网络设备配置与调试安全网络组建课件.ppt

学习情境三 安全网络组建,网络硬件配置与调试,在学习情境一和学习情境二中的任务做完之后，基本的园区网络就搭建起来了。但是这个网络是不安全的，为了使组建的网络足够安全，小李在本学习情境中首先带领我们了解网络设备的安全，然后通过访问控制列表、端口绑定、和网络地址转换实现网络设备的安全。,学习情境,任务一 安全网络设备,子任务1-1 认识网络安全设备1主要网络设备简介2路由器在网络安全方面的应用3交换机的安全技术4无线局域网的安全知识,学习情境,小李带我们了解了网络设备的安全后，通过三个子任务介绍访问控制列表、端口绑定、和网络地址转换实现网络设备的安全。,任务二 网络安全设备配置,子任务2-1 交换机端口与MAC地址绑定一、任务目的了解什么是交换机的MAC绑定功能；熟练掌握MAC与端口绑定的静态方式。二、任务描述主要任务内容如下： 1交换机IP地址为192.168.1.10/24，PC1的地址为192.168.1.101/24；PC2的地址为192.168.1.102/242. 在交机上作MAC与端口绑定三、任务拓扑网络拓扑结构如图3.1所示。四、任务设备1.S2960 1台2PC 2台3.console线 1根,子任务2-1 交换机端口与MAC地址绑定,五、任务步骤第1步：得到PC1的主机的MAC地址第2步：配置交换机的IP地址第3步：使用端口的MAC地址绑定功能第4步：添加端口静态安全MAC地址，缺省端口最大安全地址数为1第5步：使用PING命令验证第6步：在一个口上绑定多个MAC第7步：使用PING命令验证六、注意事项如果出现端口无法配置MAC地址绑定功能的情况，请检查交换机的端口是否运行了生成树协议、802.1X、端口汇聚或端口已经配置为TRUNK端口，MAC绑定与这些配置是互斥的，所以在执行端口绑定前一定要先关闭端口下的上述功能。七、参考配置(略）,子任务2-2 标准访问控制列表,一、任务目的1.掌握访问控制列表安全性的配置2.理解标准访问控制列表的作用。二、任务描述1.某些安全性要求比较高的主机或网络需要进行访问控制2.其他的很多应用都可以使用访问控制列表提供操作条件3.在本例中禁止192.168.1.0/24对PC2的访问三、任务拓扑网络拓扑图如图3.2所示。四、任务设备1.R2801 2台2.PC 2台3.网线 2根4.串口线 1根,子任务2-2 标准访问控制列表,五、任务步骤第1步：基本配置第2步：路由配置，保证网络的连通性第3步：PC1能与PC2通信第4步：配置访问控制列表禁止PC1所在网段对PC2的访问第5步：将访问控制列表绑定在相应的接口第6步：验证第7步：测试六、注意事项标准访问控制列表是基于源地址的每条访问控制列表都有隐含的拒绝标准访问控制列表一般绑定在离目标最近的接口注意方向，以该接口为参考点，in是流进的方向；out是流出的方向七、参考配置(略）,子任务2-3 扩展访问控制列表,一、任务目的1.掌握扩展访问列表的配置2.理解扩展访问列表的过滤条件二、任务描述1.可以针对目标IP地址进行控制2.针对某些服务进行控制3.可以针对某些协议进行控制本任务中禁PC1 telnet 到PC2,但能PING.三、任务拓扑网络拓扑结构如图3.5所示。四、所需设备1.R2801 2台2.PC 2台3.网线 2根4.串口线 1根,子任务2-3 扩展访问控制列表,五、任务步骤第1步：对路器进行基本配置，并加路由保证网络是连通的，此配置请参照标准访问控制列表。第2步：在R2上设置扩展访问控制列表第3步：查看访问列表第4步：验证六、注意事项扩展访问控制列表通常放在离源比较近的地方扩展访问控制列表可以基于源、目标IP、协议、端口等条件过滤七、参考配置（略）,子任务2-4 静态地址转换,一、任务目的通过任务掌握静态NAT的配置方法及实际应用。二、任务描述根据需要将内部主机PC1:192.168.1.1和PC2:192.168.1.2私有地址转为能上外网的公有地址。三、任务拓扑网络拓扑图如图3.7所示四、任务设备1.R2801 1台2.S2960 1台3.PC 2台4.网线 3根5.串口线 1根,子任务2-4 静态地址转换,五、任务步骤第1步:基本配置。第2步：配置路由协议第3步：在R1上配置静态内部地址转换第4步：PING 2.2.2.2 (虚拟外网地址)六、注意事项1.在配置的时候不要把inside和outside应用接口弄错2.要加上能能使数据包外发的路由协议。七、参考配置（略）,子任务2-5 动态地址转换,一、任务目的通过任务掌握动态NAT的配置方法及实际应用。二、任务描述你是公司的高级网络管理员，公司申请了100个公网IP地址为整个销售部门提供上网服务，销售部门的网段为192.168.1.0/24.合法地址不够每人分配一个，但是销售部门平均有三分之一的人在外跑业务，在公司内部的也不会一直需要网络服务，根据此情况解决公司全局地址不够一一映射的情况。三、任务拓扑网络拓扑图如图3.9所示。四、任务设备1.R2801 2台2.S2960 1台3.PC 2台4.网线 3根5.串口线 1根,子任务2-5 动态地址转换,五、任务步骤第1步：基本配置第2步：配置路由协议第3步：配置动态内部源地址转换第4步：验证结果六、注意事项在配置的时候不要把inside和outside应用接口弄错要加上能能使数据包外发的路由协议。七、参考配置（略）,子任务2-6 PAT,一、任务目的通过实验掌握PAT的配置方法及实际应用。二、任务描述为解决内网上外网时地址不足问题可使用PAT实现多个私有地址对应一个公有地址上网。三、任务拓扑网络拓扑结构图如图3.11所示。四、任务设备1.R2801 2台2.S2960 1台3.PC 2台4.网线 3根5.串口线 1根,子任务2-6 PAT,五、任务步骤第1步：基本配置第2步：配置路由协议第3步：配置PAT地址转换第4步：验证结果六、注意事项在配置的时候不要把inside和outside应用接口弄错要加上能能使数据包外发的路由协议。七、参考配置（略）,小 结,本学习情境主要介绍了几个典型的网络安全设备，通过交换机端口与MAC地址绑定、标准访问控制列表、扩展访问控制列表、静态地址转换、动态地址转换以及PAT介绍网络安全设备的配置与调试方法。,