1、实验七 交换机基本配置一、实验目的(1)使用 R2611 模块化路由器进行网络安全策略配置学习使用路由器进行初步的网络运行配置和网络管理,行能根据需要进行简单网络的规划和设计。实验设备与器材熟悉交换机开机界面;(2)掌握 Quidway S 系列中低端交换机几种常用配置方法;(3)掌握 Quidway S 系列中低端交换机基本配置命令。二、实验环境Quidway R2611 模块化路由器、交换机、Console 配置线缆、双绞线、PC。交换机,标准 Console 配置线。三、实验内容学习使用 Quidway R2611 模块化路由器的访问控制列表(ACL)进行防火墙实验。预备知识1、防火墙防
2、火墙作为 Internet 访问控制的基本技术,其主要作用是监视和过滤通过它的数据包,根据自身所配置的访问控制策略决定该包应当被转发还是应当被抛弃,以拒绝非法用户访问网络并保障合法用户正常工作。2、包过滤技术一般情况下,包过滤是指对转发 IP 数据包的过滤。对路由器需要转发的数据包,先获取包头信息,包括 IP 层所承载的上层协议的协议号、数据包的源地址、目的地址、源端口号和目的端口号等,然后与设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。3、访问控制列表路由器为了过滤数据包,需要配置一系列的规则,以决定什么样的数据包能够通过,这些规则就是通过访问控制列表 ACL(Access C
3、ontrol List)定义的。访问控制列表是由 permit | deny 语句组成的一系列有顺序的规则,这些规则根据数据包的源地址、目的地址、端口号等来描述。ACL 通过这些规则对数据包进行分类,这些规则应用到路由器接口上,路由器根据这些规则判断哪些数据包可以接收,哪些数据包需要拒绝。访问控制列表(Access Control List )的作用 访问控制列表可以用于防火墙; 访问控制列表可用于 Qos(Quality of Service),对数据流量进行控制; 访问控制列表还可以用于地址转换; 在配置路由策略时,可以利用访问控制列表来作路由信息的过滤。一个 IP 数据包如下图所示(图中
4、 IP 所承载的上层协议为 TCP)ACL 示意图ACL 的分类按照访问控制列表的用途,可以分为四类: 基本的访问控制列表(basic acl) 高级的访问控制列表(advanced acl) 基于接口的访问控制列表(interface-based acl) 基于 MAC 的访问控制列表(mac-based acl)访问控制列表的使用用途是依靠数字的范围来指定的,10001999 是基于接口的访问控制列表,20002999 范围的数字型访问控制列表是基本的访问控制列表,30003999 范围的数字型访问控制列表是高级的访问控制列表,40004999范围的数字型访问控制列表是基于 MAC 地址访
5、问控制列表。4、防火墙的配置项目防火墙的配置包括: 允许/禁止防火墙 配置标准访问控制列表 配置扩展访问控制列表 配置在接口上应用访问控制列表的规则 设置防火墙的缺省过滤方式 设置特殊时间段 指定日志主机允许/禁止防火墙在报文过滤时,应先打开防火墙功能,这样才能使其它配置生效。请在系统视图下进行下列配置。表 1 允许/禁止防火墙操作 命令启动防火墙 firewall enable 禁止防火墙 firewall disable缺省情况下,防火墙处于“启动”状态。配置标准访问控制列表标准访问控制列表序号可取值 199 之间的整数。首先应使用 acl 命令进入到ACL 配置视图并配置访问控制列表的匹
6、配顺序,然后再使用 rule 命令配置具体的访问规则。若不配置匹配顺序的话,按照 auto 方式进行。请在系统视图(acl 命令)和 ACL 视图(rule 命令)下进行下列配置。表 2 配置标准访问控制列表操作 命令进入 ACL 视图并配置访问控制列表的匹配顺序acl acl-number match-order config | auto 配置标准访问列表规则rule normal | special permit | deny source source-addr source-wildcard | any 删除特定的访问列表规则 undo rule rule-id | normal |
7、 special删除访问列表 undo acl acl-number| all normal 指该规则是在普通时间段内起起用;special 指该规则是在特殊时间段内起作用,使用 special 时用户需另外设定特殊时间段。具有同一序号的多条规则按照“深度优先原则”进行匹配。缺省情况下,为 normal 时间段。配置扩展访问控制列表扩展访问控制列表可取值 100199 之间的整数。首先应使用 acl 命令进入到ACL 配置视图并配置访问控制列表的匹配顺序,然后再使用 rule 命令配置具体的访问规则。若不配置匹配顺序的话,按照 auto 方式进行。请在系统视图(acl 命令)和 ACL 视图(
