三层交换机ACL防火墙的设置.docx

1、三层交换机ACL防火墙的设置三层交换机5526防火墙(ACL)的设置和管理（德州学院计算机系，山东德州 253023） 摘 要：ACL (Access Control Lists)是交换机实现的一种数据包过滤机制，通过允许或拒绝特定的数据包进出网络，交换机可以对网络访问进行控制，有效保证网络的安全运行。本设计通过对三层交换机设置防火墙，并验证在防火墙开启前后数据通信的不同结果，充分理解并掌握三层交换机ACL数据过滤机制。基于网络中的特定信息和IP制定一组规则，每条规则都描述了对匹配一定信息的IP段所采取的动作，通过允许（permit）或者是拒绝（deny）特定的IP地址进出网络，并把这些规则应

2、用到特定的交换机端口的入口或出口（如本实验中的三层交换机的1端口，和二层交换机的24端口），交换机可以为不同的IP地址进行控制，这样特定端口上的数据流就必须依照指定的ACL规则进出交换机。从数据控制进出的根本上掌握防火墙的工作原理，对交换机ACL过滤机制的允许通过和拒绝通过规则有了实际物理层次上的理解。关键词：ACL过滤机制；交换机5526；防火墙1引言1.1背景知识交换机的各种命令及设置；交换IP地址配置；交换机的Vlan划分（二层交换机划分Vlan100和Vlan200后，分属于不同Vlan的测试机之间不能相互通信）；通过设置Trunk口可以实现交换机之间的通讯，即交换机组成局域网的原理，

3、使两台测试机通过三层交换机进行通讯；通过交换机之Ttrunk口上设置ACL过滤规则可以限制特定的IP通讯，测试机不能完成通讯；防火墙的原理防火墙具有检测、限制、更改跨越防火墙的数据流、对外部屏蔽网络内部的信息、结构和运行状况等功能，这些功能有效地保护了网络的安全等等。1.2 实验目的 通过本次课程设计实验了解并初步掌握三层交换机设置访问控制的方法及所需要的相关知识，使我们了解防火墙与三层交换机配合使用的配置方法,以及防火墙在网络安全中的基本应用和配置方法。理解三层交换机基于特定ACL规则下如特定条件下的允许通过或者是阻止通过规则等基本工作原理，从物理层面切实理解ACL过滤机制，掌握常用的命令。

4、并通过本次试验加深对计算机网络课程的了解。1.3 实验内容以三层交换机5526为主，以二层交换机3926为辅，在两个交换机之间设置Trunk口并在交换机之间的端口处设置ACL过滤规则，控制数据进出，实现防火墙的过滤机制。通过测试机A和B验证数据进出的通或不通，将防火墙的工作原理在实验中的具体环境中展示出来。1.4 实验环境 PC机2台，分别为测试机A和B、二层交换机1台、三层交换机1台（主）、双绞线若干根、控制线1根、将测试机A和测试机B分别连接在二层交换机的Vlan100和Vlan200端口上、通过控制线将两个交换机的特定端口连接。1.5 实验要求在交换机A和交换机B上分别划分两个基于端口的

5、Vlan: Vlan100,Vlan100并设置成Trunk口。 表1 交换机A 5526的配置VLANIPMask100192.168.1.1255.255.255.0200192.168.2.1255.255.255.0Trunk1 交换机B 3926的配制如下，端口24设置为Trunk口：表2 交换机B 3926的配制VLAN端口成员1001-82009-16Trunk24 PC1-PC2的网络设置为： 表3 PC1-PC2的网络设置设置IP地址GetawayMaskPC1192.168.1.10192.168.1.1255.255.255.0PC2192.168.2.10192.168

6、.2.1255.255.255.0 2方案的设计和实施2.1 实验拓扑图1 实验拓扑逻辑图 图2 实验拓扑物理图2.2实验步骤第一步：1恢复交换机出厂设置。2.给交换机划分Vlan100和Vlan200，并划分端口分别为1-8和9-16，见图3。图3 交换机划分Vlan和端口3.（1）分别将两台测试机A和B的IP地址设置为192.168.1.10和192.168.2.10；见图4。 图4 配置IP(2) 通过测试机A ping B ： 不通，见图5。图5 验证第二步：1.登陆三层交换机5526，恢复交换机出厂设置；2.给交换机划分Vlan100和Vlan200，并划分端口分别为1-8和9-16

