实验十一蓝盾防火墙的连接与登录配置
实验十一蓝盾防火墙的连接与登录配置
【实验名称】
防火墙的连接与登录配置
【计划学时】
2学时
【实验目的】
1、掌握防火墙的基本连线方法;
2、通过安装控制中心,实现防火墙的登录;
3、了解防火墙的基本设置、管理模式和操作规范;
4、理解规则的建立过程。
【基本原理】
对于防火墙的连接,在本实验里设定LAN口为内网接口,W AN口为外网接口。DMZ (Demilitarized Zone),即”非军事化区”,它是一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。
蓝盾防火墙允许网口信息名称自定义,支持多线接入,使得应用范围扩大。
【实验拓扑】
蓝盾防火墙
【实验步骤】
一、了解防火墙初始配置
打开了81端口(HTTP)和441端口(HTTPS)以供管理防火墙使用。本实验我们利用网线连接ADMIN口与管理PC,并设置好管理PC的IP地址。
2、默认所有配置均为空,可在管理界面得到防火墙详细的运行信息。
二、利用浏览器登陆防火墙管理界面
1、根据拓扑图将PC机与防火墙的ADMIN网口连接起来,当需要连接内部子网或外线连接时也只需要将线路连接在对应网口上
2、客户端设置,以XP为例,打开网络连接,设置本地连接IP地址:
3、“开始” “运行”,输入“CMD”,打开命令行窗口,使用ping命令测试防火墙和管理PC间是否能互通。
4、打开IE浏览器,输入管理地址http://192.168.0.1:81 或是 https://192.168.0.1:441,进入欢迎界面:
如果是通过HTTPS访问,会出现安全证书提示。
点击“是”,会出现登录窗口
5、在防火墙的欢迎界面输入用户名和密码,默认用户名和密码为admin/888888,点击
“登录”进入防火墙管理系统。
三、防火墙配置术语与约定操作
1、网络、主机、端口
IP地址定义格式类同:
192.168.0.1
IP地址范围指在一个IP网段连续的IP地址,也可以跨越不同的子网,定义格式类同:
192.168.0.1-192.168.0.168
子网定义为在同一网络的IP地址段,格式为任何一IP地址和掩码地址,有两种定义方式:
192.168.0.0/255.255.255.0
192.168.0.0/24
端口是服务的端口(范围:1-65535),防火墙中已经预定义了常用的端口,也提供自定义端口,端口定义格式类同:
21
7070
端口范围定义格式为:
137:139
2、描述
防火墙中,几乎所有的配置都可以加入备注,主要是为了管理员方便记忆和识别
3、视图操作
防火墙有一部分内容(如报表视图)小标题左侧有加减号,通过点击该符号可以起到展开收起的功能,可以使视图更为简洁明了:
4、创建、编辑、删除规则
防火墙中需要对规则进行操作,比如NA T、屏蔽IP、管理界面访问权限等;典型的规则配置过程如下(以 SNA T 策略为例):
添加策略:在“增加设置”中,设置相应参数,单击保存则在“设置列表”添加了一个规则:
编辑现有的规则:在“设置列表”中勾选(只能单选)一个要编辑的规则
点击“编辑”则在“编辑规则”中出现要编辑的规则
删除现有规则:在“设置列表”中勾选(支持多选)要删除的规则,点击“删除”
【实验总结】
本次实验主要是通过直接的线路连接,配置访问PC的IP地址,实现防火墙的登录。介绍防火墙界面的基本操作和视图。同时对本部分实验中的配置术语和约定操作加以说明,为后续实验做好准备。
网络地址转换NAT配置实验
. . 实验 网络地址转换NAT 配置实验 学号 _________ 学生 _____ 实验时间____________________ 课程名称:交换机/路由器配置 辅导教师:泰峰 任务一 利用动态NAPT 实现局域网访问互联网 [实验名称] 利用动态NAPT 实现局域网访问互联网。 [实验目的] 掌握网中所有主机连接到Internet 网时,通过端口号区分的复用部全局地址转换。 [背景描述] 你是某公司的网络管理员,公司只向ISP 申请了一个公网IP 地址,希望全公司的主机都能访问外网,请你实现。 [技术原理] NAT(网络地址转换或网络地址翻译),是指将网络地址从一个地址空间转换为另一个地址空间的行为。 NAT 将网络划分为部网络(inside)和外部网络(outside)两部分。局域网主机利用NAT 访问网络时,是将局域网部的本地地址转换为全局地址(互联网合法IP 地址)后转发数据包。 NAT 分为两种类型:NA T(网络地址转换)和NAPT(网络地址端口转换)。NAT 是实现转换后一个本地IP 地址对应与一个全局地址。NAPT 是实现转换后多个IP 地址对应一个全局地址。目前网络中由于公网IP 地址紧缺,而局域网主机数较多,因此一般使用动态的NAPT 实现局域网多台主机共用一个或少数几个公网IP 访问互联网。 [实现功能] 允许部所有主机在公网地址缺乏的情况下可以访问外部网络。 [实验设备] R1762路由器(两台)、V .35线缆(1条)、PC (两台)直连线或交叉线(2) [实验拓扑] [实验步骤] 步骤1. 基本配置 192.17.4.1/24 F1/0 192.17.3.1/24 192.17.4.2/24 192.17.3.2/24 S1/2 S1/2 R1 Lan-router Internet-router F1/0 192.17.1.1/24 192.17.1.2/24 R2
静态路由配置实验报告
