2018-11-29 校园网设计
将各端口IP地址配好
运用OSPF动态路由,使得各个网络互通
Ospf 1;area 0;network 具体IP 0.0.0.0
在LWS4上面进行vlan 划分以及设置具体的访问控制列表(ACL)
Vlan batch 10 20 30 40(学生、教师,管理员)
Inter vlan 10
IP add 10.1.255.1 24
Acl :扩展ACL、标准ACL
标准IP访问控制列表
用于简单的访问控制、路由过滤,且仅对源地址进行过滤。
标准ACL格式
R1(config)#access-list access-list-number {remark|permit|deny} source source-wildcard [log]
R1(config)#access-list 表号 策略 源地址
表号:标准ACL范围,1-99、1300-1999。
策略:permit(允许);deny(拒绝)。
源地址:指定IP网段:IP地址+通配符掩码;单个主机地址:host;任意地址:any。
说明:
①“remark”选项:用于给访问控制列表添加备注,增强列表的可读性。
②源地址字段中:any选项表示任何IP地址,等同于0.0.0.0 255.255.255.255;host选项可代替掩码0.0.0.0。
③可选参数“log”:用于对匹配的数据包生成信息性日志消息,并发送到控制台上。
扩展ACL比标准ACL提供更加广泛的控制范围,控制更加精准。例如,网络管理员如果希望做到“允许外来的Web通信流量通过,拒绝外来的FTP和Telnet等通信流量”
扩展ACL可以控制通信流量的类型
此次实验中的ftp、domian(ftp)、dns(udp)
需求:学生只可在晚上7:00-9:00上外网,以及访问校内FTP服务器,其余均不可;教师可上外网,不可访问DNS服务器;网络管理员可上外网,也可访问校内服务器。
首先定义上网的时间:time-range TR 19:00 to 21:00 daily
其次,开始根据需求的详细情况进行ACL规则:使用的扩展ACL
ACL 3000
rule 5 permit tcp source 10.1.255.0 0.0.0.255 destination 10.1.3.2 0 destinatio
n-port eq ftp time-range TR(允许学生在TR时间段内使用tcp协议访问ftp服务器)
rule 6 deny ip source 10.1.255.0 0.0.0.255 destination 10.1.3.2 0 time-range TR(拒绝学生访问学校服务器在TR时间段内)
rule 7 permit ip source 10.1.255.0 0.0.0.255 time-range TR(在TR时间端允许学生)
rule 10 deny ip source 10.1.255.0 0.0.0.255(拒绝学生ip)
rule 15 deny tcp source 10.1.254.0 0 destination 10.1.3.2 0 destination-port eq
domain(拒绝教师使用tcp协议访问域名服务)
rule 20 deny udp source 10.1.254.0 0 destination 10.1.3.2 0 destination-port eq
dns(拒绝教师使用udp协议访问10.1.3.2的dns服务)
将其应用到接口上: inter g0/0/4 ;traffic-filter outbound acl 3000(关联接口出站数据)
基于时间的访问控制列表
基于时间的ACL可以对于不同的时间段实施不同的访问控制规则。在原有ACL的基础上应用时间段。时间段可以分为:绝对时间段(absolute)、周期时间段(periodic)和混合时间段。
设置路由器时间:R1#clock set 时:分:秒日月年 例如:R1#clock set 14:08:37 21 may 2012
说明:在配置基于时间的ACL之前确保路由器系统时间设置正确。
第一步,定义时间段:
R1(config)#time-range 名称 例如:R1(config)#time-range t1 //定时时间段,名称为t1
R1(config-tmie-range)#定义时间段
名称:数字、字符、字符+数字。
定义时间段:
1.定义绝对时间段:
R1(config-tmie-range)#absolute start 开始时间 end 结束时间
开始时间:时:分 日 月 年;
结束时间:时:分 日 月 年。
例如:R1(config-tmie-range)#absolute start 8:00 21 may 2012
R1(config-tmie-range)#absolute start 8:00 21 may 2012 end 18:00 21 may 2012
2.定义周期时间段:
R1(config-tmie-range)#periodic 开始时间 to 结束时间
开始/结束时间:某一天或某几天。星期一到星期日 monday、tuesday、wednesday、thursday、friday、
saturday、sunday,daily;星期一到星期五 weekday;星期六到星期日 weekend。
例如:R1(config-tmie-range)#periodic weekend 8:00 to 18:00 //星期六和星期日8:00到18:00
R1(config-tmie-range)#periodic daily 8:00 to 18:00 //一周中每天8:00到18:00
R1(config-tmie-range)#periodic wednesday 15:00 to saturday 8:00 //星期三15:00到星期六8:00
说明:每个时间段只能有一个absolute语句,但可以有多个periodic语句。
absolute:为时间范围指定一个绝对的开始和结束时间。
periodic:为时间范围指定一个重复发生的开始和结束时间,它接受以下参数:Monday、Tuesday、Wednesday、
Thursday、Friday、Saturday、Sunday、Daily(从Monday到Sunday)、Weekday(从Monday到Friday)、
Weekday(Saturday和sunday)。
