4. 网络安全基础与网络接入

4.1 实验一:访问控制列表配置实验

4.1.1 实验介绍

4.1.1.1 关于本实验

访问控制列表 ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。

ACL 本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用 ACL 的业务模块的处理策略来允许或阻止该报文通过。

4.1.1.2 实验目的

  1. 掌握 ACL 的配置方法
  2. 掌握 ACL 在接口下的应用方法
  3. 掌握流量过滤的基本方式

4.1.1.3 实验组网介绍

4.1.1.4 实验背景

如组网图所示,R3 为服务器,R1 为客户端,客户端与服务器之间路由可达。其中 R1 和 R2 间互联物理接口地址分别为 10.1.2.1/24 和 10.1.2.2/24,R2 和 R3 间互联物理接口地址分别为10.1.3.2/24 和 10.1.3.1/24。另外,R1 上创建两个逻辑接口 LoopBack 0 和 LoopBack 1 分别模拟两个客户端用户,地址分别为 10.1.1.1/24 和 10.1.4.1/24。

其中一个用户(R1 的 LoopBack 1 接口)需要远程管理设备 R3,可以在服务器端配置 Telnet,用户通过密码登录,并配置基于 ACL 的安全策略,保证只有符合安全策略的用户才能登录设备。

4.1.2 实验配置

4.1.2.1 配置思路

1.配置设备 IP 地址

2.配置 OSPF,使得网络路由可达

3.配置 ACL,匹配特定流量

4.配置流量过滤

4.1.2.2 配置步骤

步骤 1、配置设备 IP 地址

配置 R1、R2 和 R3 的 IP 地址

步骤 2、配置 OSPF 使网络互通

在R1、R2 和 R3 上配置 OSPF,三台设备均在区域 0 中,实现全网互联互通

在 R3 上执行 Ping 命令,检测网络的连通性

步骤 3、配置 R3 为 Telnet 服务器

在 R3 使能 Telnet 功能,配置用户权限等级为 3 级,登录密码为 Huawei@123

开启 Telnet 服务器

telnet server enable

进入一个用户界面视图或多个用户界面视图.

user-interface

用户界面,用来管理和监控通过Telnet或SSH方式登录的用户

vty

步骤 4、配置 ACL 进行流量过滤

方式一:在 R3 的 VTY 接口匹配 ACL,允许 R1 通过 LoopBack 1 口地址 Telnet 到 R3。

在 R3 上配置 ACL

在 R3 的 VTY 接口上进行流量过滤

在 R3 上查看 ACL 配置信息

display acl

高级访问控制列表,序号为 3000,共 2 条规则 

Advanced ACL 3000, 2 rules 

ACL 的步长为 5

Acl's step is 5

规则 5,允许特定的流量通过,当没有匹配的报文时,不显示 matches 字段

rule 5 permit tcp source 10.1.4.1 0 destination 10.1.3.1 0 destination-port eq telnet 

方式二:在 R2 的物理接口匹配 ACL,只允许 R1 通过物理接口地址 Telnet 到 R3

在 R2 上配置 ACL

在 R2 的 GE0/0/0 接口上进行流量过滤

在 R2 上查看 ACL 配置信息

4.1.3 结果验证

检测 Telnet 访问,验证 ACL 配置结果

1. 在 R1 上带源地址 10.1.1.1 telnet 到服务器

2. 在 R1 上带源地址 10.1.4.1 telnet 到服务器

4.2 实验二:本地 AAA 配置实验

4.2.1 实验介绍

4.2.1.1 关于本实验

AAA 是 Authentication(认证)、Authorization(授权)和 Accounting(计费)的简称,是网络安全的一种管理机制,提供了认证、授权、计费三种安全功能。

这三种安全功能的具体作用如下:

  • 认证:验证用户是否可以获得网络访问权。
  • 授权:授权用户可以使用哪些服务。
  • 计费:记录用户使用网络资源的情况。

用户可以使用 AAA 提供的一种或多种安全服务。例如,公司仅仅想让员工在访问某些特定资源的时候进行身份认证,那么网络管理员只要配置认证服务器即可。但是若希望对员工使用网络的情况进行记录,那么还需要配置计费服务器。

