<p>*网络设备安装与调试</p> 

–华为eNSP模拟器*网络设备安装与调试（华为eNSP模拟器）项目5网络安全技术的配置

*项目5网络安全技术的配置项目描述

随着网络技术的发展和应用范围的不断扩大，网络已经成为人们日常生活中必不可少的一部分。园区网作为给终端用户提供网络接入和基础服务的应用环境，其存在的网络安全隐患不断显现出来，如非人为的或自然力造成的故障、事故；人为但属于操作人员无意的失误造成的数据丢失或损坏；来自园区网外部和内部人员的恶意攻击与破坏。网络安全状况直接影响人们的学习、工作和生活，网络安全问题已经成为信息社会关注的焦点之一，因此需要实施网络安全防范。

保护园区网络安全的措施包括以下几点：在终端主机上安装防病毒软件，保护终端设备的安全；利用交换机的接口安全功能，防止局域网内部的MAC地址攻击、ARP攻击、IP地址/MAC地址欺骗等攻击；利用IP地址访问控制列表对网络流量进行过滤和管理，从而保护子网之间的通信安全及敏感设备，防止非授权的访问；利用NAT技术在一定程度上为内网主机提供“隐私”保护；在网络出口部署防火墙，防范外网的未授权访问和非法攻击；建立保护内网安全的规章制度，保护内网设备的安全。*项目5网络安全技术的配置主要任务

*项目5网络安全技术的配置任务1交换机接口安全的配置项目5网络安全技术的配置

任务描述

艺腾公司最近的网络速度变慢，网络管理员发现有些部门的员工私自带笔记本式计算机接入公司网络来下载电影，给公司正常的上网带来了负担，还给公司的网络安全带来了隐患。任务1交换机端口安全的配置任务分析

非授权的计算机接入网络会造成公司信息管理成本的增加，不仅影响公司正常用户使用网络，还会造成严重的网络安全问题。在接入交换机上配置接口安全功能，利用MAC地址绑定不仅可以解决非授权计算机影响正常网络使用的问题，还可以避免用户利用未绑定MAC地址的接口来实施MAC地址泛洪攻击。任务1交换机端口安全的配置任务1交换机端口安全的配置具体要求任务1交换机端口安全的配置（1）添加3台计算机，将标签名分别更改为PC1、PC2和PC3。（2）添加两台S3700-26C-HI交换机，将标签名分别更改为SWA和SWB，交换机的名称分别设置为SWA和SWB。（4）PC1连接SWA的Ethernet0/0/1接口，PC2连接SWA的Ethernet0/0/12接口，PC3连接SWB的Ethernet0/0/1接口，SWA的GE0/0/1接口连接SWB的GE0/0/1接口。（5）开启所有的交换机和计算机。（6）根据拓扑图，使用直通线连接好所有计算机。设置每台计算机的IP地址和子网掩码。（7）出于安全方面的考虑，在交换机接口上配置接口安全，绑定计算机的MAC地址，防止非法计算机的接入。任务实施任务1交换机端口安全的配置请教师演示实验过程任务验收任务1交换机端口安全的配置（1）在交换机上使用displaymac-address命令，查看交换机与计算机之间连接的接口，类型是否变为sticky。（2）测试计算机的互通性。知识链接1．端口安全的概念

交换机端口安全，是指针对交换机端口进行安全属性的配置，从而控制用户的安全接入。端口安全特性可以使特定MAC地址的主机流量通过该端口。当端口上配置了安全的MAC地址之后，定义之外的源MAC地址发送的数据包将被端口丢弃。2．端口安全的配置

在网络中MAC地址是设备中不变的物理地址，控制MAC地址接入就控制了交换机的端口接入，所以端口安全也是对MAC地址的安全。在交换机中，CAM（ContentAddressableMemory，内容可寻址内存表）表又叫MAC地址表，其记录了与交换机相连的设备的MAC地址、端口号、所属VLAN等对应关系。

任务1交换机端口安全的配置知识链接2）配置StickyMAC地址

在交换机的端口激活PortSecurity之后，该端口上所学习到的合法的动态MAC地址被称为动态安全MAC地址，这些MAC地址默认不会被老化（在接口视图下使用port-securityaging-time命令可以设置动态安全MAC地址的老化时间），然而这些MAC地址表项在交换机重启之后会丢失，因此交换机不得不重新学习MAC地址。交换机能够将动态MAC地址转换成StickyMAC地址，StickyMAC地址表项在交换机保存配置后重启不会丢失。

任务1交换机端口安全的配置任务小结（1）MAC地址的数量默认为1。（2）MAC地址数达到限制后的保护动作有3个，默认为restrict。（3）动态安全MAC地址表项默认不老化。

