思科防火墙设备配置实验报告.docx
《思科防火墙设备配置实验报告.docx》由会员分享,可在线阅读,更多相关《思科防火墙设备配置实验报告.docx(20页珍藏版)》请在冰豆网上搜索。
思科防火墙设备配置实验报告
内蒙古电子信息职业技术学院
课程实训
实训题目:
计算机网络设备配置实训报告
专业:
计算机网络技术
班级:
计网092
姓名:
高旭坤
学号:
092022004
目录
第一章实训概述3
第二章实训环境及拓扑结构3
2.1硬件环境3
2.2软件环境4
2.3拓扑结构4
第三章实训要求6
3.1网络组件与规划6
3.1.1网络拓扑连接与IP规划6
3.2项目实施7
3.2.1总公司网络实施7
3.2.2沈阳办事处网络配置8
3.2.3广州办事处网络配置9
3.2.4重庆分公司网络配置9
第四章任务分配及具体内容10
4.1防火墙FW-1的配置10
4.1.1FW-1IP地址的配置10
4.1.2FW-1安全功能11
4.1.3FW-1路由功能12
4.2防火墙FW-2的配置13
4.2.1FW-2IP地址的配置13
4.2.3FW-2路由功能15
第五章总结16
第一章实训概述
1、贯彻坚强实践环节和理论联系实际的教学原则,增加学生对专业知识了解的深度及广度,培养学生运用所学知识和技能独立完成复杂网络设备配置的能力。
2、通过实训,开阔学生眼界和知识面,获得计算机网络设备安装和维护的感性认识。
与此同时安排适量的讲课或讲座,促进理论同实践的结合,为面向就业的网络专业学生打下坚实基础。
3、实习中使学生了解专业、热爱专业,激发学习热情,提高专业适应能力,进一步提升网络专业学生网络设备的配置管理能为和网络故障的处理能力。
4、通过对专业、行业、社会的了解,认识今后的就业岗位和就业形式,使学生明确学习方向,努力探索学习与就业的结合点,而发挥学习的主观能动性。
第二章实训环境及拓扑结构
2.1硬件环境
设备类型
设备型号
设备数量(台)
路由器
RG-RSR20-18
4
路由器语音模块
SIC-2FXS
4
二层交换机
RG-S2328G
2
三层交换机
RG-S3760-24
2
防火墙
RG-WALL160M
2
入侵检测系统
RG-IDS500S
1
VPN设备
RG-WALL-V160S
2
无线交换机
RG-MXR-2
1
无线AP
RG-MP422
3
2.2软件环境
软件名称
介质形式
软件数量
Windows2003Server企业版
光盘
1
WindowsXPProfessional
光盘
1
AdobeReader免费版
硬盘
1
MicrosoftOffice2003
硬盘
1
2.3拓扑结构
如图2-3所示:
第三章实训要求
3.1网络组件与规划
3.1.1网络拓扑连接与IP规划
根据下表和网络拓扑图,将所有连接起来。
设备
设备名称
设备接口
IP地址
路由器
RA
Fa0/0
19.1.1.13/30
Fa0/1
10.1.9.1/30
Fa0/2
19.1.1.5/30
MP0
19.1.1.1/30
RB
Fa0/1
19.1.1.6/30
Loopback0
10.2.8.1/24
Loopback1
10.2.9.1/24
Loopback2
10.2.10.1/24
Loopback3
10.2.11.1/24
Loopback4
10.2.12.1/24
Loopback5
10.2.13.1/24
Loopback6
10.2.14.1/24
Loopback7
10.2.15.1/24
RC
Fa0/1
19.1.1.14/30
Loopback0
10.2.16.1/24
Loopback1
10.2.17.1/24
Loopback2
10.2.18.1/24
Loopback3
10.2.19.1/24
RD
Fa0/0.160
10.3.1.1/24
Fa0/0.170
10.3.2.1/24
Fa0/1
10.5.1.2/30
MP0
19.1.1.2/30
防火墙
FW1
GE1
10.1.5.2/28
GE2
10.1.0.5/30
FW2
GE1
10.1.9.2/30
GE2
10.1.5.1/28
GE3
10.1.0.5/30
三层交换机
SW1
Fa0/1
10.1.0.6/30
VLAN110
10.1.1.1/24
VLAN120
10.1.2.1/24
VLAN130
10.1.3.1/24
VLAN150
10.1.5.3/28
VPN网关
VPN-1
Eth0
211.1.1.1/28
Eth1
10.1.0.1/30
VPN-2
Eth0
211.1.1.4/28
Eth1
10.5.1.1/30
入侵检测
IDS
管理地址
10.1.5.254/28
无线网络
MXR
子网VLAN130
10.1.3.0/24