如上所述,AAA 是一种管理框架,它提供了授权部分用户去访问特定资源,同时可以记录这些用户操作行为的一种安全机制,因其具有良好的可扩展性,并且容易实现用户信息的集中管理而被广泛使用。AAA 可以通过多种协议来实现,在实际应用中,最常使用 RADIUS 协议。

本实验将通过配置本地 AAA 对远程 Telnet 用户进行资源管控。

4.2.1.2 实验目的

  1. 掌握本地 AAA 认证授权方案的配置方法
  2. 掌握创建域的方法
  3. 掌握本地用户的创建方法
  4. 理解基于域的用户管理的原理

4.2.1.3 实验组网介绍

4.2.1.4 实验背景

R1 模拟一台客户端设备,R2 为一台网络设备。现在需要在 R2 上对管理 R2 的用户进行资源控制,只有通过认证的用户才能访问特定的资源,因此您需要在 R1 和 R2 两台路由器上配置本地AAA 认证,并基于域来对用户进行管理,并配置已认证用户的权限级别。

4.2.2 实验任务配置

4.2.2.1 配置思路

1. 配置 AAA 方案

2. 创建域并在域下应用 AAA 方案

3. 配置本地用户

4.2.2.2 配置步骤

步骤 1、设备基础配置

给 R1 和 R2 命名

略。

配置 R1 和 R2 互联的 IP 地址

步骤 2、配置 AAA 方案

配置认证、授权方案

进入 AAA 视图 

创建名为 datacom 的认证方案 

设置认证方案的认证方式为本地认证 

创建名为 datacom 的授权方案 

设置授权方案的授权方式为本地授权 

设备作为 AAA 服务器时被称为本地 AAA 服务器,本地 AAA 服务器支持对用户进行认证和授权,不支持对用户进行计费。

与远端 AAA 服务器相似,本地 AAA 服务器需要配置本地用户的用户名、密码、授权信息等。使用本地 AAA 服务器进行认证和授权比远端 AAA 服务器的速度快,可以降低运营成本,但是存储信息量受设备硬件条件限制。

步骤 3、创建域并在域下应用 AAA 方案

设备对用户的管理是基于域的,每个用户都属于一个域,一个域是由属于同一个域的用户构成的群体。简单地说,用户属于哪个域就使用哪个域下的 AAA 配置信息。创建名为 datacom 的域

指定对该域内的用户采用名为 datacom 的授权方案 

指定该域内的用户采用名为 datacom 的授权方案 

步骤 4、配置本地用户

创建本地用户及其密码

如果用户名中带域名分隔符“@”,则认为@前面的部分是纯用户名,后面部分是域名。如果没有@,则整个字符串为用户名,域为默认域

配置本地用户的接入类型、级别等参数

配置本地用户的接入类型

ocal-user hcia@datacom service-type

指定本地用户的级别。不同级别的用户登录后,只能使用等于或低于自己级别的命令

步骤 5、开启 R2 上的 telnet 功能

设置登录用户界面的验证方式

authentication-mode aaa 

步骤 6、检验配置效果

从 R1 远程 Telnet 访问 R2

此时 R1 已经登录到 R2 上

在R2上查看登录的用户

4.2.3 结果验证

略。

4.3 实验三:网络地址转换配置实验

4.3.1 实验介绍

4.3.1.1 关于本实验

网络地址转换 NAT(Network Address Translation)是将 IP 数据报文头中的 IP 地址转换为另一个 IP 地址的过程。作为减缓 IP 地址枯竭的一种过渡方案,NAT 通过地址重用的方法来满足 IP 地址的需要,可以在一定程度上缓解 IP 地址空间枯竭的压力。NAT 除了解决 IP 地址短缺的问题,还带来了两个好处:

