实习项目.docx
《实习项目.docx》由会员分享,可在线阅读,更多相关《实习项目.docx(14页珍藏版)》请在冰豆网上搜索。
实习项目
实训报告
题目:
IPv6局部部署及防火墙配置
院(系)电子与信息工程系
专业计算机科学与技术
班级2012级网络1班
学生姓名张子睿赵伟于朝辉
曹蓉王宪张昕
指导教师(职称)李秋奎
提交时间二〇一五年七月
实训项目
【项目拓扑】
【项目需求】
(1)A区用户所属VLANID=101,VLANNAME=SX_AK_A;B区用户所属VLANID=201,VLANNAME=SX_AK_B;C区用户所属VLANID=301,VLANNAME=SX_AK_C;防火墙区所属VLANID=404,VLANNAME=SX_AK_FW
(2)在接入层交换机部署端口安全(port-security),限定用户连接设备数量,每个端口仅允许1个用户接入
(3)拓扑图中所绘红色区域为IPv4网络,网络中用户使用自动获取方式,获得相应的IP地址等信息,动态地址的分发是由核心设备(Cisco3560)完成;拓扑图中所绘绿色区域为IPv6网络,网络中用户使用无状态自动获取的方式获得自己的IPv6地址等信息
(4)IPv4网络中要求针对内部网络部署基本的安全防御,如:
防止ARP欺骗,防止DHCP欺骗……
(5)拓扑图中防火墙要求实施必要的技术,如:
路由技术,地址转换技术……,以及必要的安全防御技术
(6)IPv6网络中要求实施IPv6相关技术部署,如:
地址规划,路由信息……
(7)网络分析系统连接到核心交换机(Cisco3560),要求网络分析系统能够实时监测全网用户状态;并采集3次任意时间网络状态信息
【网络规划】
IPv4网络中VLANID=101,IP=192.168.10.0/24
VLANID=201,IP=192.168.20.0/24
VLANID=301,IP=192.168.30.0/24
VLANID=404,IP=192.168.40.0/24
网络出口IP为固定IP,IP=172.17.49.252/24
IPv6网络中使用网络信息2001:
01AC:
DD89:
:
/48进行规划分配:
VLANID=101,IPv6=2001:
01AC:
DD89:
1001:
:
/64
VLANID=201,IPv6=2001:
01AC:
DD89:
1002:
:
/64
VLANID=301,IPv6=2001:
01AC:
DD89:
1003:
:
/64
【设计原则】
(1)保证IPv4和IPv6主机之间的互通;
(2)在更新过程中避免设备之间的依赖性;
(3)对于网络管理者和终端用户来说,过渡过程易于理解和实现;
(4)能够实现更好的安全性,实现ip级的安全。
(5)过渡可以逐个进行;
主要技术
【网络地址转换】
【源地址转换】
源地址转换是基于源地址的地址转换,主要用于内网访问外网,减少公有地址的数目,隐藏内部地址
【目标地址转换】
目标地址转换可分为目标地址映射、目标端口映射、服务器负载均衡等。
目标地址转换也称为反向地址转换或地址映射。
目标地址转换是一种单向的针对目标地址的映射,主要用于内部服务器向外部提供服务的情况,它与静态地址转换的区别在于它是单向的。
外部可以主动访问内部,内部却不可以主动访问外部。
另外,可使用目标地址转换实现负载均衡的功能,即可以将一个目标地址转换为多个内部服务器地址。
也可以通过端口的映射将不同的端口映射到不同的机器上。
【防火墙】
防火墙指的是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。
它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关,从而保护内部网免受非法用户的侵入,防火墙主要由服务访问政策、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件(其中硬件防火墙用的很少只有国防部等地才用,因为它价格昂贵)。
该计算机流入流出的所有网络通信均要经过此防火墙。