静态路由配置实验报告 篇一:计算机网络实验报告静态路由配置 实验报告八 班级:姓名:学号: 实验时间:机房:组号:机号:PC_B 一、实验题目 静态路由配置 二、实验设备 CISCO路由器,专用电缆,网线,CONSOLE线,PC机 三、实验内容 ? 了解路由的功能 ? 在CISCO路由器上配置和验证静态路由 ? 配置缺省路由 四、原理 静态路由是指由网络管理员手工配置的路由信息。当网络的拓扑结构或链路的状态发生变化时,需要手工去修改路由表中相关的静态路由信息。静态路由信息在缺省情况下是私有的,不会传递给其他的路由器。静态路由一般适用于比较简单的网络环境,在这样的环境中,易于清楚地了解网络的拓扑结构,便于设置正确的路由信息。 五、实际步骤 1.设置PC_B的IP地址,连接路由器,打开超级终端。
2.路由器B的配置 User Access Verification Password: 5_R2>en Password: 5_R2#conf t Enter configuration commands, one per line. End with CNTL/Z. 5_R2(config)#int s0/1/0 5_R2(config-if)#no shut 5_R2(config-if)#interface s0/1/0 5_R2(config-if)#ip addr % Incomplete command. 3.配置routerB的s0/1/0端口的IP地址 5_R2(config-if)#ip address 172.17.200.6 255.255.255.252 5_R2(config-if)#^Z 4.配置路由器routerB的f0/1端口的IP地址 5_R2#conf t Enter configuration commands, one per line. End with CNTL/Z. 5_R2(config)#int f0/1 5_R2(config-if)#ip address 10.5.2.1 255.255.255.0 5_R2(config-if)#^Z
网络设备的基本配置
网络设备的基本配置 IMB standardization office【IMB 5AB- IMBK 08- IMB 2C】
实验: 网络设备基本配置 拓扑图 学习目标 ?配置 Cisco 路由器的全局配置设置。 ?配置 Cisco 路由器的访问口令。 ?配置 Cisco 路由器的接口。 ?保存路由器配置文件。 ?配置 Cisco 交换机。 背景 常见配置任务包括设置主机名、访问口令和 MOTD 标语。 接口配置极其重要。除了分配第 3 层 IP 地址外,还要输入一段描述,说明与目的地的连接可节省故障排除时间。 配置更改会立即生效。 但必须将配置更改保存到 NVRAM 中才能保持到设备重新启动后。 场景 在本实验中,学生将配置 Cisco 路由器和 Cisco 交换机的常用设置。 指定 IP 地址为,为子网预留 4 位,请使用下列信息填写下表: (提示:填入子网编号,然后填入主机地址。如果先填入子网编号,将更容易计算地址信息) 子网的最大数量:_______16______
任务1:配置 Cisco 路由器的全局配置设置。 图 1. 实验的电缆连接。 步骤 1:实际连接设备。 请参阅图 1。将控制台电缆或全反电缆的一端连接至路由器的控制台端口,另一端通过 DB-9 或 DB-25 适配器连接到主机计算机的 COM 1 端口。在主机计算机的网卡 (NIC) 与路由器的接口 Fa0/0 之间连接交叉电缆。在路由器的接口 Fa0/1 与交换机的任意接口 (1-24) 之间连接直通电缆。 确保主机计算机、交换机和路由器均已通电。 步骤 2:通过超级终端将主机计算机连接到路由器。 从 Windows 的任务栏中单击“开始”|“程序”|“附件”|“通讯”|“超级终端”启动超级终端程序。使用正确的设置配置超级终端: 连接描述 名称:Lab 11_2_11 图标:自行选择 连接到 连接时使用:COM1(或适当的 COM 端口) COM1 属性 每秒位数:9600 数据位:8 奇偶校验:无 停止位:1 数据流控制:无 当超级终端会话窗口出现后,按Enter键直到路由器发出响应。 如果路由器终端处于配置模式,请通过键入NO退出。 Would you like to enter the initial configuration dialog[yes/no]:no Press RETURN to get started! Router> 当处于特权执行命令模式时,路由器会尝试将所有拼写错误或未能识别的命令解释为域名。因为未配置域服务器,所以当请求超时就会出现延迟现象。这可能会耗费几秒钟到几分钟时间。要停止等待,请同时按住
计算机网络课程设计实验_动态路由配置
计算机网络课程设计实验报告 实验过程及步骤(可另附页、使用网络拓扑图等辅助说明): 1.实验拓扑图: 2.地址规划: 设备 端口 IP 地址 子网掩码 网关 PC0 fa 192.168.10.2 255.255.255.0 192.168.10.1 PC1 192.168.10.3 PC2 192.168.30.2 192.168.30.1 PC3 192.168.30.3 Lab_A fa0/0 192.168.10.1 Serial0/3/0 192.168.20.1 Lab_B fa0/0 192.168.30.1 Serial0/3/0 192.168.20.2
