三层交换机ACL防火墙的设置.doc

i 目目 录录 摘 要 1 1 引言 2 1 1 背景知识 2 1 2 实验目的 2 1 3 实验内容 2 1 4 实验环境 2 1 5 实验要求 3 2 方案的设计和实施 4 2 1 实验拓扑 4 2 2 实验步骤 5 3 验证 10 4 结论 11 参考文献 11 德州学院 计算机系 2010 级 网络工程专业 课程设计 1 三三层层交交换换机机 5 55 52 26 6 防防火火墙墙 A AC CL L 的的设设置置和和管管理理 德州学院计算机系 山东德州 253023 摘 要 摘 要 ACL Access Control Lists 是交换机实现的一种数据包过滤机制 通过允许或拒绝特 定的数据包进出网络 交换机可以对网络访问进行控制 有效保证网络的安全运行 本设计通过对三层交换机设置防火墙 并验证在防火墙开启前后数据通信的不同结果 充分 理解并掌握三层交换机 ACL 数据过滤机制 基于网络中的特定信息和 IP 制定一组规则 每条规则 都描述了对匹配一定信息的 IP 段所采取的动作 通过允许 permit 或者是拒绝 deny 特定的 IP 地址进出网络 并把这些规则应用到特定的交换机端口的入口或出口 如本实验中的三层交换 机的 1 端口 和二层交换机的 24 端口 交换机可以为不同的 IP 地址进行控制 这样特定端口上 的数据流就必须依照指定的 ACL 规则进出交换机 从数据控制进出的根本上掌握防火墙的工作原 理 对交换机 ACL 过滤机制的允许通过和拒绝通过规则有了实际物理层次上的理解 关键词 ACL 过滤机制 交换机 5526 防火墙 德州学院 计算机系 2010 级 网络工程专业 课程设计 2 1 引言 1 1 背景知识 交换机的各种命令及设置 交换 IP 地址配置 交换机的 Vlan 划分 二层交换机 划分 Vlan100 和 Vlan200 后 分属于不同 Vlan 的测试机之间不能相互通信 通过设 置 Trunk 口可以实现交换机之间的通讯 即交换机组成局域网的原理 使两台测试机 通过三层交换机进行通讯 通过交换机之 Ttrunk 口上设置 ACL 过滤规则可以限制特 定的 IP 通讯 测试机不能完成通讯 防火墙的原理 防火墙具有检测 限制 更改 跨越防火墙的数据流 对外部屏蔽网络内部的信息 结构和运行状况等功能 这些功 能有效地保护了网络的安全等等 1 2 实验目的 通过本次课程设计实验了解并初步掌握三层交换机设置访问控制的方法及所需要 的相关知识 使我们了解防火墙与三层交换机配合使用的配置方法 以及防火墙在网络 安全中的基本应用和配置方法 理解三层交换机基于特定 ACL 规则下如特定条件下的 允许通过或者是阻止通过规则等基本工作原理 从物理层面切实理解 ACL 过滤机制 掌握常用的命令 并通过本次试验加深对计算机网络课程的了解 1 3 实验内容 以三层交换机 5526 为主 以二层交换机 3926 为辅 在两个交换机之间设置 Trunk 口并在交换机之间的端口处设置 ACL 过滤规则 控制数据进出 实现防火墙的 过滤机制 通过测试机 A 和 B 验证数据进出的通或不通 将防火墙的工作原理在实验 中的具体环境中展示出来 1 4 实验环境 PC 机 2 台 分别为测试机 A 和 B 二层交换机 1 台 三层交换机 1 台 主 双 绞线若干根 控制线 1 根 将测试机 A 和测试机 B 分别连接在二层交换机的 Vlan100 德州学院 计算机系 2010 级 网络工程专业 课程设计 3 和 Vlan200 端口上 通过控制线将两个交换机的特定端口连接 1 5 实验要求 在交换机 A 和交换机 B 上分别划分两个基于端口的 Vlan Vlan100 Vlan100 并设 置成 Trunk 口 表 1 交换机 A 5526 的配置 VLANIPMask 100192 168 1 1255 255 255 0 200192 168 2 1255 255 255 0 Trunk1 交换机 B 3926 的配制如下 端口 24 设置为 Trunk 口 表 2 交换机 B 3926 的配制 VLAN端口成员 1001 8 2009 16 Trunk24 PC1 PC2 的网络设置为 表 3 PC1 PC2 的网络设置 设置IP 地址GetawayMask PC1192 168 1 10192 168 1 1255 255 255 0 PC2192 168 2 10192 168 2 1255 255 255 0 德州学院 计算机系 2010 级 网络工程专业 课程设计 4 2 方案的设计和实施 2 1 实验拓扑 图 1 