任务1交换机端口安全的配置

活动1基本访问控制列表的配置

活动2高级访问控制列表的配置任务2

访问控制列表的配置

访问控制列表技术总是与防火墙（Firewall）、路由策略（RoutingPolicy）、服务质量（QualityofService，QoS）流量过滤（TrafficFiltering）等其他技术结合使用。下面仅从网络安全的角度对访问控制列表的基本知识进行简单介绍。不同厂商的网络设备在访问控制列表技术的实现细节上各不相同。本任务对访问控制列表的描述及技术实现基于华为网络设备。本任务分为以下两个活动进行介绍。*活动1基本访问控制列表的配置任务2访问控制列表的配置任务描述

艺腾公司包括经理部、财务部和销售部，这3个部门分属3个不同的网段，3个部门之间用路由器进行信息传递。为了安全起见，公司领导要求网络管理员对网络的数据流量进行控制，使销售部不能对财务部进行访问，但经理部可以对财务部进行访问。活动1

基本访问控制列表的配置任务分析

财务部涉及公司许多重要的财务信息和数据，因此，保障公司管理部的安全访问，减少普通部门对财务部的访问很有必要，这样可以尽可能减少网络安全隐患。

在路由器上应用标准访问控制列表，对访问财务部的数据流量进行限制，禁止销售部访问财务部的数据流量通过，但对经理部的访问不做限制，从而达到保护财务部主机安全的目的。活动1

基本访问控制列表的配置活动1

基本访问控制列表的配置具体要求活动1

基本访问控制列表的配置

（1）添加3台计算机，将标签名分别更改为PC1、PC2和PC3；PC1代表经理部的主机，PC2代表销售部的主机，PC3代表财务部的主机。（2）添加两台型号为AR2220的路由器，将标签名分别更改为RA和RB，路由器的名称分别设置为RA和RB。（3）为RA和RB添加2SA模块，并添加在S1/0/0接口位置。（4）PC1连接RA的GE0/0/0接口，PC2连RA的GE0/0/1接口，PC3连接RB的GE0/0/0接口，RA的S1/0/0接口连接RB的S1/0/0接口。（5）开启所有的路由器和计算机。（6）根据拓扑图，使用直通线连接好所有计算机。设置每台计算机的IP地址、子网掩码和网关。（7）路由器的接口和IP地址等。（8）使用静态路由实现全网互通。（9）配置基本访问控制列表，设置PC2所在的网络不能访问PC3所在的网络，但允许PC1所在的网络访问PC3所在的网络。任务实施活动1

基本访问控制列表的配置请教师演示实验过程任务验收（1）在PC1上测试PC1和PC3之间的连通性，结果是通的.（2）在PC2上测试PC2和PC3之间的连通性，结果是不通的。（3）查看基本访问控制列表的应用状态。活动1

基本访问控制列表的配置知识链接1．访问控制列表的基本概念访问控制列表（AccessControlList，ACL）是由一系列规则组成的集合，访问控制列表通过这些规则对报文进行分类，从而使设备可以对不同类型的报文进行不同的处理。一个访问控制列表通常由若干条deny|permit语句组成，每条语句就是该访问控制列表的一条规则，每条语句中的deny/permit就是与这条规则相对应的处理动作。处理动作permit的含义是“允许”，处理动作deny的含义是“拒绝”。特别需要说明的是，访问控制列表技术总是与其他技术结合使用，因此，所结合的技术不同，permit及deny的内涵及作用也不同。例如，当访问控制列表技术与流量过滤技术结合使用时，permit就是“允许通行”的意思，deny就是“拒绝通行”的意思。访问控制列表是一种应用非常广泛的网络安全技术，配置了访问控制列表的网络设备的工作过程可以分为以下两个步骤。（1）根据事先设定好的报文匹配规则对经过该设备的报文进行匹配。（2）对匹配的报文执行事先设定好的处理动作。活动1

基本访问控制列表的配置知识链接2．访问控制列表的规则原理访问控制列表负责管理用户配置的所有规则，并提供报文匹配规则的算法。访问控制列表的规则管理的基本思想如下。（1）每个访问控制列表作为一个规则组存在，一般可以包含多条规则。（2）访问控制列表中的各条规则都是通过规则ID来标识的，规则ID既可以自行设置，也可以由系统根据步长自动生成，即设备会在创建ACL的过程中自动为每一条规则分配一个ID。（3）在默认情况下，访问控制列表中的所有规则均按照规则ID从小到大的顺序与规则进行匹配。（4）规则ID之间会留下一定的间隔。如果不指定规则ID，则具体间隔大小由“访问控制列表的步长”来设定。例如，如果将规则编号的步长设定为10（需要注意的是，规则编号的步长的默认值为5），那么规则编号将按照10、20、30、40……的规律自动进行分配。如果将规则编号的步长设定为2，那么规则编号将按照2、4、6、8……的规律自动进行分配。步长的大小反映了相邻规则编号之间的间隔大小。间隔的作用是方便在两条相邻的规则之间插入新的规则。活动1

