企业网络信息安全实验报告.docx

《企业网络信息安全实验报告.docx》由会员分享，可在线阅读，更多相关《企业网络信息安全实验报告.docx（30页珍藏版）》请在三一办公上搜索。

1、企业网络信息安全试验报告一、需求分析1.1系统概述项目：企业网络拓扑1.2需求概述保证网络覆盖各个部门，部门之间能做到独立或者互通，外部人员需要正确口令 才能接入网络。企业内网挂入企业内中，且内外部都能访问。公司网络分为五个部门，分别是财务部、销售部、办公部、市场部（采购销售 等）、人事部。每个部门员工数保持在8人左右。保证每个部门的员工都在相同的vlan，其中，财务部的网络是独立的，销售 部和办公部门能相互访问，其他部门不做限制。给外部的人布置一个无线路由器，给外部的人做连接，保证无线路由器外部的 人过来必须输入正确的口令才能接入到我们的网络中。企业内部网站挂在我们企业内部中，这个服务器在企

2、业内部外部都能访问（只 要服务器开）。要求8台计算机IP地址都是通过DHCP提供的（自动获取的），同时保证每个 部门中的IP（valn决定ip端），拓扑结构图（一台交换机最多提供1-2个部门 使用）。企业内部网络所有的计算机除了财务部都能访问外网，ISP上架两台服务器连 通使用。二、设备采购三层交换机3560若干路由器2811若干二层交换机2960若干办公用PC若干服务器设备若干三、网络规划 如下拓扑图所示ms 202.2hcpPC-PTPC-PT PC-PT PC5 % PO&VLAT-A. KZ16E.3.L42D2.13.3/2nsdeip1921aB. 11.254 outside 口

3、 ：2D2.130.223.240PC-PT PC-PT PC-PT PCD PCI PCL4UN-2i 192.168.1.1/24FO/OJLLL 皿4 1=0/1921-58.10.1/24 90/3.! 202.120,2232/24 1:192.166.1. 1=0.2:192.166.2.1424 0.3:192.1663.1434 .4; 192.166.4. .5:192.166.5.PC-FTHIhi pc-PT PC? PC9 FC2Q 市坯其 igziss.A.qxN* LaptD|PT佛* Laptopl-寸专JWRTSDOlfe.OUTSIDE 勾,.普麟Frrter

4、ne-t 12.166.10.2/24 L 日 LAN 192.1fi8.0. V24 伺 _sLaptop-PTJLi5ptGp219.2.163.1.101/24Servcr-Fk/ Servar-RT&NS fq初、ra/I www.sou.CDm方云啾:颂卫am河归加亍 PL :2D2.13.1f21/ SCN 55/3/0:301121).223.1BOB7TC-Pl PC-PT PC-PT PC-PT PC-PT PCI! PC12 pC13.人E心L92.1fa.5. V24四、选址分析其中IP分配选择DHCP从地址池中选择地址自动分配。地址表设备接口IP地址子网掩码ISP-CN

5、(2811 ROUTE)F0/0202.2.2.1255.255.255.0F0/1202.3.3.1255.255.255.0S0/3/0202.120.223.1255.255.255.0DHCP(2811 ROUTE)F0/012.1.1.1255.255.255.0F0/1192.168.10.1255.255.255.0S0/3/0202.120.223.2255.255.255.0S(3560SWITCH)F0/112.1.1.2255.255.255.0OURSIDE(WRT300N)Internet192.168.10.2255.255.255.0LAN192.168.0.12

6、55.255.255.0五、技术方案路由技术路由协议工作在OSI参考模型的第3层，因此它的作用主要是在通信子网间路 由数据包。路由器具有在网络中传递数据时选择最佳路径的能力。除了可以完成 主要的路由任务，利用访问控制列表(Access Control List，ACL)，路由器还 可以用来完成以路由器为中心的流量控制和过滤功能。在本规划设计中，内网用 户不仅通过路由器接入因特网、内网用户之间也通过3层交换机上的路由功能进 行数据包交换。交换技术传统意义上的数据交换发生在OSI模型的第2层。现代交换技术还实现了第3 层交换和多层交换。高层交换技术的引入不但提高了企业区网数据交换的效率， 更大大增