3.2项目实施
3.2.1总公司网络实施
设备
名称
实现
功能
详细
说明
RA
路由功能
(1)配置OSPF路由协议,指定route-id为0.0.0.1
(2)配置基于接口的验证,采用MD5验证方式
安全功能
(1)配置IPSecVPN,实现重庆分公司、沈阳办事处、广州办事处的各个子网能够安全的访问总公司的服务器群(VLAN150)。
(2)采用隧道模式
(3)作为重庆分公司与总公司服务器群之间VPN通信的主链路。
链路功能
(1)配置PPP协议
(2)将两串行链路实现多链路捆绑,增加带宽并提HA功能。
(3)与路由器RD实现验证,此路由器作为服务端,需要实现PAP认证方式。
(4)认证时需要使用AAA方式,认证采用本地认证。
管理功能
(1)配置AAA,允许远程登录时,采用Radius和本地验证。
(2)配置Radius客户端,Radius服务器地址为10.1.5.8,密钥为123abc。
服务质量
(1)在PPP协议上配置报文压缩,实现RTP和TCP报文压缩
VPN-1
安全功能
(1)配置远程访问IPSecVPN,实现移动办公用户可以通过互联网安全访问内部服务器群VLAN150的dns、ftp、http、https、ping、pop3、Smtp等服务,其分配的地址池为10.1.4.0/24,创建五个用户,并将用户绑定到固定的IP地址。
(2)配置Site-To-SiteVPN,作为重庆分公司与总公司服务器群VPN通信的备份链路,允许承载ping服务。
地址转换
(1)配置NAT,实现内部网络(VLAN110、VLAN120、VLAN130)访问互联网,其使用合法的公网地址为其eth0接口地址。
(2)实现将内网的WEB、FTP(10.1.5.10、10.1.5.11)资源发布的互联上,其合法公网地址为211.1.1.1.2/28
路由功能
(1)配置OSFP路由协议,指定route-id为0.0.0.5
FW-2
安全功能
(1)配置安全策略最大限度的保证内网和服务器群安全。
(2)创建时间访问控制列表,只有工作日(周一~周五)的工作时间(9:
00~18:
00)才能访问互联网。
路由功能
(1)配置OSPF路由协议,指定route-id为0.0.0.3
FW-1
安全功能
(1)配置安全策略最大限度的保证内网和服务器群安全。
(2)为防止跳板攻击,不允许内部主机使用私有IP访问服务器,只允许使用公网IP访问服务群。
路由功能
(1)配置OSFP路由协议,指定route-id为0.0.0.2
SW-1
路由功能
(1)配置OSPF路由协议,指定route-id为0.0.0.4
优化功能
(1)划分VLAN
(2)配置MSTP,创建实例10和实例20,将VLAN110和VLAN120加入到实例10、VLAN130加入到实例20,将此交换设置为根。
(3)配置DHCP服务,实现VLAN110和VLAN120自动获取IP地址,并指定其各自的网关。
排除地址范围为10.1.1.1~10.1.1.10和10.1.2.1~10.1.2.10。
(4)配置端口镜像
(5)并在端口fa0/6和fa0/7,设置多播风暴控制,允许通过的多播报文最多占带宽的10%
SW-4
优化功能
(1)配置MSTP,创建实例10和实例20,将VLAN110和VLAN120加入到实例10、VLAN130加入到实例20。
(2)配置BPDUFilter、BPDUGuard
安全功能
(1)在Fa0/5上配置端口安全,安全MAC地址为:
00-12-F1-00-ab-01,安全IP地址为10.1.1.1.60/24,并进行IP和MAC地址的绑定配置。
(2)配置端口安全,实现第个接口只允许1个主机访问,违规关闭接口。
IDS-1
安全功能
派生策略,需要监控TCP攻击、UDP攻击、DOS攻击、IP攻击。
管理功能
管理接口地址为10.1.5.254/24
管理服务器地址为10.1.5.5/24
MXR-1
无线功能
(1)SSID为VLAN130
(2)配置DHCP功能,地址范围为(10.1.3.10~10.1.3.200)
(3)采用WEP加密方式,加密口令为1234567890
(4)采用MAC认证
3.2.2沈阳办事处网络配置
设备名称
实现功能
详细说明
RB
路由功能
(1)配置OSPF路由协议,指定route-id为0.0.0.7
(2)配置基于接口验证功能,采用MD5方式。
(3)对子网的路由进行汇总
(4)将此区域配置为stub区域
安全功能
(1)配置IPSecVPN,实现内部各个子网能够安全的访问总公司的服务器群(VLAN150)。
(2)采用隧道模式
3.2.3广州办事处网络配置
设备名称
实现功能
详细说明
RC
路由功能
(1)配置OSPF路由协议,指定route-id为0.0.0.8