  • 有效避免来自外网的攻击,可以很大程度上提高网络安全性。
  • 控制内网主机访问外网,同时也可以控制外网主机访问内网,解决了内网和外网不能互通的问题。

本实验将通过配置不同场景下的 NAT 帮助学员理解 NAT 技术的原理。

4.3.1.2 实验目的

  1. 掌握动态 NAT 的配置方法
  2. 掌握 Easy IP 的配置方法
  3. 掌握 NAT Server 的配置方法

4.3.1.3 实验组网介绍

1. R1 和 R2 之间的网络属于企业内部网络,使用私网 IPv4 地址。

2. R1 模拟客户端,R2 作为 R1 的网关,同时也是连接公网的出口路由器。

3. R3 模拟公网。

4.3.1.4 实验背景

由于 IPv4 地址紧缺,企业内部一般使用私网 IPv4 地址。然而,企业网络用户时常会有访问公网的需求,同时部分企业还会对外提供相应的服务。此时需要配置 NAT 来实现这些需求。

4.3.2 实验任务配置

4.3.2.1 配置思路

1. 配置动态 NAT

2. 配置 Easy IP

3. 配置 NAT Server

4.3.2.2 配置步骤

步骤 1、基本配置

接口 IP 地址和路由配置

配置R1和R3的telnet功能(用于后续实验验证)

测试当前联通性

因为当前 R3 没有配置到 192.168.1.0/24 网段的路由,R1 无法访问 R3。

实际情况下,R3 也禁止配置到私网 IP 网段的路由。

步骤 2、假设该公司获得了 1.2.3.10 至 1.2.3.20 这段公网 IP,现需要配置动态 NAT

配置 NAT 地址池

这个命令用来配置 NAT 地址池。1 代表地址池的编号,地址池必须是一段连续的IP地址集合,当内部数据报文通过地址转换到达外部网络时,其源地址将被地址池转换为其他地址

nat address-group

配置 ACL

在 R2 的 G0/0/1 接口配置动态 NAT

这个命令用来将一个访问控制列表 ACL 和一个地址池关联起来,符合 ACL 中规定的地址可以使用地址池进行地址转换。当地址池中地址的数量足够时,可以添加 no-pat 参数,表示使用一对一的地址转换,只转换数据报文的地址而不转换端口信息。

nat outbound

测试联通性

R1 通过 telnet 远程登录到 R3(模拟 TCP 流量)

查看 R2 上的 NAT 会话表

尽管此时 R3 没有到 R1 的路由条目,但是由于转换后的源地址为 1.2.3.11,R3 会将数据回复给该地址,R2 收到后会根据 NAT 会话表中的数据重新转换为 R1 的地址并转发。所以此时 R1 可以主动发起到 R3 的访问。 

步骤 3、假设 R2 的 G0/0/1 的地址不是固定的 IP 地址(DHCP 动态获取或 PPPoE 拨号获取),此时需要配置 Easy IP

删除上一步骤的配置

配置 Easy IP

测试联通性

R1 通过 telnet 远程登录到 R3(模拟 TCP 流量)

步骤 4、假设 R3 要向公网提供网络服务(用 telnet 模拟),由于 R3 没有公网 IP 地址,故需要在 R2 的出接口上配置 NAT Server

在 R2 上配置 NAT Server

这个命令用来定义一个内部服务器的映射表,外部用户可以通过地址和端口转换来访问内部服务器的某项服务。配置内部服务器可以使外部网络主动访问私网中的服务器。当外部网络向内部服务器的外部地址(global-address)发起连接请求时,NAT 将该请求的目的地址替换为私网地址(inside-address)后,转发给私网内的服务器。

nat server

R3 通过 telnet 远程登录到 R1

查看 R2 上的 NAT 会话表

4.3.3 结果验证

略。

4.4 实验四:DHCP 基础配置实验

4.4.1 实验介绍

4.4.1.1 关于本实验

动态主机配置协议 DHCP(Dynamic Host Configuration Protocol)是一种用于集中对用户 IP 地址进行动态管理和配置的技术。即使规模较小的网络,通过 DHCP 也可以使后续增加网络设备变得简单快捷。

DHCP 协议由 RFC 2131 定义,采用客户端/服务器通信模式,由客户端(DHCP Client)向服务器(DHCP Server)提出配置申请,服务器返回为客户端分配的配置信息。