7、强了企业区网数据交换服务质量，满足了不同类型网络应用程序的需要。 现代交换网络还引入了虚拟局域网(Virtual LAN，VLAN)的概念。VLAN将广播 域限制在单个VLAN内部，减小了各VLAN间主机的广播通信对其他VLAN的影响。 在VLAN间需要通信的时候，可以利用VLAN间路由技术来实现。当网络管理人员 需要管理的交换机数量众多时，可以使用VLAN中继协议(Vlan TrunkingProtocol，VTP)简化管理，它只需在单独一台交换机上定义所有VLAN。然后通 过VTP协议将VLAN定义传播到本管理域中的所有交换机上。这样，大大减轻了 网络管理人员的工作负担和工作强度。为了简化

8、交换网络设计、提高交换网络的 可扩展性，在企业区网内部数据交换的部署是分层进行的。企业区网数据交换设 备可以划分为三个层次：核心层、会聚层、接入层。在本规划设计中，也将采用 这三层进行分开设计、配置。六、设备配置(截图配置好的显示)1.交换机三层交换机S(3560)【配置DHCP中继】路由相连的接口配置蜉SPhysical ConfgCLIIOS Commaintenface FastEthernetO/1ELD 3Ki t ChpDE t ip aldrssa LZ1.1.2 255.255.255-0 dnpLEM auto speed, auto 其他端口S(confi g)Svlan

9、ZS (ccnzig-vlan)若n日nue testlS (GQQLig-vlan) pvla:n 3S (ccnrig-vla:nj #：aamje test*S (conn i g -ttI an)华vlmn 4S (ccnfig-vlan)辂Eimms teatsS (conf i g -vl an) Cvl an 5S (GOQ-ig-vlanJ nm皿 tisst：4S (czonrig-vla:n) pvl a:n =6S (czcnrig-vlanj aanue test：G(eanrig-vlsn)Slut vlsn 1S(config-if3 tip add 192.1S8

10、.1.1 255.255.255.0% 13Z.1S8.1.0 overlaps liith Vld：n2S (cciiLig-ix J 牛e靠S (conrigj #int rlan 2S (config-if ：i tip add 192.1G8.1.1 2EG-255 .EiG . 0S(config-if3 tip heIper-addregg 12-L. 1.1S(config-if3 tint vlan 3S(con=ig-i=；fLp add 192.1SS.2.1 Z55.ZSS卫55.口 (conrig - ir J 暮土p h_e lper-addr e ss 12 1.1

11、.1S 1.1.1 (eanfig-if ：i tint vlan GS(config-if3 tip add 192.1S8.6.1 2S5.255.2S5.0S(config-if3 Sip heIpEr-addrea3 12-L.1.1二层交换机(例S1) 2960_nt;er czont iguratLon ccnnciancls F one par 1 me - hZncl SI (czcriEig) tint izmng rO/2-19SI (eanrig-if-Esne ) tsTJltehpcr t ，己0mm2SI(ecnrig-if-Eanfi)学信敏SI Eiimg) E

12、int enf a.ae FastE ttieenet 0/1 switizhpor t mo de tEu.nkinterface FaatEthsrn&t0/2 mwLLuhp口hu access vLan 2I interface FaatE theenet 0/2 awitciipcrt mizcigm日 vlan 2lntE-a.Gis EsatE0/4 swd_tchpcirt access vlan inteEfa.cc FaatEtheEnet0/S switcliport； acceas vLan 2intenr ace FastEtheme10 /=c switeiipcr

13、tvlan 2interface FaatEthernet0/7 switcQiportvlan 2interface FsstEthecn&t0/S switciipcrt access vlan 22.路由器配置是 Routert) =d 回 IWPhysicalNM-LFE-TXNM-1FE2WNM-2E2WMM-卫FE邳JNM2WNM-4A/SNM-4ENM-8A/SNIM-BAMNM-CoverNM-ESW-L&lHWIC-2THWIC4ESWHWI 匚3AHWIC-AP-AG-BWJC-岫/WItZ.lE：W1U-1TWIC-2AMW1C-2TW*阵rPhysical Device

