网络攻防实训 第七天

实验七：企业网流量访问控制技术组网

一、ACL技术应用场景

访问控制列表ACL（Access Control List）可以定义一系列不同的规则，设备根据这些规则对数据包进行分类，并针对不同类型的报文进行不同的处理，从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等等。

二、实验任务及需求

1. 通过VLAN技术实现不同业务之间的隔离，其中vlan10为总经办、vlan20为财务部、vlan30为生产部、vlan40为办公部、vlan50为服务器、vlan1为网管业务；
2. 通过trunk技术实现相同vlan跨交换机访问；
3. 通过核心交换机上部署三层网关实现不同业务之间的访问；
4. 熟悉DHCP地址分配的工作原理和基本配置；
5. ACL需求：
   (1) 总经办可以访问所有业务部门；
   (2) 财务部只能访问总经办和服务器，其他所有部门均不能访问；
   (3) 生产部可以访问总经办和办公部，但是不允许访问服务器、网管部和财务部；
   (4) 办公部可以总经办、生产部、服务器、网管，但是不允许访问财务部；
6. 学会通过wireshark软件抓包分析数据流通信过程；

三、实验拓扑图及IP地址规划（注意：拓扑图和地址规划以自己实验为准）

IP地址规划：（注意：详细地址规划参考以上拓扑图）
拓扑图的地址及接口仅供参考，具体以大家实际网络结构和接口为准。
注意：地址规划每个人都不一样，与每个学生班级及学号挂钩，一下表格中的X为所在班级号，Y为学号，本人为2班27号。

四、实验步骤及思路

步骤一：分别在接入层SW1、SW2上创建vlan10和vlan20，并将接口加入相对应的VLAN中；（截图）

1） 分别对三个交换机进行重命名为HX-SW0,JR-SW1,JR-SW2，并更改相应时钟：

HX-SW0:

JR-SW1:

JR-SW2:

在接入层交换机上创建自己需要的vlan，将连接终端的接口开启access，加入到对应的vlan中：

步骤二：将接入层交换机与核心交换机相连的接口均配置为trunk；（截图）

JR-SW1:

JR-SW2:

HX-SW0:

步骤三：总部和分部在核心交换机上分别创建总经办、财务部、生产和办公的网关地址；（截图）

用show ip route 来检验核心交换机是否开启路由功能：

由上可知核心交换机未打开路由功能；

则进行以下操作：

出现上图则路由功能已打开。

步骤四：公司内部各个三层设备之间路由接口进行IP地址配置；（同下）

步骤五：核心交换机上DHCP服务器配置；

先使用 no ip domain-lookup 禁用域名查找：

创建DHCP地址池：（ZJB,CW,SC,BG）

打开电脑的DHCP请求服务：

测试DHCP分配的地址是否能用：

在HX-SW0上输入 show ip dhcp binding 查看生成的IP地址：

步骤六：ACL配置：

在实验四的基础上在核心交换机上添加vlan1 和 vlan50：

给vlan50 进行命名等操作：

给vlan50配access接口（不是trunk）：

查看trunk接口F0/1,F0/2:

使用show run 查看：

步骤八：让各个部门的PC通过DHCP动态获取地址，给服务器手动配置IP地址。（截图）（先点击Static,再点击DHCP）

服务器Ping通成功，说明各个主机之间可以进行相互访问：

步骤九：根据流量访问控制需求，进行连通性测试。

1）财务部只能访问总经办和服务器，其他所有部门均不能访问；

查看：

进行调用：

测试：

2）生产部可以访问总经办和办公部，但是不允许访问服务器、网管部和财务部；

查看：

进行测试：

3）办公部可以总经办、生产部、服务器、网管，但是不允许访问财务部；

调用并查看：

测试：

四、实验测试及截图说明：

1. vlan和trunk测试（注意：截图并说明）

2. 接口IP地址测试

3. 路由表测试：

4. DHCP服务器部署测试：

5. ACL测试：

6. 业务连通性测试：

六、实验总结：

通过今天关于网络访问控制技术ACL技术课程的学习，我了解到了访问控制列表ACL可以定义一系列不同的规则，设备根据这些规则对数据包进行分类，并针对不同类型的报文进行不同的处理，从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等等；通过结合实验和理论了解了通过核心交换机上部署三层网关实现不同业务之间的访问以及熟悉DHCP地址分配的工作原理和基本配置。
总之，通过这次的项目实训，可以对ACL访问控制有一个较为全面的理解，并对日常生活中遇到的一些关于这方面的问题有一定的处理能力，为以后更加深入学习ACL访问控制奠定了基础。