DHCP 可以提供两种地址分配机制,网络管理员可以根据网络需求为不同的主机选择不同的分配策略。

  • 动态分配机制:通过 DHCP 为主机分配一个有使用期限(这个使用期限通常叫做租期)的 IP 地址。这种分配机制适用于主机需要临时接入网络或者空闲地址数小于网络主机总数且主机不需要永久连接网络的场景。
  • 静态分配机制:网络管理员通过 DHCP 为指定的主机分配固定的 IP 地址。相比手工静态配置IP 地址,通过 DHCP 方式静态分配机制避免人工配置发生错误,方便管理员统一维护管理。

4.4.1.2 实验目的

  1. 掌握 DHCP 接口地址池的配置方法
  2. 掌握 DHCP 全局地址池的配置方法
  3. 掌握通过 DHCP 分配静态 IP 地址的方法

4.4.1.3 实验组网介绍

1. R1 和 R3 模拟客户端,作为 DHCP Client。

2. R2 作为 DHCP Server 为 R1 和 R3 分配 IP 地址。

4.4.1.4 实验背景

某企业为了减少 IP 地址维护的工作量,增加 IP 地址的利用率,准备在网络内部部署 DHCP 协议。

4.4.2 实验任务配置

4.4.2.1 配置思路

1. 配置 DHCP 服务器

2. 配置 DHCP 客户端

4.4.2.2 配置步骤

步骤 1、基本配置

配置 R2 的接口 IP 地址

步骤 2、开启 DHCP 功能

这个命令是 DHCP 相关功能的总开关,DHCP Client 和 DHCP Server 等功能都要在执行dhcp enable 命令使能 DHCP 功能后才会生效。

dhcp enable

步骤 3、配置地址池

配置 R2 的 G0/0/0 的接口地址池,为 R1 分配 IP 地址

这个命令用来开启接口采用接口地址池的 DHCP Server 功能。若不执行此命令,则无法配置接口地址池的相关参数。

dhco select interface

这个命令用来指定接口地址池下的 DNS 服务器地址。最多可以配置 8 个 DNS Server 的 IP 地址,用空格分隔。 

dhcp server dns-list

配置全局地址池

创建名为 GlobalPool 的地址池 

这个命令用来配置全局地址池下可分配的网段地址。 

network

这个命令用来为 DHCP Client 配置出口网关地址。R3 在获取地址之后,会生成一条默认路由,下一跳地址为 10.0.23.2。 

gateway-list

这个命令用来配置地址池下的地址租期。当租约被设置为 unlimited 时,代表租期无限制。缺省情况下,IP 地址租期是 1 天。 

lease

这个命令用来将 DHCP Server 全局地址池下的 IP 地址与 MAC 地址进行绑定。00e0-fc3d-5ba0 为当前实验环境下 R3 的 G0/0/0 接口的 MAC 地址,可以在 R3 上通过命令 “display interface G0/0/0” 来查看接口的 MAC 地址。配置完这条命令之后,R3 会获得固定的 IP--10.0.23.3。 

static-bind ip-address 10.0.23.3 mac-address 00e0-fc3d-5ba0

步骤 4、开启 R2 G0/0/1 接口的 DHCP Server 功能,为 R3 分配 IP 地址

这个命令用来开启接口采用全局地址池的 DHCP Server 功能。当接口收到 DHCP Client 请求之后,会到所有全局地址池中查找对应的地址池然后分配可用的地址给 DHCP Client。

dhcp select global 

步骤 5、配置 DHCP Client

4.4.3 结果验证

4.4.3.1 查看 R1 和 R3 的地址及路由等信息

可以看到 R1 已经获取到了 IP 地址。 

看到 R1 已经获取到了 DNS 地址

可以看到 R1 已经获取到了默认路由

可以看到 R3 已经获取到了固定的 IP 地址。 

可以看到 R3 已经获取到了 DNS 地址。 

可以看到 R3 已经获取到了默认路由。 

4.4.3.2 查看 R2 上的地址分配情况

这个命令用来查看已配置的 IP 地址池信息。包括地址池的名称、租期、锁定状态、地址池中 IP 地址的状态等。

dis ip pool name 地址池名称

当配置接口地址池时,地址池的名称为接口的名称。分配的网关地址为该接口的IP地址,且无法修改。

4.4.5 思考题

1. 全局地址池和接口地址池的应用场景有什么不同呢?

