案例:某企业网络拓扑结构如下图所示,A~E是网络设备的编号:
1.根据上面的网络拓扑图,把下面的表格补充完整:
(1)防火墙USG3000:B位置
解析:① 防火墙作用:可以对内网用户和服务器提供有效保护,抵御来自外部网络的攻击
② 古代的防火墙:原是指古代人们房屋之间修建的那道墙,这道墙可以防止火灾发生的时候蔓延到别的房屋。
③ 这里所说的防火墙不是指物理上的防火墙,而是指隔离在本地网络与外界网络之间的一道防御系统,其实原理是一样的,也就是防止灾难扩散。
④ 在互联网上防火墙是一种非常有效的网络安全模型,通过它可以隔离风险区域(即Internet或有一定风险的网络)与安全区域(局域网)的连接,同时不会妨碍人们对风险区域的访问。所以它一般连接在核心交换机与外网之间。
如下图,它的连接就可以看出,它基本上在内部网络与外网之间,起到一个把关的作用
⑤ 防火墙的工作原理:
防火墙可以监控进出网络的通信量,从而完成看似不可能的任务,仅让安全、核准了的信息进入,同时又抵制对企业构成威胁的数据,说白了,它就像一个守城队,这个城处于紧张状态,只能让外界的良民进城,对城里的坏人进行盘点,不放走一个坏人。随着安全性问题上的失误和缺陷越来越普遍,对网络的入侵不仅来自高超的攻击手段,也有可能来自配置上的低级错误或不合适的口令选择
(2)路由气AR2220:A位置
解析:与外网连接,所以选路由器。
① 路由器作用:连接因特网中各局域网,广域网,功能,寻址。
② 路由器的原理:本地路由器是用来连接网络传输介质的,如光纤,同轴电缆,双绞线,远程路由器是用来连接远程传输介质,并要求相应的设备,如电话线要配调制解调器,无线要通过无线接收机,发射机。”
③ 无线路由器:它起到了家庭局域网和广域网的数据连接的作用,而无线信号则能让设备摆脱网线束缚,在家随时随地都能愉快上网。而且,路由器的功能非常丰富,它可以构建家庭媒体、文件服务中心等。
(3)交换机QUIDWAY3300:C位置(用于DMZ区域的服务器接入)
解析:① 交换机是一种硬件设备,用于过滤和转发网络数据包,从一个网络设备(交换机、路由器、计算机、服务器等)到另一个设备。它广泛用于局域网(LAN),通过查看物理设备地址(称为媒体访问控制地址(MAC地址))来发送每个传入的信息帧。
② 交换机被认为是一个多端口网络桥,它使用硬件地址在OSI模型的数据链路层(第二层)处理和转发数据。一些交换机还可以通过结合路由功能在网络层(第三层)处理数据。此类交换机通常被称为第3层交换机或多层交换机。
③ 网络中交换机的目的、功能是除了连接联网设备外,交换机在流量管理、信息转发、增加带宽等方面发挥着重要作用:
※ 连接多个主机:通常情况下,交换机为电缆连接提供大量的端口,允许星形拓扑结构的路由。它通常用于将多台PC连接到网络上。
※ 将信息转发到特定的主机:像桥梁一样,交换机在每个端口使用相同的转发或过滤逻辑。当网络上的任何主机或交换机向同一网络或同一交换机上的另一主机发送消息时,交换机接收并解码帧以读取消息的物理(MAC)地址部分。
※ 管理流量。网络中的交换机可以管理进入或离开网络的流量,可以轻松地连接计算机和接入点等设备。
※ 保持电信号不失真:当交换机转发一个帧时,它重新生成一个不失真的方形电信号。
※ 增加局域网带宽:交换机将一个局域网划分为多个具有独立宽带的碰撞域,从而大大增加了局域网的带宽。
(4)服务器IBM X3500M5:D位置
解析:一般只限于内网访问
2.以下是AR2000的部分配置:
[AR2000]acl 2000
[AR2000-acl-2000]rule normal permit source 192.168.0.0 0.0.255.255
[AR2000-acl-2000]rule normal deny source any
[AR2000-acl-2000]quit
[AR2000]interface Ethernet0
[AR2000-Ethernet0] ip address 192.168.0.1 255.255.255.0
[AR2000-Ethernet0] quit
[AR2000] interface Ethernet1
[AR2000-Ethernet1] ip address 59.41.221.100 255.255.255.0
[AR2000-Ethernet1] nat outbound 2000 interface
[AR2000-Ethernet1] quit
[AR2000] ip route-static 0.0.0.0 0.0.0.0 59.74.221.254
(1)设备AR2220使用Ethernet1接口实现NAT功能
解析:根据命令[AR2000] interface Ethernet1判断NAT使用Ethernet1接口,命令[AR2000-Ethernet1] nat outbound 2000 interface 的作用是在Ethernet1接口上进行NAT转换
(2)该接口地址网关是:59.41.221.254
解析:命令[AR2000] ip route-static 0.0.0.0 0.0.0.0 59.74.221.254 为默认路由,下一跳就是网关地址,所以网关应该是59.74.221.254
3.若只允许内网发起FTP、http连接,并且拒绝来自站点2.2.2.11的Java Applets报文,在USG3000设备中有如下配置,请补充完整:
[USG3000] acl number 3000
[USG3000-acl-adv-3000] rule permit tcp destination-port eq www
[USG3000-acl-adv-3000] rule permit tcp destination-port eq ftp
[USG3000-acl-adv-3000] rule permit tcp destination-port eq ftp-data
[USG3000] acl number 2010
[USG3000-acl-basic-2010] rule deny source 2.2.2.11 0.0.0.0 //根据题意拒绝来自站点2.2.2.11的Java Applets报文,结合命令[USG3000-interzone-trust-untrust] detect java-blocking 2010填deny
[USG3000-acl-basic-2010] rule permit source any
[USG3000] firewall interzone trust untrust //在Trust和Untrust的域间开启ASPF策略(基于应用层的状态报文过滤)
[USG3000-interzone-trust-untrust] packet-filter 3000 outbound //将ACL3000过滤规则应用在接口下,后跟方向outbound/inbound,根据题意条件:若只允许内网发起FTP、http连接,并且拒绝来自站点2.2.2.11的Java Applets报文,因此出口方向为outbound方向(outbound为内网到外网方向)
[USG3000-interzone-trust-untrust] detect ftp
[USG3000-interzone-trust-untrust] detect http
[USG3000-interzone-trust-untrust] detect java-blocking 2010
4.PC-1、PC-2、PC-3网络设置如表下图所示:
通过配置 RIP,使得PC-1、PC-2、PC-3相互访问,请补充设备E上的配置,或解释相关命令
(1)//配置E上vlan路由接口地址
interface vlanif 300
ip address 192.168.4.1 255.255.255.0 //配置VLAN300的网关IP地址
interface vlanif 1000 //互通VLAN
ip address 192.168.100.1 255.255.255.0
//配置E上的rip协议
rip
network 192.168.4.0
network 192.168.100.0 //RIP启用RIP协议,命令network用于发布直连网段,根据命令ip address 192.168.100.1 255.255.255.0 应该填写网段 192.168.100.0
//配置E上的trunk链路
int e0/1
port link-type trunk // 将端口设置为trunk,允许vlan通过
port trunk permit vlan all