Center(config)#ip dhcp pool vlan40
Center(dhcp-config)# network 172.16.40.0 255.255.255.0 Center(dhcp-config)# default-router 172.16.40.254 Center(dhcp-config)#dns-server 172.16.5.107
Center(config)#ip dhcp pool vlan50
Center(dhcp-config)# network 172.16.50.0 255.255.255.0 Center(dhcp-config)# default-router 172.16.50.254 Center(dhcp-config)# dns-server 172.16.5.107
Center(config)#ip dhcp pool vlan10_management------//vlan10,管理员vlan域 Center(dhcp-config)# network 172.16.10.0 255.255.255.0 Center(dhcp-config)# default-router 172.16.10.254 Center(dhcp-config)# dns-server 172.16.5.107
安全配置:
安全策略1:
ACL:(inner Router-f0/0 in)
1.内网可以访问DMZ内的服务器(FTP,WEB,DNS。 2.DMZ区域不能主动访问内网。
3.内网可以ping服务器,服务器不能ping内网。
Extended IP access list dmz-intranet
permit tcp 172.16.5.0 0.0.0.255 172.16.0.0 0.0.255.255 established deny tcp 172.16.5.0 0.0.0.255 172.16.0.0 0.0.255.255 deny icmp 172.16.5.0 0.0.0.255 172.16.0.0 0.0.255.255 echo permit ip any any
Inner_Router(config)#ip access-list extended dmz-intranet
Inner_Router(config-ext-nacl)#permit tcp 172.16.5.0 0.0.0.255 172.16.0.0 0.0.255.255 established Inner_Router(config-ext-nacl)#deny tcp 172.16.5.0 0.0.0.255 172.16.0.0 0.0.255.255 Inner_Router(config-ext-nacl)#deny icmp 172.16.5.0 0.0.0.255 172.16.0.0 0.0.255.255 echo Inner_Router(config-ext-nacl)#permit ip any any 效果:
10
安全策略2:
ACL:Internet(ABR)--F0/1 OUT---Internet-dmz 1.内网可以访问外网的服务--Web. 2.外网可以访问DMZ区域的服务。 3.DMZ不能访问外网
4.内网可以ping通外网,外网不能Ping内网
Extended IP access list internet
permit tcp 200.1.10.0 0.0.0.255 172.16.0.0 0.0.255.255 established deny tcp 200.1.10.0 0.0.0.255 172.16.0.0 0.0.255.255 deny icmp 200.1.10.0 0.0.0.255 172.16.0.0 0.0.255.255 echo permit ip any any
ip access-list extended Internet-dmz
permit tcp 172.16.0.0 0.0.255.255 any established deny tcp 172.16.0.0 0.0.255.255 any
deny icmp 172.16.0.0 0.0.255.255 any echo-reply permit ip any any
VPN_安全接入配置:
公司驻外人员的主机直接连通Internet,这种情况下必须在学校的VPN路由器上进行配置,客户机使用VPN客户端连接
在公司VPN路由器上配置Easy VPN,Easy VPN是Cisco独有的远程接入VPN,配置过程如下:
aaa new-model 启动AAA认证
aaa authentication login vpn-a local aaa authorization network vpn-o local
username vpn password 0 vpn 建立本地用户名密码 crypto isakmp enable
crypto isakmp policy 10 建立ipsec安全参数配置 hash md5
authentication pre-share group 2
ip local pool VPN-POOL 172.16.6.1 172.16.6.254 (建立分配给VPN用户的地址池) crypto isakmp client configuration group vpngroup (easyvpn的组及密码配置,vpngroup
11
为组名) key vpn
domain cisco.com pool VPN-POOL
crypto ipsec transform-set hw esp-3des esp-md5-hmac (Ipsec阶段2配置) crypto dynamic-map d-map 10 (动态加密图) set transform-set hw
reverse-route (反向路由注入)
Easyvpn用户的认证授权配置:no ip domain-lookup crypto map hw-map client authentication list vpn-a crypto map hw-map isakmp authorization list vpn-o crypto map hw-map client configuration address respond crypto map hw-map 10 ipsec-isakmp dynamic d-map 最后在端口上绑定: interface FastEthernet1/0 crypto map hw-map
配置完毕之后在公司分部人员的PC上通过vpn客户端,组名为vpngroup,key为vpn,服务器地址为HuaWei.com_Center的Fa10地址,用户名密码均为vpn,即可看到连接成功,分到一个172.16.100.1~172.16.100.254的地址,之后就可以正常与公司内主机通信了。
登陆后:
到这里,公司外部的人员在分公司就可以使用拨号VPN登陆到公司总部,登陆后,就可以完全和总公司内部的机器享有共同的资源和策略。 WEB服务器:
域名为:www.hw.com 地址为:172.16.5.100
12
五、GRE隧道配置
拓扑图:
实验步骤及要求:
1、配置各台路由器的IP地址,并且使用Ping命令确认各路由器的直连口的互通。 2、在R1和R3上配置静态路由。确保Internet网络骨干可以相互通信。
在R1与R3上配置静态默认路由,不仅仅是用于模拟接入路由器。同时还为了确保在创建隧道时,隧道源与隧道目标的IP地址相互可见。以便于实现隧道。 3、确认R1能够Ping通R3路由器的公网接口IP。
4、在R1或R3路由器上Ping路由器R3或R1的回环口。 5、在R1路由器上配置GRE隧道。 6、在R2路由器上配置GRE隧道。 7、在R1上查看隧道接口信息。 8、查看R1的路由表。
9、在R1上PING路由器R3的隧道接口。
10、在R1和R3分别配置目标为R1和R3的回环接口,下一跳为隧道接口的路由。
六、安全测试
安全数据格式包设计与封装
ICMP报文,然后使用调制模式,查看其在网络中的封装情况。
如图:我们来观察下数据包的格式:
13
14
网络安全技术及应用实训报告