7、；见图6。图6 三层交换机划分Vlan和端口分别配置端口IP地址为：192.168.1.1和192.168.2.1；见图7。图7 端口配置IP3.设置1号端口为Trunk端口，允许所有的Vlan通过；见图8。图8 设置Trunk端口到二层交换机上设置，将二层交换机的24端口设为trunk端口，同样允许所有的lan通过，见图9。图9 二层交换机设置Trunk端口4.用网线将两交换机通过Trunk口连接，进行验证：A ping B通；见图10。 图10 验证第三步： 1.回到三层交换机，配置ACL防火墙，规定防火墙过滤地址，并启动防火墙；见图11。图11 三层交换机配置ACL防火墙2.验证防火墙，

8、通过测试机A ping B 不通，见图12。 图12 验证防火墙说明防火墙起到预定效果，试验成功！3.验证 测试机A和测试机B分别连接在二层交换机上划分好的Vlan100和Vlan200端口，通过测试机A ping 测试机B，不通，说明两台测试机之间不能相互通讯；通过设置Trunk口实现交换机之间的通讯后，再次ping命令，可以通讯，说明两台测试机之间通过二三层交换机之间的Trunk端口可以实现通讯；配制ACL后，测试机A和测试机B之间不能ping通，说明测试机之间因为设置了ACL后限制了特定IP的通讯。若实验结果和理论相符，则本实验完成。具体内容如下表：表4 试验验证结果PC端口Ping结果

9、PC A：192.168.1.100/0/1192.168.2.10不通PC A：192.168.1.100/0/1192.168.2.10通PC A：192.168.1.100/0/1192.168.2.10不通结论 本次课程设计，通过对55226三层交换机ACL的设置，实现了对不同IP地址限制通信。理解并掌握了防火墙数据过滤规则，对防火墙的工作原理和机制有了更深层次更具体化的了解，熟悉了交换机实验常用的命令，了解并初步掌握了三层交换机设置访问控制的方法及所需要的相关知识，学会了防火墙与三层交换机配合使用的配置方法,以及防火墙在网络安全中的基本应用和配置方法。另外，通过本次课程设计，我们进一

10、步的了解了计算机网络的具体知识，细化了之前学过的内容，全面掌握了关于交换机的设置以及交换机之间通讯的知识，培养了对计算机网络课程的兴趣和爱好，锻炼了我们的动手设计能力和群组协作能力，对自己的学习和专业的发展有着很大的促进。参考文献1 谢希仁.计算机网路（第五版）M.北京：电子工业出版社，2011.110-119.2 陈向阳，谈宏华，巨修练.计算机网络与通信M.北京：清华大学出版社，2005.23-25.3 张新有.网络工程技术与实验教程M.北京：清华大学出版社，2005.45-47.4 陈鸣.网络工程设计教程：系统集成方法M.北京：机械工业出版社，2008.34-36.5 徐雅斌，李昕，李国义

11、，褚丽莉.计算机网络原理M.沈阳：辽宁科技出版社，2002.67-68.6 杨延双.TCP/TP协议分析及应用M.北京：机械工业出版社，2008.12-16.7 张尧学，郭国强，王晓春，赵艳标.计算机网络与 Interner教程（第2版）M.北京：清华大学出版社，2006.78-82.8 蔡开裕，朱培栋，徐明.计算机网络（第2版）M.北京：机械工业出版社，2008.23-30.9 李军怀，张璟.计算机网络实用教程M.北京：电子工业出版社，2007.123-125.10 郭秋萍.计算机网络技术M.北京：清华大学出版社，2008.45-47.11 吴功宜.计算机网络高级教程M.北京：清华大学出版社，2007.96-100.