讯享网

基本访问控制列表的配置知识链接3．访问控制列表的规则匹配配置了访问控制列表的设备在接收到一个报文之后，会将该报文与访问控制列表中的规则逐条进行匹配。如果无法匹配当前规则，则会继续尝试匹配下一条规则。一旦报文匹配上了某条规则，设备就会对该报文执行这条规则中定义的处理动作（permit或deny），并且不再继续尝试与后续规则进行匹配。如果报文无法匹配访问控制列表中的任何一条规则，那么设备会对该报文执行permit动作。4．访问控制列表的分类根据访问控制列表具有的特性的不同，可以将其分成不同的类型，分别是基本访问控制列表、高级访问控制列表、二层访问控制列表和用户自定义访问控制列表。其中，应用最为广泛的是基本访问控制列表和高级访问控制列表。基本访问控制列表只能基于IP报文的源地址、报文分片标记和时间段信息来定义规则，编号范围为2000～2999。活动1

基本访问控制列表的配置任务小结（1）在访问控制列表中的网络掩码是反掩码。（2）访问控制列表要在接口下应用才生效。（3）基本访问控制列表要应用在尽量靠近目的地址的接口。活动1

基本访问控制列表的配置活动2高级访问控制列表的配置任务2访问控制列表的配置

任务描述

由于业务规模的扩大，艺腾公司架设了FTP服务器和Web服务器，FTP服务只供技术部访问使用，Web服务则供市场部和技术部使用，市场部针对服务器Web服务之外的访问均被拒绝。公司局域网通过路由器进行信息传递，通过配置实现网络数据流量的控制。活动2

高级访问控制列表的配置任务分析

从公司需求来看，基本访问控制列表是无法实现所需功能的，只能使用高级访问控制列表。在路由器上应用高级访问控制列表，对访问服务器的数据流量进行控制。禁止市场部访问FTP服务的数据流通过，但同时服务器又向公司市场部和技术部用户提供了Web服务，而除此之外对服务器的其他访问均被拒绝，从而达到保护服务器和数据安全的目的。活动2

高级访问控制列表的配置活动2

高级访问控制列表的配置具体要求（1）添加两台Client计算机，将标签名分别更改为Tech和Market。Tech代表技术部的主机，Market代表市场部的主机。（2）添加1台服务器，将标签名更改为Server。（3）添加两台型号为AR2220的路由器，将标签名分别更改为RA和RB，路由器的名称分别设置为RA和RB。。（4）为RA和RB添加2SA模块，并添加在S1/0/0接口位置。（5）Tech连接RA的GE0/0/1接口，Market连接RA的GE0/0/0接口，Server1连接RB的GE0/0/0接口，RA的S1/0/0接口连接RB的S1/0/0接口。（6）开启所有的路由器和计算机。（7）根据如图5.2.4所示的拓扑图，使用直通线连接好所有Client计算机和Server1服务器。设置两台Client计算机及1台Server1服务器的IP地址、子网掩码和网关。（8）路由器的接口和IP地址/掩码。（9）使用静态路由实现全网互通。（10）配置高级访问控制列表，限制市场部不能访问服务器上的FTP服务，但技术部不受限制。活动2

高级访问控制列表的配置任务实施活动2

高级访问控制列表的配置请教师演示实验过程任务验收活动2

高级访问控制列表的配置（1）在Mraket上可以正常访问Web服务器的。（2）在Market上测试FTP是无法正常访问的。（3）查看高级访问控制列表的应用状态。

知识链接高级访问控制列表可以根据IP报文的源IP地址、IP报文的目的IP地址、IP报文的协议字段的值、IP报文的优先级的值、IP报文的长度值、TCP报文的源接口号、TCP报文的目的接口号、UDP报文的源接口号和UDP报文的目的接口号等信息来定义规则。基本访问控制列表的功能只是高级访问控制列表的功能中的一个子集，高级访问控制列表可以定义出更精准、更复杂、更灵活的规则。高级访问控制列表中规则的配置比基本访问控制列表中规则的配置复杂得多，并且配置命令的格式也会因为IP报文的载荷数据类型的不同而不同。例如，针对ICMP报文、TCP报文、UDP报文等不同类型的报文，其相应的配置命令的格式也是不同的。高级访问控制列表的编号范围为3000～3999。