实验拓扑逻辑图 图 2 实验拓扑物理图 德州学院 计算机系 2010 级 网络工程专业 课程设计 5 2 2 实验步骤 第一步 1 恢复交换机出厂设置 2 给交换机划分 Vlan100 和 Vlan200 并划分端口分别为 1 8 和 9 16 见图 3 图 3 交换机划分 Vlan 和端口 3 1 分别将两台测试机 A 和 B 的 IP 地址设置为 192 168 1 10 和 192 168 2 10 见图 4 德州学院 计算机系 2010 级 网络工程专业 课程设计 6 图 4 配置 IP 2 通过测试机 A ping B 不通 见图 5 图 5 验证 第二步 1 登陆三层交换机 5526 恢复交换机出厂设置 2 给交换机划分 Vlan100 和 Vlan200 并划分端口分别为 1 8 和 9 16 见图 6 德州学院 计算机系 2010 级 网络工程专业 课程设计 7 图 6 三层交换机划分 Vlan 和端口 分别配置端口 IP 地址为 192 168 1 1 和 192 168 2 1 见图 7 德州学院 计算机系 2010 级 网络工程专业 课程设计 8 图 7 端口配置 IP 3 设置 1 号端口为 Trunk 端口 允许所有的 Vlan 通过 见图 8 图 8 设置 Trunk 端口 到二层交换机上设置 将二层交换机的 24 端口设为 trunk 端口 同样允许所有的 lan 通过 见图 9 图 9 二层交换机设置 Trunk 端口 德州学院 计算机系 2010 级 网络工程专业 课程设计 9 4 用网线将两交换机通过 Trunk 口连接 进行验证 A ping B 通 见图 10 图 10 验证 第三步 1 回到三层交换机 配置 ACL 防火墙 规定防火墙过滤地址 并启动防火墙 见图 11 图 11 三层交换机配置 ACL 防火墙 德州学院 计算机系 2010 级 网络工程专业 课程设计 10 2 验证防火墙 通过测试机 A ping B 不通 见图 12 图 12 验证防火墙 说明防火墙起到预定效果 试验成功 3 验证 测试机 A 和测试机 B 分别连接在二层交换机上划分好的 Vlan100 和 Vlan200 端口 通过测试机 A ping 测试机 B 不通 说明两台测试机之间不能相互通讯 通过设置 Trunk 口实现交换机之间的通讯后 再次 ping 命令 可以通讯 说明两台测试机之间 通过二三层交换机之间的 Trunk 端口可以实现通讯 配制 ACL 后 测试机 A 和测试 机 B 之间不能 ping 通 说明测试机之间因为设置了 ACL 后限制了特定 IP 的通讯 若 实验结果和理论相符 则本实验完成 具体内容如下表 表 4 试验验证结果 PC端口Ping结果 PC A 192 168 1 100 0 1192 168 2 10不通 PC A 192 168 1 100 0 1192 168 2 10通 PC A 192 168 1 100 0 1192 168 2 10不通 德州学院 计算机系 2010 级 网络工程专业 课程设计 11 结论 本次课程设计 通过对 55226 三层交换机 ACL 的设置 实现了对不同 IP 地址限 制通信 理解并掌握了防火墙数据过滤规则 对防火墙的工作原理和机制有了更深层 次更具体化的了解 熟悉了交换机实验常用的命令 了解并初步掌握了三层交换机设 置访问控制的方法及所需要的相关知识 学会了防火墙与三层交换机配合使用的配置 方法 以及防火墙在网络安全中的基本应用和配置方法 另外 通过本次课程设计 我们进一步的了解了计算机网络的具体知识 细化了 之前学过的内容 全面掌握了关于交换机的设置以及交换机之间通讯的知识 培养了 对计算机网络课程的兴趣和爱好 锻炼了我们的动手设计能力和群组协作能力 对自 己的学习和专业的发展有着很大的促进 德州学院 计算机系 2010 级 网络工程专业 课程设计 12 参考文献 1 谢希仁 计算机网路 第五版 M 北京 电子工业出版社 2011 110 119 2 陈向阳 谈宏华 巨修练 计算机网络与通信 M 北京 清华大学出版社 2005 23 25 3 张新有 网络工程技术与实验教程 M 北京 清华大学出版社 2005 45 47 4 陈鸣 网络工程设计教程 系统集成方法 M 北京 机械工业出版社 2008 34 36 5 徐雅斌 李昕 李国义 褚丽莉 计算机网络原理 M 沈阳 辽宁科技出版社 2002 67 68 6 杨延双 TCP TP 协议分析及应用 M 北京 机械工业出版社 2008 12 16 7 张尧学 郭国强 王晓春 赵艳标 计算机网络与 Interner 教程