【实训截图】
IP监测
TCP监测
蓝盾防火墙
蓝盾防火墙SNAT配置
蓝盾防火墙WAN口配置
防火墙路由配置
防火墙网口配置
监测概要
数据包监测
【实训总结】
由于当下Internet网络中存在数量庞大的IPv4用户和设备,IPv4到IPv6的过渡不可能一次性实现。
而且,目前许多企业和用户的日常工作越来越依赖于Internet,它们无法容忍在协议过渡过程中出现的空窗时期。
所以从IPv4到IPv6的过渡必须是一个循序渐进的过程,在体验IPv6带来的好处的同时旧的IPv4用户仍能与网络中其余的IPv4用户通信。
能否顺利地实现从IPv4到IPv6的过渡也是IPv6能否取得成功的一个重要因素。
【实训心得】
张子睿:
通过这几天的实训以及最后的真机操作,我体会到了理论与实践的巨大差距。
在项目实施过程中,我遇到了许多问题,如客户端能通过DHCP获取IPv4地址,但却无法与其他主机进行通信、防火墙策略及NAT配置等问题,这些问题在我们小组的讨论以及老师的帮助下都顺利的解决了。
这让我明白了在学校所学习到的书本上的知识是片面的,理论与实际还有很大的差距,在以后的生活工作中会遇到很多问题,这些都需要我有一个虚心学习的态度,只有这样才能让我在今后的生活与工作中学会更多。
于朝辉:
实习结束了,本次实习历时10天,通过在实习中的学习,让我学到了很多课堂上学不到的东西,通过学习,我也对网络安全管理有了一定的了解,在这次实习中,我们学习了防火墙,IPV4,IPV6以及Vlan穿透。
知道了IPV6是为了解决IPV4所存在的一些问题和不足而提出的。
在学习防火墙时,有时会遇到一些问题,对使用的协议不熟,端口不清楚等。
但是我能独自配置防火墙的策略,并且能够运行完美。
加深了对网络安全概念的理解,在实习中我意识到,学习就需要一个虚心学习的态度,这样,才能为了以后工作打下了基础。
赵伟:
实习结束了,本次实习历时10天,通过在实习中的学习,让我学到了很多课堂上学不到的东西,通过学习,我也对网络安全管理有了一定的了解,在这次实习中,我们学习了防火墙,在学习防火墙时,有时会遇到一些问题,对使用的协议不熟,端口不清楚等。
不过,通过我的认真学习,还有实习老师的指导,我已经能够明白那些本来不清楚的,还有一些错误的。
因此,我学到了很多东西,为了以后工作打下了基础。
曹蓉:
经过几天的网络安全实习,使我在防火墙,以及计算机网络的安全规划等方面有了更多的提高,在实习中,我学到了如何使用防火墙,以及防火墙中的协议。
IPV4,IPV6的区别,VLAN穿透的原理。
知道了在配置访问规则时一定要先理清思绪,弄清常用的各种协议端口这样才能在配置的时候不会出现一些不必要的麻烦,明白了IPV4与IPV6之间的关系,明白了IPV6是为了解决IPV4所存在的一些问题和不足而提出的。
IPV6协议的地址长度是128位。
通过这10天的学习,让我收获颇丰,让我明白了在学校所学的知识是有限的,因此在实际工作中会经常遇到一些问题,就需要一个虚心学习的态度。
让我以后在工作中有了基础。
张昕:
经历了10天的实习,让我学到了很多课堂上学不到的东西,通过这次学习,我也对网络安全管理有了一定的了解,在这次实习中,我们学习了防火墙,IPV4,IPV6以及Vlan穿透.虽然在学习防火墙时,有时会遇到一些问题,对使用的协议不熟,端口不清楚等。
然而,通过老师的指导,跟同学们的相互交流,我提高了自己这方面的能力,了解到了很多有用的知识。
同时,也为了以后工作打下了基础。
王宪:
这次实训通过一个实例让我们加深了对IPV4地址的理解和应用,并且在路由器上如何进行防火墙的配置和一些基本的防御手段。
还有在不断的动手中加深自己的记忆,这样才能熟练的运用自己学到的知识。
通过实训对网络有了更深一步的理解,并且通过小组之间的合作加强了团队协作能力。
虽然实训的时间不长,但还是学到了很多东西。
【参考文献】
[1]高峡,陈智罡,袁宗福·网络设备互联·学习指南[M]北京:
科学出版社,2009.4.
[2]史蒂文斯·TCP/IP详解.卷I[M]北京:
机械工业出版社,2000.
