《三层交换机防火墙ACL设置》由会员分享,可在线阅读,更多相关《三层交换机防火墙ACL设置(23页珍藏版)》请在金锄头文库上搜索。
1、三层交换机防火墙ACL设置,2012 网工课程设计 组长:沈静雅 组员:周建建 王琛 吴庆彬 孙丽媛,摘要,ACL (Access Control Lists)是交换机实现的一种数据包过滤机制,通过允许或拒绝特定的数据包进出网络,交换机可以对网络访问进行控制,有效保证网络的安全运行。本设计通过对三层交换机设置防火墙,并验证在防火墙开启前后 数据通信的不同结果,充分理 解并掌握三层交换机ACL数据过滤机制。基于网络中的特定信息和IP制定一组规则,每条规则都描述了对匹配一定信息的IP段取的动作通过允许(permi t )或者是拒绝(deny)特定的ip地址进出网络,并把这些规则应用到特定的交换机端
2、口的入口或出口(如本实验中的三层交换机的1和二层交换机的24端口),交换机可以为不同的IP地址进行控制,这样特定端口上的数据流就必须依照指定的ACL规则进出交换机。从数据控制进出的根本上掌握防火墙的工作原理,对交换机ACL过滤机制的允许通过和拒绝通过规则有了实际物理层次上的理解。,引言,1.1实验背景,交换机的各种命令及设置;交换IP地址配置;交换机的Vlan划分(二层交换机划分Vlan100和Vlan200后,分属于不同Vlan的测试机之间不能相互通信);通过设置Trunk口可以实现交换机之间的通讯,即交换机组成局域网的原理,使两台测试机通过三层交换机进行通讯;通过交换机之Ttrunk口上设
3、置ACL过滤规则可以限制特定的P通讯,测试机不能完成通讯;防火墙的原理防火墙具有检测、限制、更改跨越防火墙的数据流、对外部屏蔽网络内部的信息、结构和运行状况等功能,这些功能有效地保护了网络的安全等等。,1.2实验目的,1. 了解什么是标准的ACI;2了解标准ACL不同的实现方法。,1.3实验环境,ACL(Access Control List)是交换机实现的一种数据包过滤机制,通过允许或拒绝特定的数据包进出网络,交换机可以对网络访问进行控制,有效保障网络的安全运行。用户可以基于报文中的特定信息制定一组规则(rule),每条规则都描述了对匹配了一定信息的数据包所采取的动作:允许通过(permit
4、)或拒绝通过(deny)。用户可以把这些规则应用到特定交换机的入口或出口方向,这样特定端口上特定方向的数据流就必须依照指定的ACL规则进出交换机。通过ACL,可以限制某个IP地址的PC或者某些网段的的pc的上网活动。用于网络管理。,1.4 实验要求,在交换机A和交换机B上分别划分两个基于端口的VLAN: VLAN100,VLAN200.,交换机A端口1设置成Trnuk口:,交换机B的配制如下:,PC1-PC2的网络设置为,2. 研究方法,2.1 实验设备 2.2 实验拓扑 2.3 实验步骤,2.1实验设备,1DCRS-7604或6804或5526S)交换机1台 2DCRS-3926 S交换机1
5、台 3PC机2台 4Console线1-2根 5直通网线若干,2.2 实验拓扑,2.3 实验步骤,第一步:交换机全部恢复出厂设置,在交换机中创建vlan100和vlan200,并添加端口,第二步:设置交换机Truck口交换机B:,交换机A:,第三步:交换机A添加vlan地址。,第三步:交换机A添加vlan地址。,第四步:不配制ACL验证实验,第六步:配制访问控制列表功能开启,默认动作为全开启,第七步:绑定ACL到个端口,3 验证,PC1和PC2都通过交换机A连接internet上网。 1.不配制ACL两台PC机都可以上网; 2.配制ACL后,PC1和PC2的IP都不能上网,更改了IP地址后才可
6、以上网。,测试机A和测试机B分别连接在二层交换机上划分好的Vlan100和Vlan200端口,通过测试机Aping测试机B,不通,说明两台测试机之间不能相互通讯;通过设置Trunk口实现交换机之间的通讯后,再次ping命令可以通讯,说明测试机之间通过二三层交换机之间的Trunk端口可以实现通讯;配制ACL后,测试机A和测试机B之间不能ping通,说明测试机之间因为设置了ACL后限制了特定IP的通讯。若实验结果和理论相符,则本实验完成。具体内容如下表:,第八步:验证实验,4 结论,本次课程设计,通过对55226三层交换机ACL的设置,实现了对不同IP地址限制通信。理解并掌握了防火墙数据过滤规则,对防火墙的工作原理和机制有了更深层次更具体化的了解,熟悉了交换机实验常用的命令,了解并初步掌握了三层交换机设置访问控制的方法及所需要的相关知识,学会了防火墙与三层交换机配合使用的配置方法,以及防火墙在网络安全中的基本应用和配置方法。另外,通过本次课程设计,我们进一步的了解了计算机网络的具体知识,细化了之前学过的内容,全面掌握了关于交换机的设置以及交换机之间通讯的知识,培养了对计算机网络课程的兴趣和爱好,锻炼了我们的动手设计能力和群组协作能力,对自己的学习和专业的发展有着很大的促进。,谢谢观赏,再见!,