8、rule 命令)下进行下列配置。表 3 配置扩展访问控制列表操作 命令进入 ACL 视图并配置访问控制列表的匹配顺序acl acl-number match-order config | auto 配置 TCP/UDP 协议的扩展访问列表规则rule normal | special permit | deny tcp | udp source source-addr source-wildcard | any source-port operator port1 port2 destination dest-addr dest- wildcard | any destination-port
9、 operator port1 port2 logging配置 ICMP 协议的扩展访问列表规则rule normal | special permit | deny ICMP source source-addr source-wildcard | any destination dest-addr dest- wildcard | any icmp-type icmp-type icmp-code logging删除特定的访问列表规则undo rule rule-id | normal | special删除访问列表 undo acl acl-number| all 从表 2 和表 3 中
10、的 rule 配置命令的参数中可以看出标准列表仅能对 source 数据源作规则设置,而扩展控制列表则还可以对 destination 目的地址进行规则设置。参数说明: normal 指该规则是在普通时间段内起起用;special 指该规则是在特殊时间段内起作用,使用 special 时用户需另外设定特殊时间段。具有同一序号的多条规则按照“深度优先原则”进行匹配。缺省情况下,为 normal 时间段。设置防火墙的缺省过滤方式防火墙的缺省过滤方式是指:当访问规则中没有找到一个合适的匹配规则来判定用户数据包是否可以通过的时候,将根据用户设置的防火墙的缺省过滤方式来决定究竟允许还是禁止报文通过。请在
11、系统视图下进行下列配置。表 4 设置防火墙缺省过滤方式操作 命令设置防火墙的缺省过滤方式为允许报文通过 firewall default permit设置防火墙的缺省过滤方式为禁止报文通过 firewall default deny缺省情况下,防火墙的缺省过滤方式为允许报文通过。配置在接口上应用访问控制列表的规则若要实现接口对报文的过滤功能,就必须先将相应访问控制列表规则应用到接口上。用户可在一个接口上对接收和发送两个方向的报文分别定义不同的访问控制规则。请在接口视图下进行下列配置。表 5 配置接口上应用访问控制列表的规则操作 命令配置在接口的入口或出口方向上应用访问控制列表规则firewal
12、l packet-filter acl-number inbound | outbound 取消在接口的入口或出口方向上应用访问控制列表规则undo firewall packet-filter acl-number inbound | outbound 缺省情况下,接口上未定义过滤报文的规则。在一个接口的一个方向上(inbound 或 outbound 方向),最多可以应用 20 条访问规则。即在 firewall packet-filter inbound 方向上可应用 20 条规则;在firewall packet-filter outbound 方向上也可应用 20 条规则。若两条互相
13、冲突的规则序号不同,优先匹配 acl-number 较大的规则。防火墙的显示和调试在所有视图下使用 debugging、reset、display 命令。表 3-12 防火墙的显示和调试操作 命令显示包过滤规则及在接口上的应用display acl all | acl-number | interface type number 显示防火墙状态 display firewall显示当前时间段的范围 display timerange显示当前时间是否在特殊时间段之内display isintr清除访问规则计数器 reset acl counters acl-number 打开防火墙包过滤调试信息