[3]锐捷网络·网络互连与实现[M]北京:
希望电子出版社,2005.
[4]杨靖,刘亮·TCP/IP详解.卷I:
协议[M]北京:
机械工业出版社,2000.
[5]RFC网站·http:
//www.ietf.org
[6]锐捷网站·
【配置命令】
【IPv4】
接入层SW1:
en
vlandatabase
vtpdomain
vtppasswordcisco
vtpclient
exit
conft
hostnameSW1
intf0/24
switchportmodetrunk
exit
intrangef0/1-23
switchportmodeaccess
switchportaccessvlan101
switchportport-securityenable
switchportport-securitymaximum1
switchportport-securityviolationshutdown
switchportport-securitymac-addresssticky
exit
ipdhcpsnoopingvlan101
interfaceFastEthernet0/24
ipdhcpsnoopingtrust
exit
iparpinspectionvlan101
iparpinspectionvalidatesrc-mac
interfaceFastEthernet0/24
iparpinspectiontrust
exit
noipdhcpsnoopinginformationoption
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
核心层:
en
vlandatabase
vtpdomain
vtppasswordcisco
vtpserver
vlan101nameSX_AK_A
vlan102nameSX_AK_B
vlan103nameSX_AK_C
vlan104nameSX_AK_D
exit
conft
intrangef0/22-24
switchportmodetrunk
exit
intf0/1
switchportmodeaccess
switchportaccessvlan104
noswitchport
ipadd192.168.40.1255.255.255.252
nosh
intf0/3
noswitchport
ipadd192.168.50.1255.255.255.252
nosh
exit
intvlan101
ipadd192.168.10.254255.255.255.0
nosh
intvlan102
ipadd192.168.20.254255.255.255.0
nosh
intvlan103
ipadd192.168.30.254255.255.255.0
nosh
exit
servicedhcp
ipdhcpexcluded-address192.168.10.254
ipdhcpexcluded-address192.168.20.254
ipdhcpexcluded-address192.168.30.254
ipdhcppoolvlan101
network192.168.10.0255.255.255.0
default-router192.168.10.254
ipdhcppoolvlan102
network192.168.20.0255.255.255.0
default-router192.168.20.254
ipdhcppoolvlan103
network192.168.30.0255.255.255.0
default-router192.168.30.254
exit
iprouting
routerrip
version2
noauto-summary
network192.168.10.0
network192.168.10.0
network192.168.10.0
exit
monitorsession1sourceinterfaceFastEthernet0/22-24both
monitorsession1destinationinterfaceFastEthernet0/21
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
【IPv6】
核心层:
en
conft
noipdomain-lookup
linecon0
loggsyn
exec-t00
linevty04
loggsyn
exec-t00
hostnameCORE
exit
conft
sdmpreferdual-ipv4-and-ipv6default
intvlan101
ipv6enable
ipv6address2001:
01AC:
DD89:
1001:
:
1/64
nosh
intvlan102
ipv6enable
ipv6address2001:
01AC:
DD89:
1002:
:
1/64
nosh
intvlan103
ipv6enable
ipv6address2001:
01AC:
DD89:
1003:
:
1/64
nosh
intf0/20
noswitchport
ipv6address2001:
01AC:
DD89:
:
1/126
nosh
exit
ipv6unicast-routing
ipv6routerripcore
exit
intvlan101
ipv6ripcoreenable
intvlan102
ipv6ripcoreenable
intvlan103
ipv6ripcoreenable
intf0/14
ipv6ripcoreenable
exit
ipv6route:
:
/02001:
1AC:
DD89:
:
2
exit
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
Router:
en
conft
noipdomain-lookup
linecon0
loggsyn
exec-t00
linevty04
loggsyn
exec-t00
hostnameRouter
ipv6unicast-routing
intf0/0
ipv6enable
ipv6address2001:
01AC:
DD89:
:
2/126
nosh
intf0/1
ipv6en
ipv6address2001:
01AC:
DD89:
:
4/126
nosh
exit
ipv6routerRipRouter
exit
intf0/0
ipv6ripRouterenable
exit
ipv6route:
:
/02001:
1AC:
DD89:
升级会员 