Lab_B(config-if)#description Lab_B LAN Connection Lab_B(config-if)#no shut %LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up Lab_B(config-if)#interface serial0/3/0 Lab_B(config-if)#ip address 192.168.20.2 255.255.255.0 Lab_B(config-if)#description WAN Connection to Lab_A Lab_B(config-if)#exit Lab_B(config)#exit %SYS-5-CONFIG_I: Configured from console by console Lab_B#copy running-config startup-config Destination filename [startup-config]? Building configuration... [OK] 4.根据地址规划设置默认网关和IP 以PC0为例: 5. 配置RIP协议并检测结果 (1)路由Lab_A: Lab_A>enable Password: Lab_A#config t Enter configuration commands, one per line. End with CNTL/Z. Lab_A(config)#route rip Lab_A(config-router)#network 192.168.10.0 Lab_A(config-router)#network 192.168.20.0 Lab_A(config-router)#exit Lab_A(config)#exit
网络设备的基本配置
实验:网络设备基本配置 拓扑图 学习目标 ? 配置Cisco路由器的全局配置设置。 ?配置Cisco路由器的访问口令。 ? 配置Cisco路由器的接口。 ?保存路由器配置文件。 ? 配置Cisco交换机。 背景 1. 常见配置任务包括设置主机名、访问口令和MOTD标语。 接口配置极其重要。除了分配第3层IP地址外,还要输入一段描述,说明与目的地的连接可节省故障排除时间。 配置更改会立即生效。 但必须将配置更改保存到NVRAM中才能保持到设备重新启动后。 场景 在本实验中,学生将配置Cisco路由器和Cisco交换机的常用设置。 指定IP地址为,为子网预留4位,请使用下列信息填写下表: (提示:填入子网编号,然后填入主机地址。如果先填入子网编号,将更容易计算地址信息) 子网的最大数量: _________ 16 _________ 每个子网内可用主机的数量:—14 _______________________
任务1 :配置Cisco路由器的全局配置设置。 图1.实验的电缆连接。
步骤1:实际连接设备 请参阅图1。将控制台电缆或全反电缆的一端连接至路由器的控制台端口,另一端通过DB-9或DB-25适配 器连接到主机计算机的COM 1端口。在主机计算机的网卡(NIC)与路由器的接口FaO/O之间连接交叉电缆。 在路由器的接口FaO/1与交换机的任意接口(1-24)之间连接直通电缆。 确保主机计算机、交换机和路由器均已通电。 步骤2 :通过超级终端将主机计算机连接到路由器。 从Windows的任务栏中单击“开始”| “程序” | “附件” | “通讯” | “超级终端”启动超级终端程序。 使用正确的设置配置超级终端: 连接描述 名称:Lab 11_2_11 图标:自行选择 连接到 连接时使用:COM1 (或适当的COM端口) COM1属性 每秒位数:9600 数据位:8 奇偶校验:无 停止位: 1 数据流控制:无 当超级终端会话窗口岀现后,按Enter键直到路由器发岀响应。 如果路由器终端处于配置模式,请通过键入NO退岀。 Would you like to en ter the in itial con figurati on dialog?[yes/no]: no Press RETURN to get started! Router〉 当处于特权执行命令模式时,路由器会尝试将所有拼写错误或未能识别的命令解释为域名。因为未配置域服务器,所以当请求超时就会出现延迟现象。这可能会耗费几秒钟到几分钟时间。要停止等待,请同时按住
NAT地址转换的配置
NAT地址转换的配置 一、实验目的 1.掌握地址转换的配置 2.掌握向外发布内部服务器地址转换的方法 3.掌握私有地址访问INTERNET的配置方法 二、应用环境 1.企业内部有对INTETNET提供服务的WEB服务器 2.企业内部使用私有地址的主机需要访问INTERNET 三、实验设备 1.DCR-1702 两台 2.PC机两台 四、实验拓扑 五、实验要求 配置表 Router-A Router-B F0/0 192.168.0.1/24 F0/0 192.168.2.1/24 S1/1 (DCE) 192.168.1.1/24 S1/0 192.168.1.2/24 PC SERVER IP 192.168.0.3/24 192.168.2.2/24 网关192.168.0.1 192.168.2.1 六、实验步骤 内部的PC需要访问外部的服务器: 假设在ROUTER-A上做地址转换,将192.168.0.0/24转换成192.168.1.10 –192.168.1.20之间的地址,并且做端口的地址复用