第二步,在访问控制列表中用time-range调用定义的时间段:
例如:access-list 100 permit tcp any any eq 80 time-range t1
说明:在调用时间段时,只有配置了相应的time-range的时间规则才会在指定的时间段内生效
R1#show time-range //查看定义的时间范围
R1#show access-list 表名 //查看ACL信息
详细连接:http://blog.sina.com.cn/s/blog_635e1a9e01013r5j.html
# 定义8:00至18:00的周期时间段。
<Switch> system-view
[Switch] time-range trname 8:00 to 18:00 working-day
详细连接:
http://blog.163.com/drachen%40126/blog/static/1626074942012121102455400/
防火墙的功能:一个位于计算机和它所连接的网络之间的软件。该计算机流入流出的所有网络通信均要经过此防火墙。
防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,*特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。
类型:
- 从防火墙技术分为 “包过滤型”和“应用代理型”两大类。
3.从防火墙结构分为 单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。
4. 按防火墙的应用部署位置分为 边界防火墙、个人防火墙和混合防火墙三大类。
由于校园网不太复杂,所以我们采用的是包过滤防火墙,它是查看所流经的数据包的包头(header),由此决定整个包的命运。它可能会决定丢弃(DROP)这个包,可能会接受(ACCEPT)这个包(让这个包通过),也可能执行其它更复杂的动作。工作在网络层,过滤系统根据过滤规则来决定是否让数据包通过。
防火墙配置:
对于防火墙的配置思路首先配置各个接口的IP
interface G0/0/0
ip address 10.1.1.2 24
interface G0/0/1
ip address 10.1.20.1 24。
在防火墙的接口开启管理服务并允许ping,交换机可以正常ping通,防火墙上也建立了相应的会话表。
service-manage enable;
service-manage ping permit。
划入相应的安全区域
firewall zone trust; set priority 85;add interface G0/0/0;firewall zone untrust;set priority 5; add interface G0/0/1
firewall zone dmz;set priority 50; add interface G0/0/2
优先级local>trust>dmz>untrust;优先级低的向优先级高的地方是inbound(入站),反之为outbound出站。firewall interzone trust dmz;detect ftp//启用FW ALG功能
firewall interzone dmz untrust;detect ftp//启用FW ALG功能
测试:telnet 10.1.3.2
根据防火墙划分的不同区域,区域的不同需求,进行域间包过滤策略,有几个需求就写入几个策略。
配置安全策略
policy interzone trust untrust outbound//untrust是源,trust是目标
policy 1;action permit;policy source range 10.1.253.0 10.1.255.255
policy interzone trust dmz outbound
policy 1; action permit; policy service service-set http;policy destination 10.1.3.2 0
policy 2; action permit;policy service service-set ftp;policy destination 10.1.3.2 0
policy 3; action permit;policy service service-set dns;policy service service-set dns-tcp;policy destination 10.1.3.2 0
policy interzone dmz untrust inbound
policy 1; action permit;policy service service-set http; policy service service-set ftp
policy destination 10.1.3.2 0
策略内按照policy的顺序进行匹配,如果policy 0匹配了,就不会检测
policy 1,和policy的ID大小没有关系,谁在前就先匹配谁。
在这其中最令我们疑惑的就是防火墙的inbound和outbound,经过资料的查找我们发现outbount时,source地址为优先级高的地址,destination地址为优先级低的地址。Inbount时,source地址为优先级低的地址,destination地址为优先级高的地址。(这个配置的时候会自动按照规则进行变换)
配置命令:policy interzone 目的地址 源地址 outbound/outbound。在USG5300支持FTP、HTTP等协议会话时,需要在域间启用ALG功能,配置命令:firewall interzone 优先级高的区域 优先级低的区域;detect ftp。
NAT网络地址转换:静态NAT、动态NAT;配置服务器地址映射:
acl number 3001
rule 5 permit ip source 10.1.0.0 0.0.255.255 destination 10.1.10.0 0.0.0.255
acl number 3000
rule 5 deny ip source 10.1.0.0 0.0.255.255 destination 10.1.10.0 0.0.0.255
rule 10 permit ip