14、开关debugging filter all | icmp | tcp | udp 3.8.4 实验过程1、防火墙配置实验示例组网方案要求通过配置静态路由,使任意两台主机或路由器之间都能两两互通。网络拓扑请按下图连接好线缆,并配置好路由器接口和计算机的 IP 地址,所有的子网掩码均为 24 位掩码。图 2 配置防火墙组网图2、配置步骤首先用分别 Console 线缆连接两个路由器并进入配置视图,按下面步骤对接口进行配置。配置好计算机的 IP 地址和子网掩码,计算机 A 的网关地址设置为10.100.110.100,计算机 B 的网关地址设置为 10.100.120.100# 配置路由器 Rou
15、ter A 启动防火墙RouterA firewall enable# 配置路由器接口 IPRouterA interface Ethernet 0/0RouterA-Ethernet0/0ip address 192.10.1.1 24RouterA-Ethernet0/0quitRouterA interface Ethernet 0/1RouterA-Ethernet0/1ip address 10.100.110.100 24RouterA-Ethernet0/1quit# 配置路由器静态路由RouterA ip route-static 10.100.120.0 255.255.25
16、5.0 192.10.1.2# 配置路由器 Router B,并启动防火墙RouterB firewall enable# 配置路由器接口 IPRouterB interface Ethernet 0/0 RouterB-Ethernet0/0ip address 192.10.1.2 24RouterB-Ethernet0/0quitRouterB interface Ethernet 1RouterB-Ethernet0/1ip address 10.100.120.100 24RouterB-Ethernet0/1quit# 配置路由器静态路由RouterA ip route-stati
17、c 10.100.110.0 255.255.255.0 192.10.1.1#测试网络连通性在计算机 A 上使用命令:Ping 10.100.120.139#在路由器 A 上设置标准控制列表在路由器 A 上验证标准访问控制列表禁止 IP 地址为 10.100.110.138 的主机访问10.100.120 的网络,而允许其他 IP 访问。进入 2001 号标准访问控制列表视图RouterA acl number 2001设置控制规则RouterA-acl-2001 rule deny source 10.100.110.138 0.0.0.0#上条命令中最后一个参数 0.0.0.0 是反掩码
18、,用来唯一确定一个 IP,若改为0.0.0.255 则用来确定对一个 C 类的网络实施访问控制。允许其他的 IP 地址的数据通过路由器 A 访问外网RouterA-acl-2001 rule permit source any#注意:2001 号控制列表有上面有两条规则,其匹配时按深度优先规则,先匹配精确的规则,因此当 IP 时 10.100.110.138 时将先按第一条规则执行返回系统视图RouterA-acl-2001 quit进入接口 LAN 1,在其上应用访问控制列表的规则RouterA interface Ethernet 0/1RouterA-ethernet0/1 firewa
19、ll packet-filter 2001 inbound这时若把 IP 地址改为其他的地址,如:10.100.110.140 则可以通过路由器访问外网。可以用 Ping 命令测试连通性在路由器 B 上使用扩展控制列表RouterB acl number 3002设置控制规则,只禁止目的 IP 地址为 10.100.110.138 数据通过路由器 B 的Ethernet 0/0 ,其他目的地址的数据包都能通过。RouterB-acl-3002 rule deny ip destination 10.100.120.138 0.0.0.0#允许所有除了上个规则外的数据包访问外网RouterB-a
20、cl-3002 rule permit ip source any destination any进入接口 Ethernet 0/0,在其上应用访问控制列表的规则RouterB interface Ethernet 0/0RouterB-Ethernet 0/0 firewall packet-filter 3002 outbound这时若计算机 A 的 IP 为 10.100.110.138,则在计算机 B 上使用 Ping 命令则无法连通,若将计算机 A 的 IP 改为其他地址则可以连通计算机 B3.8.5 实验总结根据实验情况简单描述自己对防火墙工作原理的认识并列举出一种防火墙其它应用案例。