第一步:按实验三和上表将接口地址和PC地址配置好,并且做连通性测试 第二步:配置ROUTER-A的NAT Router-A#conf Router-A_config#ip access-list standard 1 !定义访问控制列表 Router-A_config_std_nacl#permit 192.168.0.0 255.255.255.0 !定义允许转换的源地址范围Router-A_config_std_nacl#exit Router-A_config#ip nat pool overld 192.168.1.10 192.168.1.20 255.255.255.0 !定义名为overld的转换地址池Router-A_config#ip nat inside source list 1 pool overld overload !配置将ACL允许的源地址转换成overld中的地址,并且做PAT的地址复用(overload的意思就是复用,这个作用就是使用一个地址可以重复使用(用端口号进行区分),说白了就是如果不加overload就根据IP来转换,加overload的话就根据端口来转换!) Router-A_config#int f0/0 Router-A_config_f0/0#ip nat inside !定义F0/0为内部接口 Router-A_config_f0/0#int s1/1 Router-A_config_s1/1#ip nat outside !定义S1/1为外部接口 Router-A_config_s1/1#exit Router-A_config#ip route 0.0.0.0 0.0.0.0 192.168.1.2 !配置路由器A的缺省路由 第三步:查看ROUTER-B的路由表 Router-B#sh ip route Codes: C - connected, S - static, R - RIP, B - BGP, BC - BGP connected D - DEIGRP, DEX - external DEIGRP, O - OSPF, OIA - OSPF inter area ON1 - OSPF NSSA external type 1, ON2 - OSPF NSSA external type 2 OE1 - OSPF external type 1, OE2 - OSPF external type 2 DHCP - DHCP type VRF ID: 0 C 192.168.1.0/24 is directly connected, Serial1/0 C 192.168.2.0/24 is directly connected, FastEthernet0/0 !注意:并没有到192.168.0.0的路由 第四步:测试 第五步:查看地址转换表 Router-A#sh ip nat translatios Pro. Dir Inside local Inside global Outside local Outside global ICMP OUT 192.168.0.3:512 192.168.1.10:12512 192.168.1.2:12512 192.168.1.2:12512 注意:端口的转换
实验十一蓝盾防火墙的连接与登录配置
实验十一蓝盾防火墙的连接与登录配置 【实验名称】 防火墙的连接与登录配置 【计划学时】 2学时 【实验目的】 1、掌握防火墙的基本连线方法; 2、通过安装控制中心,实现防火墙的登录; 3、了解防火墙的基本设置、管理模式和操作规范; 4、理解规则的建立过程。 【基本原理】 对于防火墙的连接,在本实验里设定LAN口为内网接口,W AN口为外网接口。DMZ (Demilitarized Zone),即”非军事化区”,它是一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。 蓝盾防火墙允许网口信息名称自定义,支持多线接入,使得应用范围扩大。 【实验拓扑】 蓝盾防火墙 【实验步骤】 一、了解防火墙初始配置
打开了81端口(HTTP)和441端口(HTTPS)以供管理防火墙使用。本实验我们利用网线连接ADMIN口与管理PC,并设置好管理PC的IP地址。 2、默认所有配置均为空,可在管理界面得到防火墙详细的运行信息。 二、利用浏览器登陆防火墙管理界面 1、根据拓扑图将PC机与防火墙的ADMIN网口连接起来,当需要连接内部子网或外线连接时也只需要将线路连接在对应网口上 2、客户端设置,以XP为例,打开网络连接,设置本地连接IP地址: 3、“开始” “运行”,输入“CMD”,打开命令行窗口,使用ping命令测试防火墙和管理PC间是否能互通。
实验(6)——配置动态路由RIP(模拟)
实验(6)——配置动态路由RIP 动态路由协议采用自适应路由算法,能够根据网络拓扑的变化而重新计算机最佳路由。由于路由的复杂性,路由算法也是分层次的,通常把路由协议(算法)划分为自治系统(AS)内的(IGP,Interior Gateway Protocol)与自治系统之间(EGP,External Gateway Protocol)的路由协议。 RIP的全称是Routing Information Protocol,是IGP。RFC1058是RIP version 1标准文件,RFC2453是RIP Version 2的标准文档。 一、实验环境构建 图一 实验环境中各个网段与路由器接口IP地址分配如上图所示。 二、RIP协议基本配置命令 Router(config)#ip classless 让路由器支持无类编址,RIPv1是不支持无类IP编址的。 