答:接口地址池适用于当前接口只给 DHCP client 分配与接口同一网段的 IP 地址的场景。

全局地址池可以给 DHCP Client 分配与接口同网段的IP地址,也可以分配不同网段的 IP 地址(DHCP中继组网)。

2. 若有多个全局地址池,如何确定该给 DHCP Client 分配哪一个全局地址池里的地址?

答:无中继场景:在所有全局地址池中查找与接口同一网段的地址池,根据该地址池设置的参数进行分配。有中继场景:根据中继器所请求的网段,在所有全局地址池中查找相同网段的地址池,根据该地址池设置的参数进行分配。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/657640.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

数据治理之法读书笔记

数据治理之法 一、数据基础设施 当今,世界正快速由工业经济时代迈向“数化万物、智化生存”的数字经济时代。 数据基础设施尚没有统一的概念。 从狭义上讲,数据基础设施是指支撑数据运转的相关软硬件资源,如数据中台、数据仓库、数据湖等…

【unity小技巧】unity3d创建和实现破碎打破物品,万物可破碎

文章目录 破碎插件可破碎的物品代码控制加入破坏力完结 破碎插件 关于物品破碎,其实之前已经分享过一个免费插件,如果没有碎片化的模型,可以选择使用这个插件: OpenFracture插件实现unity3d物体破裂和切割 可破碎的物品 代码控制…

山石防火墙简单配置

1、设备管理 安全网关支持本地与远程两种环境配置方法,可以通过CLI 和WebUI 两种方式进行配置。CLI 同时支持Console、Telnet、SSH 等主流通信管理协议。 1.1终端console 登录 通过Console 口配置安全网关时需要在计算机上运行终端仿真程序(系统的超级…

数字孪生智慧能源电力Web3D可视化云平台合集

前言 能源电力的经济发展是中国式现代化的强大动力,是经济社会发展的必要生产要素,电力成本变化直接关系到工业生产、交通运输、农业生产、居民生活等各个方面,合理、经济的能源成本能够促进社会用能服务水平提升、支撑区域产业发展&#xf…

【postgres】10、INDEX Types 索引

文章目录 11.2 Index Types11.2.3 GiST https://www.postgresql.org/docs/current/indexes-types.html 11.2 Index Types 11.2.3 GiST GIST索引不是一种单一的索引,而是一种基础设施,在其中可以实现许多不同的索引策略。因此,可以使用GIST索…

为什么每天上班明明没做什么体力活,却仍感觉到身体好累?

​为什么每天上班明明没做什么体力活,却仍感觉到身体好累? 在现代社会,许多人在工作中并不需要从事繁重的体力劳动,然而,他们却常常感到身体疲惫不堪。这种情况不仅发生在办公室工作的人群中,也普遍存在于…

B3626 跳跃机器人——洛谷(疑问)

题目描述 地上有一排格子,共 �n 个位置。机器猫站在第一个格子上,需要取第 �n 个格子里的东西。 机器猫当然不愿意自己跑过去,所以机器猫从口袋里掏出了一个机器人!这个机器人的行动遵循下面的规则&#…

TypeScript(七) 函数

1. TypeScript 函数 1.1. 函数的定义 函数就是包裹在花括号中的代码块,前面使用关键字function。 语法: // An highlighted block function function_name() {// 执行代码 }实例: function test() { // 函数定义console.log("我就是…

力扣238. 除自身以外数组的乘积(前后缀和)

Problem: 238. 除自身以外数组的乘积 文章目录 题目描述思路复杂度Code 题目描述 思路 思路1: 1.先求取数组的包括当前下标值得前后缀乘积(利用两个数组记录下来分别为leftProduct和rightProduct) 2.当求取一个下标为i的数组中的元素&#x…

