三层交换机防火墙ACL设置-精品·公开课件.pptVIP

三层交换机防火墙ACL设置 2012 网工课程设计 组长：沈静雅 组员：周建建 王琛 吴庆彬 孙丽媛 摘要 ACL (Access Control Lists)是交换机实现的一种数据包过滤机制，通过允许或拒绝特定的数据包进出网络，交换机可以对网络访问进行控制，有效保证网络的安全运行。本设计通过对三层交换机设置防火墙，并验证在防火墙开启前后 数据通信的不同结果，充分理 解并掌握三层交换机ACL数据过滤机制。基于网络中的特定信息和IP制定一组规则，每条规则都描述了对匹配一定信息的IP段取的动作通过允许（permi t )或者是拒绝（deny）特定的ip地址进出网络，并把这些规则应用到特定的交换机端口的入口或出口（如本实验中的三层交换机的1和二层交换机的24端口），交换机可以为不同的IP地址进行控制，这样特定端口上的数据流就必须依照指定的ACL规则进出交换机。从数据控制进出的根本上掌握防火墙的工作原理，对交换机ACL过滤机制的允许通过和拒绝通过规则有了实际物理层次上的理解。 引言 1.1实验背景 交换机的各种命令及设置；交换IP地址配置；交换机的Vlan划分（二层交换机划分Vlan100和Vlan200后，分属于不同Vlan的测试机之间不能相互通信）；通过设置Trunk口可以实现交换机之间的通讯，即交换机组成局域网的原理，使两台测试机通过三层交换机进行通讯；通过交换机之Ttrunk口上设置ACL过滤规则可以限制特定的P通讯，测试机不能完成通讯；防火墙的原理——防火墙具有检测、限制、更改跨越防火墙的数据流、对外部屏蔽网络内部的信息、结构和运行状况等功能，这些功能有效地保护了网络的安全等等。 1.2实验目的 　 1. 了解什么是标准的ACI； 　 2．了解标准ACL不同的实现方法。 1.3实验环境 　　　ACL(Access Control List)是交换机实现的一种数据包过滤机制，通过允许或拒绝特定的数据包进出网络，交换机可以对网络访问进行控制，有效保障网络的安全运行。用户可以基于报文中的特定信息制定一组规则（rule）,每条规则都描述了对匹配了一定信息的数据包所采取的动作：允许通过（permit）或拒绝通过（deny）。用户可以把这些规则应用到特定交换机的入口或出口方向，这样特定端口上特定方向的数据流就必须依照指定的ACL规则进出交换机。通过ACL，可以限制某个IP地址的PC或者某些网段的的pc的上网活动。用于网络管理。 1.4 实验要求 在交换机A和交换机B上分别划分两个基于端口的VLAN: VLAN100,VLAN200. 交换机A端口1设置成Trnuk口： VLAN IP Mask 100 192.168.100.1 255.255.255.0 200 192.1689.200.1 255.255.255.0 Trunk 1 交换机B的配制如下： VLAN 端口成员 100 1-8 200 9-16 Trunk 24 设置 IP Getaway Mask PC1 192.168.100.11 192.168.100.1 255.255.255.0 PC2 192.168.200.22 192.168.200.1 255.255.255.0 PC1-PC2的网络设置为 2. 研究方法 2.1 实验设备 2.2 实验拓扑 2.3 实验步骤 2.1实验设备 1．DCRS-7604或6804或5526S）交换机1台 2．DCRS-3926 S交换机1台 3．PC机2台 4．Console线1-2根 5．直通网线若干 2.2 实验拓扑 2.3 实验步骤 第一步：交换机全部恢复出厂设置，在交换机中创建vlan100和vlan200，并添加端口 第二步：设置交换机Truck口 交换机B： 交换机A： 　　 第三步：交换机A添加vlan地址。 第三步：交换机A添加vlan地址。 第四步：不配制ACL验证实验 第六步：配制访问控制列表功能开启，默认动作为全开启 第七步：绑定ACL到个端口 3 验证 PC1和PC2都通过交换机A连接internet上网。 1.不配制ACL两台PC机都可以上网； 2.配制ACL后，PC1和PC2的IP都不能上网，更改了IP地址后才可以上网。 测试机A和测试机B分别连接在二层交换机上划分好的Vlan100和Vlan200端口，通过测试机Aping测试机B，不通，说明两台测试机之间不能相互通讯；通过设置Trunk口实现交换机之间的通讯后，再次ping命令可以通讯，说明测试机之间通过二三层交换机之间的Trunk端口可以实现通讯；配制ACL后，测试机