RIP基本配置命令: Router(config)#router rip Router(config-router)#network w.x.y.z 可选的配置命令: Router(config)#no router rip 在路由器上关闭RIP协议 Router(config-router)#no network w.x.y.z 从RIP协议中移除w.x.y.z网络 Router(config-router)#version 2 RIP协议为第2版 Router(config-if)#ip rip send version 2 该接口仅发送RIP ver 2报文 Router(config-if)#ip rip send version 1 该接口仅发送RIP ver 1报文 Router(conifg-if)#ip rip send version 1 2 该接口发送RIP ver 1报文和RIP ver
常用网络设备设备
物理层设备 1.调制解调器 调制解调器的英文名称为modem,来源于Modulator/Demodulator,即调制器/解调器。 ⑴工作原理 调制解调器是由调制器与解调器组合而成的,故称为调制解调器。调制器的基本职能就是把从终端设备和计算机送出的数字信号转变成适合在电话线、有线电视线等模拟信道上传输的模拟信号;解调器的基本职能是将从模拟信道上接收到的模拟信号恢复成数字信号,交给终端计算机处理。 ⑵调制与解调方式 调制,有模拟调制和数字调制之分。模拟调制是对载波信号的参量进行连续地估值;而数字调制使用载波信号的某些离散状态来表征所传送的信息,在接收端对载波信号的离散参量进行检测。调制是指利用载波信号的一个或几个参数的变化来表示数字信号的一种过程。 调制方式相应的有:调幅、调频和调相三种基本方式。 调幅:振幅调制其载波信号将随着调制信号的振幅而变化。 调频:载波信号的频率随着调制信号而改变。 调相:相位调制有两相调制、四相调制和八相调制几种方式。 ⑶调制解调器的分类 按安装位置:调解解调器可以分为内置式和外置式 按传输速率分类:低速调制解调器,其传输速率在9600bps以下;中速调制解调器,其传输速率在9.6~19.2kbps之间;高速调制解调器,传输速率达到19.2~56kbps。 ⑷调制解调器的功能 ?差错控制功能:差错控制为了克服线路传输中出现的数据差错,实现调制解调器至远端调制解调器的无差错数据传送。 ?数据压缩功能:数据压缩功能是为了提高线路传输中的数据吞吐率,使数据更快地传送至对方。 ⑸调制解调器的安装 调制解调器的安装由两部分组成,线路的连接和驱动程序的安装。 线路连接: ?将电话线引线的一端插头插入调制解调器后面LINE端口。
思科网络地址转换(NAT)配置
Isp no ena config t host ISP no ip domain-lookup line con 0 exec-timeout 0 0 inter e0/1 ip add 202.1.1.2 255.255.255.0 no shut inter e0/2 ip add 203.1.1.1 255.255.255.0 no shut router1 no ena config t no ip domain-lookup host Router1 line con 0 exec-timeout 0 0 host R1 inter e0/0 ip add 192.168.10.1 255.255.255.0 no shut inter e0/1
ip add 202.1.1.1 255.255.255.0 no shut ip route 0.0.0.0 0.0.0.0 202.1.1.2 int e0/0 //静态NAP ip nat inside int e0/1 ip nat outside ip nat inside source static 192.168.10.10 202.1.1.3 ip nat pool hello 202.1.1.10 202.1.1.12 netmask 255.255.255.0 //动态NAP access-list 1 permit 192.168.10.0 0.0.0.255 ip nat inside source list 1 pool hello ip nat inside source list 1 pool hello overload //PAT技术
实验四 防火墙基本配置实验
实验四防火墙基本配置实验 【实验目的】 1.了解防火墙的基本原理; 2.掌握防火墙的基本配置方法。 【实验环境】 1.实验3-4人一组。 2.Cisco PIX防火墙一台。 3.PC机4台,其中一台PC机上安装FTP服务器端软件,并连接在内部网络。 4.RJ-45连接电缆若干。 5.Console配置线一根。 【实验内容】 1.按图1-1搭建本地配置环境 通过PC机用Console配置线连接到防火墙Console口对防火墙进行配置。 2.按图1-2拓扑结构组网。 3.配置要求:(如有已保存的配置,先使用write erase清除闪存中的配置信息) (1)所有的口令都设置为“cisco”(实际上,除了“cisco”之外,你可设置为任意的口令,