interface GigabitEthernet0/0/1
description 10.1.3.2 www
ip address 200.1.1.1 255.255.255.0
ipsec policy test
nat server protocol tcp global 200.1.1.254 www inside 10.1.3.2 www
nat server protocol tcp global 200.1.1.254 ftp inside 10.1.3.2 ftp
nat outbound 3000
IPSec配置
第一步配置IKE协商
R1(config)#cryptoisakmppolicy1建立IKE协商策略
R1(config-isakmap)#hashmd5设置**验证所用的算法
R1(config-isakmap)#authenticationpre-share设置路由要使用的预先共享的**
R1(config)#cryptoisakmpkey123address192.168.1.2设置共享**和对端地址123是**
R2(config)#cryptoisakmppolicy1
R2(config-isakmap)#hashmd5
R2(config-isakmap)#authenticationpre-share
R2(config)#cryptoisakmpkey123address192.168.1.1
第二步配置IPSEC相关参数
R1(config)#cryptoipsectransform-setcfanhomeah-md5-hmacesp-des配置传输模式以及验证的算法和加密的的算法cfanhome这里是给这个传输模式取个名字
R1(config)#access-list101permitipanyany我这里简单的写但是大家做的时候可不能这样写
这里是定义访问控制列表
R2(config)#cryptoipsectransform-setcfanhomeah-md5-hmacesp-des两边的传输模式的名字要一样
R2(config)#access-list101permitipanyany
第三步应用配置到端口假设2个端口都是s0/0
R1(config)#cryptomapcfanhomemap1ipsec-isakmp采用IKE协商,优先级为1这里的cfanhomemap是一个表的名字
R1(config-crypto-map)#setpeer192.168.1.2指定v*n链路对端的IP地址
R1(config-crypto-map)#settransform-setcfanhome指定先前所定义的传输模式
R1(config-crypto-map)#matchaddress101指定使用的反问控制列表这里的MATCH是匹配的意思
R1(config)#ints0/0
R1(config-if)#cryptomapcfanhomemap应用此表到端口
对于Portal认证,认证目的是当出现用户对网络进行攻击时,为确保网络的安全性,管理员需对用户终端的网络访问权限进行控制。只有用户终端通过认证后,Router才允许其访问Internet中的资源。采用内置Portal服务器方式并将Router中某一LoopBack接口的IP地址“192.168.1.30”配置为内置Portal服务器的IP地址。在router上配置,
配置思路:
创建并配置RADIUS服务器模板、AAA方案以及认证域,并在ISP域下绑定RADIUS服务器模板与AAA方案。保证了Router与RADIUS服务器之间的信息交互。
配置内置Portal认证,使用户终端能够通过Portal认证方式接入网络。
创建并配置RADIUS服务器模板、AAA认证方案以及认证域。
# 创建并配置RADIUS服务器模板“rd1”。
[Huawei] radius-server template rd1
[Huawei-radius-rd1] radius-server authentication 192.168.2.30 1812
[Huawei-radius-rd1] radius-server shared-key cipher hello
[Huawei-radius-rd1] radius-server retransmit 2
[Huawei-radius-rd1] quit
# 创建AAA方案“abc”并配置认证方式为RADIUS。
[Huawei] aaa
[Huawei-aaa] authentication-scheme abc
[Huawei-aaa-authen-abc] authentication-mode radius
[Huawei-aaa-authen-abc] quit
# 创建认证域“isp1”,并在其上绑定AAA认证方案“abc”与RADIUS服务器模板“rd1”。
[Huawei-aaa] domain isp1
[Huawei-aaa-domain-isp1] authentication-scheme abc
[Huawei-aaa-domain-isp1] radius-server rd1
[Huawei-aaa-domain-isp1] quit
[Huawei-aaa] quit
# 配置全局默认域为“isp1”。用户进行接入认证时,以格式“[email protected]”输入用户名即可在isp1域下进行aaa认证。如果用户名中不携带域名或携带的域名不存在,用户将会在默认域中进行认证。
[Huawei] domain isp1
配置Portal认证
# 创建一个Loopback接口,并配置该Loopback接口的IP地址。
[Huawei] interface loopback 6
[Huawei-LoopBack6] ip address 192.168.1.30 32
[Huawei-LoopBack6] quit
# 配置内置Portal服务器的IP地址。
[Huawei] portal local-server ip 192.168.1.30
# 使能Portal认证功能。
[Huawei] portal local-server https ssl-policy huawei
[Huawei] portal local-server enable interface ethernet 2/0/0
Display portal local-server