(2)配置基于接口验证功能,采用MD5方式。
(3)对子网的路由进行汇总
(4)将此区域配置为stub区域
安全功能
(1)配置IPSecVPN,实现内部各个子网能够安全的访问总公司的服务器群(VLAN150)。
(2)采用隧道模式
3.2.4重庆分公司网络配置
设备名称
实现功能
详细说明
RD
路由功能
(1)配置OSPF路由协议,指定route-id为0.0.0.9
(2)配置基于接口的验证,采用MD5验证方式
(3)配置单臂路由
安全功能
(1)配置IPSecVPN,实现分公司各个子网能够安全的访问总公司的服务器群(VLAN150)。
(2)采用隧道模式
(3)作为重庆分公司与总公司服务器群之间VPN通信的主链路。
链路功能
(1)配置PPP协议
(2)将两串行链路实现多链路捆绑,增加带宽并提HA功能。
(3)与路由器RD实现验证,此路由器作为客户端,需要实现PAP认证方式。
(4)认证时需要使用AAA方式,认证采用本地认证。
管理功能
(1)配置AAA,允许远程登录时,采用Radius和本地验证。
(2)配置Radius客户端,Radius服务器地址为10.3.2.8,密钥为123abc。
服务质量
(1)在PPP协议上配置报文压缩,实现RTP和TCP报文压缩
(2)对出接口s2/0的流量限制在300kbps,没有超额的流量允许发送,超额的流量丢弃。
(3)对入接口fa0/0的流量限制在2Mbps,没有超额的流量允许发送,超额的流量丢弃
VPN-2
安全功能
(1)配置远程访问IPSecVPN,实现移动办公用户可以通过互联网安全访问内部网络VLAN170的dns、ftp、http、https、ping、pop3
Smtp等服务,其分配的地址池为10.3.4.0/24,创建五个用户,并将用户绑定到固定的IP地址。
(2)配置Site-To-SiteVPN,作为作为重庆分公司与总公司服务器群VPN通信的备份链路,允许承载ping服务。
地址转换
(1)配置NAT,实现内部网络(VLAN110、VLAN120、VLAN130)访问互联网,其使用合法的公网地址为211.1.1.5-211.1.1.7/28
路由功能
(1)配置OSFP路由协议,指定route-id为0.0.0.10
(20)配置单臂路由
SW-2
路由功能
(1)配置DHCP服务,实现VLAN160和VLAN170自动获取IP地址,并指定其各自的网关。
排除地址范围为10.3.1.1~10.3.1.10和10.3.2.1~10.3.2.10。
安全功能
(1)配置端口安全,实现第个接口只允许1个主机访问,违规关闭接口。
(2)在所有的接入接口上配置portfast。
第四章任务分配及具体内容
4.1防火墙FW-1的配置
4.1.1FW-1IP地址的配置
如图4-1-1所示:
4.1.2FW-1安全功能
1.配置安全策略最大限度的保证内网和服务器群安全
如图4-1-2所示:
2.为防止跳板攻击,不允许内部主机使用私有IP访问服务器,只允许使用公网IP访问服务群
如图4-1-3所示
4.1.3FW-1路由功能
1.配置OSFP路由协议
如图4-1-4所示:
2.指定route-id为0.0.0.2
如图4-1-5所示:
4.2防火墙FW-2的配置
4.2.1FW-2IP地址的配置
如图4-2-1所示:
4.2.2FW-2安全功能
1.配置安全策略最大限度的保证内网和服务器群安全
如图4-2-2所示:
2.创建时间访问控制列表,只有工作日(周一~周五)的工作时间(9:
00~18:
00)才能访问互联网
如图4-2-3所示:
4.2.3FW-2路由功能
1.配置OSPF路由协议
如图4-2-4所示:
2.指定route-id为0.0.0.3
如图4-2-5所示:
第五章总结
经过为期三周的实训,在老师的指导和与同学们的交流下,终于完成了任务,同时也让我懂得了很多。
1.团队合作
在这三周的实训里,设备配置的任务有很多,光靠个人是根本无法完成的,所以团队的力量显得非常重要。
在这次实训中,我们这个团队密切合作,各自完成小队布置下来的任务,每一个人的完成,都对整个队伍的进度起到很大作用,也为更好的完成任务做了自己应该做的部分。
2.自主学习
实训期间,当老师布置任务后,发现自己仍然有很多不会的地方,而课本成了解决问题的关键。
当再次翻阅课本的时候,才发现自己学习的情况是如此的糟糕,为了完成任务,自主学习才是重中之重。
3.需追求完美
在不懂的时候,需要一支追究到完全明白。
这才是学习的目的。
在这次实训中,我也明白了自己的很多不足,最大的一点不足是,学习缺乏系统性,总是感觉自主学习的那些知识都不能有效的联系起来,这点需要更改。
总之,在这次学习中,我既巩固了以前的知识,又学会了许多以前不太了解的知识,这次实训对我的帮助很大。
升级会员 