但实验中统一用“cisco”以避免口令杂乱带来的问题)。 (2)内部网络是10.0.0.0,子网掩码为255.0.0.0。PIX防火墙的内部IP地址是10.1.1.1。(3)外部网络是1.1.1.0,子网掩码为255.0.0.0,PIX防火墙的外部IP地址是1.1.1.1。(4)在防火墙上配置地址转换,使内部PC机使用IP地址1.1.1.3访问外部网络。 (5)用于外部网络的默认路由是1.1.1.254。 (6)外部网络上的计算机只能访问内部网络FTP服务。 (7)允许10.1.1.0网段的电脑telnet到防火墙上。 4.将配置文件以附件方式用电子邮件发送到lws@https://www.360docs.net/doc/0517804302.html,。附件名为:实验四配置文件-学号姓名。 【实验参考步骤】 注意:实验中用到的IP地址等内容以实验要求中的内容为准,以下内容中的配置举例仅为说明命令的用法。 在配置PIX防火墙之前,先来介绍一下防火墙的物理特性。防火墙通常具有至少3个接口,但许多早期的防火墙只具有2个接口;当使用具有3个接口的防火墙时,就至少产生了3个网络,描述如下: 内部区域(内网):内部区域通常就是指企业内部网络或者是企业内部网络的一部分。它是互连网络的信任区域,即受到了防火墙的保护。 外部区域(外网):外部区域通常指Internet或者非企业内部网络。它是互连网络中不被信任的区域,当外部区域想要访问内部区域的主机和服务,通过防火墙,就可以实现有限制的访问。 停火区(DMZ):停火区是一个隔离的网络,或几个网络。位于停火区中的主机或服务器被称为堡垒主机。一般在停火区内可以放置Web服务器,Mail服务器等。停火区对于外部用户通常是可以访问的,这种方式让外部用户可以访问企业的公开信息,但却不允许他们访问企业内部网络。 注意:2个接口的防火墙是没有停火区的。 当第一次启动PIX防火墙的时候,可以看到一个这样的屏幕显示:
教你如何简单配置动态路由RIP(利用packet-tracer-5.0软件)
教你如何轻松简单的配置动态路由RIP (利用packet tracer 5.0软件) 这是整个实验的拓补图: 接下来将讲解如何进行选择设备及连线,由于是基础教程,所以讲的比较详细,有基础的朋友可以直接跳过这几步 1.路由器的选择: 本实验中选择的事2811路由器,即如图所示: OK,用鼠标左键点击2811拖三个到操作台中(其实选择其他型号的路由器也行,不过这里选择比较通用的,每种路由器之间支持的功能其实还是有很大不同的,这里先不说~)
2.路由器串口的添加: 鼠标左键单击router0,在弹出的窗口中选择physical栏目组,选择win-2T项,如图所示: 此时窗口的右下方出现如图所示的串口接口 接下来将路由器的开关关上,开关如图所示:
然后就可以将右下方的串口拖到上方的空槽中去了,如上图所示: Ps:拖动至不同的空槽串口编号会有所不同,要注意 完成后就可以打开电源了。 将此步骤在router1,router2上复制两次就可以了,一个完整的实验用路由器就可以了 3.交换机的选择: 选295-24就可以了,如图所示: 先点击1框,在选择2框,
. 4.选择终端设备这里我们选择pc机吧~ 5.连线: (1)路由器间的连线:选择serial DTE 连接时就需要记住你说选择的接口编号了,因为等一下配置ip的时候要用到 (2)其他设备之间连线:采用直通线 6,.配端口: (1)路由器端口的配置:按照我拓补图上的ip或者自己定ip都可以,由于这里实在比较简单,就不详细说了,截个图形界面配置的截图给大家看看就ok了 如图所示:
将端口状态改为"on",如下图右上角
浅谈网络地址转换(NAT)的三种方式
浅谈网络地址转换(NAT)的三种方式 由于互联网用户的迅猛发展,IP地址越来越不够用,网络地址转换(NAT)的出现解决了这一问题。本文通过实例着重阐述了NAT的三种网络地址转换方式及地址的转换过程。 标签:NAT 静态转换动态转换端口多路复用 由于互联网用户的迅猛发展,IP地址越来越不够用,怎么办呢?网络地址转换(NAT)的出现解决了这一问题。NAT提供了局域网共享上网的简单方案,内部网络用户连接互联网时,NAT将用户的内部IP地址转换成一个外部公共IP 地址,反之,数据从外部返回时,NAT反向将目标地址替换成初始的内部用户的地址。简言之,NAT的作用就是把内网的私有地址,转化成外网的公有地址,使得内部网络上的(被设置为私有IP地址的)主机可以访问Internet。 那么NAT有哪些方式可以实现网络地址的转换呢?怎么实现? 在配置网络地址转换的过程之前,首先必须搞清楚内部接口和外部接口,以及在哪个外部接口上启用NAT。通常情况下,连接到用户内部网络的接口是NAT 内部接口,而连接到外部网络(如Internet)的接口是NAT外部接口。NAT的实现方式有三种,即静态转换Static Nat、动态转换Dynamic Nat和端口多路复用OverLoad。 ①静态转换是指将内部网络的私有IP地址转换为公有IP地址时,IP地址是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。 实例分析: 假设内部局域网使用的lP地址段为192.168.0.1——192.168.0.254,路由器局域网端(即默认网关)的IP地址为192.168.0.1,子网掩码为255.255.255.0。网络分配的合法IP地址范围为66.158.68.128——66.158.68.135,路由器在广域网中的IP地址为66.158.68.129,子网掩码为255.255.255.248可用于转换的IP地址范围为66.158.68.130——66.158.68.134。要求将内部网址192.168.0.2——192.168.0.6分别转换为合法IP地址66.158.68.130——66.158.68.134。 第一步,设置外部端口。 interface serial 0 ip address 66.158.68.129 255.255.255.248 ip nat outside