活动2

高级访问控制列表的配置任务小结（1）高级访问控制列表要应用在尽量靠近源地址的接口。（2）允许某个网段后，要拒绝其他网段。（3）对于FTP而言，必须指定ftp（21）和ftp-data（20）。

活动2

高级访问控制列表的配置

网络地址转换（NetworkAddressTranslation，NAT）的功能是将企业内部自行定义的私有IP地址转换为Internet上可识别的合法的IP地址。由于现行IP地址标准——IPv4的限制，Internet面临着IP地址空间短缺的问题，从ISP申请并给企业的每位员工分配一个合法IP地址是不现实的。NAT技术能较好地解决现阶段IPv4地址短缺的问题。本任务分为以下两个活动展开介绍。

活动1利用静态NAT技术实现外网主机访问内网服务器

活动2利用动态NAPT技术实现局域网访问Internet任务3网络地址转换*活动1利用静态NAT技术实现外网主机访问内网服务器任务3网络地址转换

任务描述

艺腾公司的办公网络接入了Internet，由于需要进行企业宣传，因此建立了用于产品推广和业务交流的网站。目前，艺腾公司只向网络运营商申请了两个公网IP地址，服务器位于公司内网中。要求艺腾公司的Web服务器对外提供服务，使客户在互联网上可以访问公司的内部网站。活动1

利用静态NAT技术实现外网主机访问内网服务器任务分析

基于私有地址与公有地址不能直接通信的原则，公网

的计算机是不能直接访问内网服务器的，要使内网服务器上的服务能够被外网主机访问，就要将内网服务器的私有IP地址通过静态转换映射到公网IP地址上，这样互联网上的用户才能通过公网IP地址访问内网服务器。活动1

利用静态NAT技术实现外网主机访问内网服务器活动1

利用静态NAT技术实现外网主机访问内网服务器具体要求（1）添加1台计算机和1台服务器，将标签名分别更改为Client1和Server1，Client1代表因特网上的计算机，Server1代表公司内部的Web服务器。（2）添加两台型号为AR2220的路由器，将标签名分别更改为LAN和ISP，路由器的名称分别设置为LAN和ISP。（3）为LAN和ISP添加2SA模块，并添加在S1/0/0接口位置。（4）Client1连接ISP的GE0/0/0接口，Server1连接LAN的GE0/0/0接口，LAN的S1/0/0接口连接ISP的S1/0/0接口。（5）开启所有的路由器、服务器和计算机。（6）根据拓扑图，使用直通线连接好计算机和服务器。设置计算机及服务器的IP地址、子网掩码和网关。（7）配置路由器的接口和IP地址。（8）在LAN上使用默认路由实现数据包向外转发。（9）在LAN上进行静态NAT技术的配置，实现公网的计算机能访问内网服务器上的Web服务，映射地址为。活动1

利用静态NAT技术实现外网主机访问内网服务器任务实施请教师演示实验过程活动1

利用静态NAT技术实现外网主机访问内网服务器任务验收（1）在Client1上测试访问“”，可以正常访问Web服务器。（2）在内网路由器LAN上查看NAT技术映射关系。

活动1

利用静态NAT技术实现外网主机访问内网服务器知识链接1．NAT的基本概念NAT是一个IETF标准。NAT是一种把内部私有网络地址转换成合法的外部公有网络地址的技术。当今的Internet使用TCP/IP协议实现了全世界的计算机的互联互通，每台接入Internet的计算机要想和其他计算机通信，就必须拥有一个唯一的、合法的IP地址，此IP地址由Internet管理机构——网络信息中心（NetworkInformationCenter，NIC）统一进行管理和分配。而NIC分配的IP地址被称为公有的、合法的P地址，这些IP地址具有唯一性，接入Internet的计算机只要拥有NIC分配的IP地址就可以和其他计算机通信。

但是，由于当前TCP/IP协议的版本是IPv4，它具有天生的缺陷，即IP地址数量不够多，难以满足目前爆炸式增长的需求。所以，不是每台计算机都能申请并获得NIC分配的IP地址。一般来说，需要接入Internet的个人或家庭用户，通过ISP间接获得合法的公有IP地址（例如，用户通过ADSL线路拨号，从电信获得临时租用的公有IP地址）；对于大型机构而言，它们既可以直接向NIC申请并使用永久的公有IP地址，也可以通过ISP间接获得永久或临时的公有IP地址。