14、 ViewcustomizeIcon in Logical viewZoom nIIOriginal SizeZoom OutcustomizeIcon inPhysical viewThe dual-serial port WAN iniErfaiizE导启声compactf high-density Smart Sori日I 3nrFHBGt& io &u忡port r 相idW一 iMvariety of 已I巳ctricail interfaces when used with the appropriatetransition cable. Two- c日Bles are requi

15、red to support the two- ports on 力Physical Device ViewOriginal SizeZoom InZoom Outcustomize Icon in Logical view口 I回Physical config CLIcustomizeIcon inPhysical viewThe dual-serial port WAN iniErfai 笠 慎裹 0我4 瞄（MjUt 洒 1=1导扁I 眼31 再 门佛阶、声 compactr high-density Smart Serih细 variety of electrical interfac

16、es when used with the appropriatetransition cable- Two cables are required to support the two ports on 翻 RouterDPhysicalConfigPhysical Device ViewOriginal SizeZoom InZoom OutK*iah-工 Ii 1点宣Customize Icon in Physical ViewCustonI coni ir Logical ViwThe dual-serial port WA%interf吁 s.*【上1匚汉宣电主匚顽厕函与一一一-一一

17、 一 七compact, high-density Smart variety of electrical interfaces when used with the appropriate transition cable- Two cables are required to support the two parts onCTJfzPhysical Device ViewOriginal Siz已NM-LFE-TXMM-1FE2WNMQENWNM-2FE2WNM-4A/SJNM-4ENM-8A/SNM-CoverNM-ESW-i&lI-IWIC-2THWIC-4ESWHWIU-8A_ H

18、WIOAP-AG-BWIO1 徵WIC-1ENETWC-1TWC-2TCustomz 巳Icon inPhysical ViewCu Starr izeIcon inLogical Viewvariety of electrical interfaces when used with the appropriate transition cable- Two cables are required to support the two parts on2.无线WIFI配置OUTSIDEPhysicalConfig GUIUU biutRouter IPSubnet Mask:9 Enabled

19、 DisabledStart IP Address:192.168.0. 100Maximum number50IP Address Range:夔 OUTSIDEDH-CP ServerSettingsIP Address:DHCP Server:Client Lease Time:Reservation152.16S.0. 100 - 145FErmware Version: vD-OSnStatusWireless-N Broadband Router WRT3QIire less SecurityWireless MAC FilterSetup WirelessBasic Wirete

20、ssSecurity -乎mibAd ministirationRestrictions & Gaminga Enabled DisabledHelp Save SettingsCancel ChangesPhysical Config GUIWireless-NBroadband RouterWirelessint erf ace Fa.a tE theme 10/1descript!QU OUTSIDEip a=ldEsa 122.1S8.10.1 255.255.255.0ip ximt inaidedu-pleM aito-ape sd auta接路由器的端口3.笔记本配置善 Lapt

21、opBPhysical Config Desktop Ciistom InterfaceMODULESWPC30QNPT-LAPTO P- NMPT-LAPTOP-NM-1CE、| PT-LAPTOP-NM-1CFEPT-LAPTOP-NM-1CGE| PT-LAPTOP-NM-1FFEPT-LAPTOP-NM-1FGEPT-UXPT0P-NM-1WPT-LAPT0P-NH-1W-APT-HEADPHONEPT-MICROPHONE 一PT-CAM ERA| PT-USB-HARD-DRIVEPhysical Device ViewZoom OutZoom InOrigin曰I Sizeipr

22、Customize Icon in Physical ViewThe Li n ksys- WPC3 0 0 N module provides one 2.4G Hz wireless interface suitable for connection to wireless networks. The module supports protocols that use Ethernet for LAN access.Connectconnect就 LaptopOPh/sicalConfigDesktopBelow is a list of available wireless neiMf

23、lrks. To search lor more wireless neTwtuks, click tiie Refresh tiuLWn. To ilew more InftHmaCton aliout a netwofk, select the whiles netwom name. Io connect to mat nelwcrk, click lhe Cbnrect buttonAdapter is ActiveWketess Network 福 me CM SignalSMe InlDhnationloUTSIDE1100%Unk InformationWir&lGSS-H Not

24、ebook Adapter Wireless Network Monitor vl.O mimu WPC300NSMe InlDmationMode InfrastructNetvrork lpe MiKed B/G/BRadio Band AutaSscufityDis -ibl 口MAC Address 0001.9T1D.4B06Reiresh4.DHCP配置 配置与三层相连的接口DH-CP (canfig) tint ffO/O(cD：nr ig- i add. 121.L-1 2GS .2G5-2G5.0DH-CP t config- i E) trio ah.B I Ml I !