防火墙软件的安装与配置实验报告
实验三防火墙软件的安装与配置 一、防火墙软件的安装 1.双击已经下载好的安装程序,出现如下图所示的安装界面: 2. 在出现的如上图所示的授权协议后,请仔细阅读协议,如果你同意协议中的所有条款,请选择“我接受此协议”,并单击下一步继续安装。如果你对协议有任何异议可以单击取消,安装程序将会关闭。必须接受授权协议才可以继续安装天网防火墙。如果同意协议,单击下一步将会出现如下选择安装的文件夹的界面:
3.继续点击下一步出现如下图所示的选择“开始”菜单文件夹,用于程序的快捷方式 4.点击下一步出现如下图所示的正在复制文件的界面,此时是软件正在安装,请用户耐心等待。
5.文件复制基本完成后,系统会自动弹出如下图所示的“设置向导”,为了方便大家更好的使用天网防火墙,请仔细设置。 6.单击下一步出现如下图所示的“安全级别设置”。为了保证您能够正常上网并免受他人的 恶意攻击,一般情况下,我们建议大多数用户和新用户选择中等安全级别,对于熟悉天网防火墙设置的用户可以选择自定义级别。
7.单击下一步可以看见如下图所示的“局域网信息设置”,软件将会自动检测你的IP 地址,并记录下来,同时我们也建议您勾选“开机的时候自动启动防火墙”这一选项,以保 证您的电脑随时都受到我们的保护。 8.单击下一步进入“常用应用程序设置”,对于大多数用户和新用户建议使用默认选
项。 9.单击下一步,至此天网防火墙的基本设置已经完成,单击“结束”完成安装过程。
10.请保存好正在进行的其他工作,单击完成,计算机将重新启动使防火墙生效。 二、防火墙软件的配置 1.局域网地址设置,防火墙将会以这个地址来区分局域网或者是INTERNET的IP来源。 3-1:局域网地址设置 2.管理权限设置,它有效地防止未授权用户随意改动设置、退出防火墙等如图3-2.
实验报告OSPF动态路由的配置
淮海工学院计算机工程学院实验报告书 课程名:《网络管理技术》 题目:动态路由的配置 班级:网络081 学号:110821110 姓名:周永超
1.目的与要求 掌握在路由器上配置RIP路由的方法,掌握针对RIP路由的常用查看和测试命令。掌握在路由器上配置多区域OSPF路由的方法,掌握针对OSPF路由的常用查看和测试命令。 2.实验内容 (1)在指定拓扑结构的多个路由器上配置单区域OSPF路由; (2)使用OSPF路由的常用查看和测试命令。 (3)在指定拓扑结构的多个路由器上配置多区域OSPF路由; (4)使用OSPF路由的常用查看和测试命令。 (5)在第二台和第三台路由器串口上配置PPP验证,实现计算机间的通信。(选做) 3.实验步骤 (1)按照给定的实验拓扑配置单区域(area0)OSPF路由在全局配置模式下在R1上配network 12.0.0.0 0.0.0.255 area 0 network 1.1.1.0 0.0.0.255 area 0;在R2上:配network 2.2.2.0 0.0.0.255 area 0,Network 12.0.0.0 0.0.0.255 area 0 network 2 3.0.0.0 0.0.0.255 area 0;在R3上:network 23.0.0.0 0.0.0.255 area 0,network 3.3.3.0 0.0.0.255 area 0; (2)配好后查看相关端口状态确保正确后查看路由信息:show ip route show ip ospf interface;
在路由器R1上ping 2.2.2.2,ping 23.0.0.2 ping 23.0.0.3 ping 3.3.3.3测试成功,在R2:ping 1.1.1.1 ping 3.3.3.3;R3:ping 12.0.0.1 ping 12.0.0.2 ping 2.2.2.2 ping 1.1.1.1,测试成功。 (3)再根据拓扑结构配置多区域路由,路由在全局配置模式下在R1上配network 12.0.0.0 0.0.0.255 area 1 network 1.1.1.0 0.0.0.255 area 1;在R2上:配network 2.2.2.0 0.0.0.255 area 0,Network 12.0.0.0 0.0.0.255 area 0 network 23.0.0.0 0.0.0.255 area 0;在R3上:network 23.0.0.0 0.0.0.255 area 2,network 3.3.3.0 0.0.0.255 area 2;(4)重复步骤(2)进行测试。 (5)进行PPP协议配置时R2上的端口S1/2不稳定,经常时开时关,无法进行发送、认证,没有进行配置。 4.测试数据与实验结果 初始情况下查看端口状态 在R1上配置OSPF路由
实验10 思科ASA防火墙的NAT配置