活动1

利用静态NAT技术实现外网主机访问内网服务器知识链接无论通过哪种方式获得公有的IP地址，实际上当前可用的IP地址数量依然不足。IP地址作为有限的资源，NIC要为网络中数以亿计的计算机分配公有IP地址是不可能的。同时，为了使计算机能够具有IP地址并且在专用网络（内部网络）中通信，NIC定义了供专用网络内的计算机使用的专用IP地址。这些IP地址是在局部使用的（非全局的，不具有唯一性）非公有的（私有的）IP地址，其范围如下。（1）A类IP地址：～55。（2）B类IP地址：～55。（3）C类IP地址：～55。

活动1

利用静态NAT技术实现外网主机访问内网服务器知识链接

组织机构可以根据自身园区网的大小及计算机数量的多少采用不同类型的专用地址范围或不同类型地址的组合。但是，这些IP地址不可能出现在Internet中，也就是说，源地址或目的地址为这些专用IP地址的数据包不可能在Internet中被传输，这样的数据包只能在内部专用网络中被传输。

如果专用网络的计算机要访问Internet，则组织机构在连接Internet的设备上至少需要有一个公有IP地址，并采用NAT技术，将内部私有网络的计算机的私有IP地址转换为公有IP地址，从而让使用私有IP地址的计算机能够和Internet的计算机进行通信。如图所示，通过NAT设备，能够使私有网络中的私有IP地址和公有IP地址相互转换，从而使私有网络中使用私有地址的计算机能够和Internet中的计算机通信。

活动1

利用静态NAT技术实现外网主机访问内网服务器知识链接活动1

利用静态NAT技术实现外网主机访问内网服务器知识链接

2．NAT的类型1）静态NAT在路由器中，将内网IP地址固定地转换为外网IP地址，通常应用在允许外网用户访问内网服务器的场景中。2）动态NAT将一个内部IP地址转换为一组外部IP地址池中的一个IP地址（公有地址）

。动态NAT和静态NAT在地址转换上很相似，只是动态NAT可用的公有IP地址不是被某个专用网络的计算机永久独自占有。3）动态NAPT

动态NAT指将一个内部IP地址转换为一组外部IP地址池中的一个IP地址（公有IP地址）

。

活动1

利用静态NAT技术实现外网主机访问内网服务器知识链接

2．NAT的类型4）静态NAPT在路由器中以“IP地址+接口”形式，将内网IP地址及接口固定地转换为外网IP地址及接口，应用在允许外网用户访问内网计算机特定服务的场景。5）EasyIPEasyIP是NAPT的一种简化情况。EasyIP无须建立公有IP地址资源池，因为EasyIP只会用到一个公有IP地址，该IP地址就是路由器连接公网的出口IP地址。

活动1

利用静态NAT技术实现外网主机访问内网服务器任务小结（1）静态NAT技术通常应用在允许外网用户访问内网服务器的场景中。（2）通过NAT技术映射内部服务器需要使用专用的公网IP地址，故需要申请两个或两个以上的公网IP地址，一个用于服务器映射，其他的用于内网的通信。（3）要加上能使数据包向外转发的路由，如默认路由。

活动1

利用静态NAT技术实现外网主机访问内网服务器*活动2利用动态NAPT技术实现局域网

访问Internet任务3网络地址转换

任务描述

由于业务的需要，艺腾公司的办公网络需要接入Internet，网络管理员向网络运营商申请了一条专线，该专线分配了4个公网IP地址。要求公司所有部门的主机都能访问外网。活动2

利用动态NAPT技术实现局域网访问Internet任务分析

公司通过路由器与外网互连，并且只申请到4个公网地址，即与公网直连的路由器接口的IP地址和用来满足公司内部主机上网的地址。传统的NAT一般是指一对一的地址映射，不能同时满足所有内部网络主机与外部网络通信的需求，而动态NAPT可以将网络地址转换，从而使多个本地IP地址对应一个或多个全局IP地址。采用动态NAPT可以实现局域网多台主机共用一个或少数几个公网IP地址来访问互联网。活动2

利用动态NAPT技术实现局域网访问Internet活动2

利用动态NAPT技术实现局域网访问Internet具体要求活动2

利用动态NAPT技术实现局域网访问Internet（1）添加1台计算机和1台服务器，将标签名分别更改为Client1和Server1，Client1代表公司内网的计算机，Server1代表Internet上的1台Web服务器。（2）添加两台型号为AR2220的路由器，将标签名分别更改为LAN和ISP，路由器的名称分别设置为LAN和ISP。（3）为LAN和ISP添加