企业级大数据安全架构(七)服务安全

作者:楼高 在企业级大数据安全方案中,本节主要介绍服务安全问题,引入kerberos认证机制,目前直接对接kerberos使用较多,这里我们使用FreeIPA来集成kerberos FreeIPA官网下载地址:https://www.freeipa.org/p…

LeetCode Hot100 回顾(二)

子串 560.和为K的子数组 使用前缀和预处理一下题目给的数组, 然后用二重循环遍历一遍就可以了。 239.滑动窗口最大值 看题面比较容易想到的是用优先级队列来解决, 但是STL中的priority_queue不支持随机删除, 如果要用优先级队列来解决这道题的话比较复杂。这道题的一种正确…

安全通道堵塞识别摄像机

当建筑物的安全通道发生堵塞时,可能会给人员疏散和救援带来重大隐患。为了及时识别和解决安全通道堵塞问题,专门设计了安全通道堵塞识别摄像机,它具有监测、识别和报警功能,可在第一时间发现通道堵塞情况。这种摄像机通常安装在通…

Vue Router

Vue Router 一、Vue Router 回顾 1、路由简介 路由是一个比较广义和抽象的概念,路由的本质就是对应关系。 在开发中,路由分为: ​ 后端路由​ 前端路由 后端路由 概念:根据不同的用户 URL 请求,返回不同的内容本…

Mysql+MybatisPlus+Vue实现基础增删改查CRUD

数据库 设计数据库 设计几个字段,主键id自动增长且不可为空 create table if not exists user (id bigint(20) primary key auto_increment comment 主键id,username varchar(255) not null comment 用户名,sex char(1) not null comment 性…

【乳腺肿瘤诊断分类及预测】基于Elman神经网络

课题名称:基于Elman神经网络的乳腺肿瘤诊断分类及预测 版本日期:2023-05-15 运行方式: 直接运行Elman0501.m 文件即可 代码获取方式:私信博主或QQ:491052175 模型描述: 威斯康辛大学医学院经过多年的收集和整理&a…

《Numpy 简易速速上手小册》第6章:Numpy 高级数组操作(2024 最新版)

文章目录 6.1 使用布尔索引和条件选取6.1.1 基础知识6.1.2 完整案例:筛选股市数据6.1.3 拓展案例 1:筛选健康数据6.1.4 拓展案例 2:筛选和替换 6.2 缺失数据和无效数据处理6.2.1 基础知识6.2.2 完整案例:气象数据处理6.2.3 拓展案…

突破瓶颈,提升开发效率:Spring框架进阶与最佳实践-IOC

IOC相关内容 1.1 bean基础配置1.1.1 bean基础配置(id与class)1.1.2 bean的name属性步骤1:配置别名步骤2:根据名称容器中获取bean对象步骤3:运行程序 1.1.3 bean作用范围scope配置1.1.3.1 验证IOC容器中对象是否为单例验证思路具体实现 1.1.3.2 配置bean为非单例1.1.…

k8s中调整Pod数量限制的方法

一、介绍 Kubernetes节点每个默认允许最多创建110个pod,有时可能由于主机配置扩容的问题,从而需要修改节点pod运行数量的限制。 即:需要调整Node节点的最大可运行Pod数量。 一般来说,只需要在kubelet启动命令中增加–max-pods参数…

以“美”为鉴,探寻香港比特币现货ETF的未来发展

出品|欧科云链研究院 作者|Hedy Bi 根据The Block于1月29日的报道,嘉实国际成为了首家向香港证监会提交比特币现货ETF申请的机构。早在去年12月22日,香港证监会发布了《有关证监会认可基金投资虚拟资产的通函》,明确…

华为云codeArts使用操作流程

一、开启服务 什么是华为云CodeArts? 本实验将在华为云CodeArts平台上搭建一个凤凰商城开发项目,并完成需求管理、代码仓库、代码检查、编译构建、发布、部署、流水线等软件开发操作。 1)新建项目 进入华为云“控制台”,鼠标移动到页面左侧菜…