实验10 思科ASA防火墙的NAT配置 一、实验目标 1、掌握思科ASA防火墙的NAT规则的基本原理; 2、掌握常见的思科ASA防火墙的NAT规则的配置方法。 二、实验拓扑 根据下图搭建拓扑通过配置ASA防火墙上的NAT规则,使得inside区能单向访问DMZ区和outside区,DMZ区和outside区能够互访。 三、实验配置 1、路由器基本网络配置,配置IP地址和默认网关 R1#conf t R1(config)#int f0/0 R1(config-if)#ip address 192.168.2.1 255.255.255.0 R1(config-if)#no shutdown R1(config-if)#exit R1(config)#ip default-gateway 192.168.2.254 //配置默认网关 R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.254 //添加默认路由R1(config)#exit R1#write R2#conf t R2(config)#int f0/0 R2(config-if)#ip address 202.1.1.1 255.255.255.0 R2(config-if)#no shutdown R2(config-if)#exit R2(config)#ip default-gateway 202.1.1.254 R2(config)#exit
R2#write Server#conf t Server(config)#no ip routing //用路由器模拟服务器,关闭路由功能Server(config)#int f0/0 Server(config-if)#ip address 192.168.1.1 255.255.255.0 Server(config-if)#no shutdown Server(config-if)#exit Server(config)#ip default-gateway 192.168.1.254 Server(config)#exit Server#write *说明:实际配置中最好在三台路由器上都添加一条通往防火墙的默认路由,但在本实验中Server和R2不配置不影响实验效果。 2、防火墙基本配置,配置端口IP地址和定义区域 ciscoasa# conf t ciscoasa(config)# int g0 ciscoasa(config-if)# nameif inside ciscoasa(config-if)# ip address 192.168.2.254 255.255.255.0 ciscoasa(config-if)# no shutdown ciscoasa(config-if)# exit ciscoasa(config)# int g1 ciscoasa(config-if)# nameif dmz ciscoasa(config-if)# security-level 50 ciscoasa(config-if)# ip address 192.168.1.254 255.255.255.0 ciscoasa(config-if)# no shutdown ciscoasa(config-if)# exit ciscoasa(config)# int g2 ciscoasa(config-if)# nameif outside ciscoasa(config-if)# ip address 202.1.1.254 255.255.255.0 ciscoasa(config-if)# no shutdown ciscoasa(config-if)# exit 3、防火墙NAT规则配置 *说明:思科ASA 8.3 版本以后,NAT配置的方法发生了很大的改变。本文档会对改版前后的命令作比较,便于读者的理解和运用。 *可以通过show version命令来查看防火墙当前的版本。 (1)配置协议类型放行 //状态化icmp流量,让icmp包能回包。fixup命令作用是启用、禁止、改变一个服务或协议通过防火墙。
实验八路由器rip动态路由配置
实验八路由器RIP动态路由配置 实验目的 掌握RIP协议的配置方法: 掌握查看通过动态路由协议RIP学习产生的路由; 熟悉广域网线缆的链接方式; 实验背景 假设校园网通过一台三层交换机连到校园网出口路由器上,路由器再和校园外的另一台 路由器连接。现要做适当配置,实现校园网内部主机与校园网外部主机之间的相互通信。为了简化网管的管理维护工作,学校决定采用RIPV2协议实现互通。 技术原理 RIP(Rout ing In formation Protocols, 路由信息协议)是应用较早、使用较普遍的 IGP内部网管协议,使用于小型同类网络,是距离矢量协议; RIP协议跳数作为衡量路径开销的,RIP协议里规定最大跳数为15; RIP协议有两个版本:RIPvl和RIPv2,RIPvl属于有类路由协议,不支持VLSM 以广播形 式进行路由信息的更新,更新周期为30秒;RIPv2属于无类路由协议, 支持VLSM以组播形式进行路由更细。 实验步骤 建立建立packet tracer 拓扑图 (1)在本实验中的三层交换机上划分VLAN10和VLAN2Q其中VLAN10用于连接校 园网主机,VLAN20用于连接R1。 (2 )路由器之间通过电缆通过串口连接,DCE端连接在R1上,配置其时钟频率 64000。 (3)主机和交换机通过直连线,主机与路由器通过交叉线连接。
(4)在S3560上配置RIPV2路由协议。 (5)在路由器R1、R2上配置RIPV2路由协议。
(7)验证PC1、PC2主机之间可以互相同信; 实验设备 PC 2 台;Switch_3560 1 台;Router-PT 2 台;直连线;交叉线;DCE 串口线 FC1 FC PC1 IP: Submask: Gateway: IP: Submask: Gateway: S3560 en conf t host name S3560 vlan 10 exit vla n 20 exit in terface fa 0/10