFFast switch is: ONRoute horizontal-split is: ONHelp address is: 0.0.0.0Proxy ARP is: ONOutgoing access list is 1.Inbound access list is not set.5.验证测试。(172.16.2.0网段的主机不能ping通172.16.4.0网段的主机,172.16.1.0网段的主机能ping通172.16.4.0网段的主机)注。
20、意事项:1.访问控制列表的网络掩码是反掩码。2访问控制列表要尽量应用在靠近目的地址的接口。3. 路由器或三层交换机缺省允许所有的信息流通过; 而防火墙缺省封锁所有的信息流,然后对希望提供的服务逐项开放。4. 从头到尾,至顶向下的匹配方式,匹配成功马上停止,执行规则中的deny或permit5. 一个端口在一个方向上只能应用一组ACL实验三实验名称:扩展IP访问控制列表。实验目的:掌握三层交换机上扩展IP访问控制列表规则及配置。技术原理:扩展访问列表根据数据包中源IP、目的IP、源端口、目的端口、协议进行规则定义。1.定义扩展的ACL编号的扩展ACLSwitch(config)#access-l。
21、ist permit /deny 协议 源地址 反掩码 源端口 目的地址 反掩码 目的端口 命名的扩展ACLSwitch(config)#ip access-list extended name permit /deny 协议 源地址 反掩码源端口 目的地址 反掩码 目的端口 2.应用ACL到接口Switch(config-if)#ip access-group in | out 实现功能:实现网段间相互访问的安全控制。实验设备:S3350交换机一台,PC三台,直连线三根。实验拓朴:实验步骤:1. 基本配置。Switch(config)#vlan 10Switch(config-vlan)#n。
22、ame serverSwitch(config)#vlan 20Switch(config-vlan)#name teacherSwitch(config)#vlan 30Switch(config-vlan)#name studentSwitch(config)#interface fa0/5Switch(config-if)#switchport mode accessSwitch(config-if)#switchport access vlan 10Switch(config)#interface fa0/10Switch(config-if)#switchport mode acce。
23、ssSwitch(config-if)#switchport access vlan 20Switch(config)#interface fa0/15Switch(config-if)#switchport mode accessSwitch(config-if)#switchport access vlan 30Switch(config)#inter vlan 10Switch(config-if)#ip add 192.168.1.1 255.255.255.0Switch(config-if)#no shutdownSwitch(config)#inter vlan 20Switch。
24、(config-if)#ip add 192.168.2.1 255.255.255.0Switch(config-if)#no shutdownSwitch(config)#inter vlan 30Switch(config-if)#ip add 192.168.3.1 255.255.255.0Switch(config-if)#no shutdown2.配置扩展IP访问控制列表。Switch(config)#ip access-list extended denystudentwww !命名Switch(config-ext-nac1)#deny tcp 192.168.3.0 0.0。
25、.0.255 192.168.1.0 0.0.0.255 eq www !禁止WWW服务。Switch(config-ext-nacl)#permit ip any any ! 允许其它服务。Switch#show ip access-lists denystudent www3.在接口下应用访问控制列表。Switch(config)#inter vlan 30Switch(config-if)ip access-group denystudentwww in4.配置WEB服务器(参见局域网实验)。5.验证测试。(VLAN 30中的主机pc3不能访问WEB服务器pc1,VLAN 20中的主机p。
26、c2能访问WEB服务器pc1。)注意事项:1.访问控制列表的网络掩码是反掩码。2访问控制列表要在接口下应用。3Deny某网段后要permit其它网段。4. 一个端口在一个方向上只能应用一组ACL实验四实验名称:基于时间的访问控制列表。实验目的:掌握基于时间对网络进行访问控制,提高网络的使用效率和安全性。实现功能:基于时间段对网络进行访问控制的IP访问控制列表的配置。实验设备:R1762路由器一台,直连线或交叉线二根。实验拓朴:实验步骤:1. router1基本配置。Router(config)#interface fastethernet 1/0Router(config-if)#ip add。
27、ress 172.16.1.1 255.255.255.0 Router(config-if)#no shutdownRouter(config)#interface fastethernet 1/1Router(config-if)#ip address 192.168.1.1 255.255.255.0Router(config-if)#no shutdownRouter#show ip interface brief !查看路由器接口的状态。Interface IP-Address(Pri) OK? Statusserial 1/2 no address YES DOWNserial 1。
28、/3 no address YES DOWNserial 2/0 no address YES DOWNserial 2/1 no address YES DOWNFastEthernet 1/0 172.16.1.1/24 YES UPFastEthernet 1/1 192.168.1.1/24 YES UPNull 0 no address YES UP2.配置路由器的时钟。Router#show clockclock: 2008-1-13 2:0:25Router#clock set 12:40:08 15 april 2007! 设置路由器的时钟。3定义时间段。Router(conf。
29、ig)#time-range freetime Router(config-time-range)#absolute start 8:00 1 jan 2008 end 18:00 31 dec 2010 !定义绝对时间段。Router(config-time-range)#periodic daily 0:00 to 8:00 ! 定义周期性时间段Router(config-time-range)#periodic daily 17:00 to 23:59 ! 定义周期性时间段,此处不能写24:00。Router#show time-range freetime ! 查看时间段配置。time。
30、-range entry: freetime (inactive)absolute start 08:00 01 January 2008 end 18:00 31 December 2010periodic Daily 0:00 to 8:00periodic Daily 17:30 to 23:594.定义访问控制列表规则。Router(config)#access-list 100 permit ip any host 192.168.1.2 !定义扩展访问控制列表,允许访问主机192.168.1.2。Router(config)#access-list 100 permit ip an。
31、y any time-range freetime !允许在规定的时间段访问任何网络。Router#show access-lists 100Extended IP access list 100 includes 2 items:permit ip any host 192.168.1.2permit ip any any time-range freetime (inactive)5. 在接口下应用访问控制列表。Router(config)#inter fa 1/0Router(config-if)ip access-group 100 inRouter#show ip interface。
32、 fa 1/0FastEthernet 1/0IP interface state is: DOWNIP interface type is: BROADCASTIP interface MTU is: 1500IP address is:172.16.1.1/24 (primary)IP address negotiate is: OFFForward direct-boardcast is: ONICMP mask reply is: ONSend ICMP redirect is: ONSend ICMP unreachabled is: ONDHCP relay is: OFFFast。
33、 switch is: ONRoute horizontal-split is: ONHelp address is: 0.0.0.0Proxy ARP is: ONOutgoing access list is not set.Inbound access list is 100.6. 配置WEB服务器(IP:192.168.1.2)(参见局域网实验)。7.验证测试。(把路由器的时间分别修改上班时间和非上班时间对WEB服务器(192.168.1.2)进行访问,此时都能访问WEB服务器。再把WEB服务器IP更换为192.168.1.5,这时,上班时间不能访问,但非上班时间可以访问。请读者自己测试。)注意事项:1.要校正路由器的系统时钟。2Time-range接口上允许配置一条absolute规则和多条periodic规则。规则匹配时只要匹配任意一条就认为匹配成功。ACL先匹配absolute规则然后匹配periodic规则。
189
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