25、除静态分配地址DHCP服务器假定DHCP地址池子网中的所有IP地址均可供分配给DHCP客户端。对 于DHCP服务器不应分配给客户端的IP地址，必须特别指定。这些IP地址通常是保留给路 由器接口、交换机管理IP地址、服务器和本地网络打印机使用的静态地址。 ip dhcp excluded-address命令防止路由器分配所配置范围内的IP地址。瑚 DHCPPhysicalConfigCLIIOS Command 1ip dhcp ejcclude-d- a-ddr ess 192._ 2.1 ip dhcp- sJtcludad-a-ddi&S3 192 .12.2.1 ip dhcp- eJt

26、cluded-a-ddiegg 192 .lE .4.1 ip dhcp axcludaci-address 192 .lc8.5.1 配置地址池露 DHCPPhysical Config CLIIOS Command Line Inteip dhcp pcckl test!ne tUQEk L9 20 2S5 2SE. 2 5S 0 de fault-router 192.15S1_1 Ing-geEVGE 1.11_1ip diicp petal testZlie two rk L9 2.18.2.0 255 25&. 2 55 0 de fault-eduter 192.158-2-1

27、ing-gerver 2 -2,2-2ip diicp petal testsn.etMQEh 132.158.3.0 25S.2S&. 2SS.0 de fault-router 19.1SS5 1 1H3-9SEV&E 9.223ip diicp pool ta3t4n.etKQEk 132-124.0 Z55.Z5S. ZS5.D d_e rault-Eouter 192.15S. 4 -1 dH3-9SEV&r 4 4 4 4ip diicp pctol tsst;5n.etMQEh 132.158.5.0 25S.2S&. 2SS.0 de fault-router 19.1SS5

28、1d_ns server= 5 - E _ G _ &ip dhep pool teatSnetwork L92.18_6.0 255.255.255-0 d_e fault-edu ter 19Z. 1. =6 _ 1ins server - =e no ip cefno ipv cef 检验DHCP配置空M理mhw ipdhap bindingIP addnes sClient-ID/Lease enpiizatic:nTypeHa Edgars192-168-1.4OODO-58ZD.8AD8AutciMtic192-168-1.300014357.90EEAutcmatic132.1S

29、B.1.50001192-1S&.S.2OODOOCDD.S5=JSS.u.tcmat i a192_16B_2-3OOOAF3CS.2：D03Autcmat i c192_18.2.40001.42A2.D73RAutomatic192_16S_3.30001C719-D599iutcmatic192_168_3-Z00DOBC7a.A0B3AutciMtic192-168.3.40002._4A7a.7D33Autcinatiic192-1S8-420 0 02.1007Au. t emat i c192_16S_4.300D1973：B.SA4gAutcmat i c192-1S8-4.

30、4OODO-G8SL.ACGAAutcnnat i c192_lg-S.40030A30Z.M80iutdEiatic192_168_5.30 0 0197Ai7A22AutciMtic192.1S8.5.2OOEOBOZG.8A4CAutcmatic 配置NAT(1)配置静态路由和默认路由ISP-CN使用静态路由到达DHCP以外的所有网络。不过，给ISP-CN发送流量之前，DHCP会将私有地址转换成公有地址。因此，必须以公有地址配 置ISP-CN，这些公有地址是DHCP上NAT配置的一部分。在ISP-上输入 以下静态路由：ZSP-CNtcDnr tEnter conr 1 gueation

31、ccirnnnd.sr one per Line . End with CNTZj/Z .ZSF-CNfconfig)ZSP-CN(config)#ip route 202-LZO.223240 255.255.Z55.240 serial 0/3/0此静态路由包括所有分配给DHCP以供公开使用的地址。在R2上配置默认 路由，并在OSPF中传播此路由。DHCPfconf tSuter czonfigunat i on ccmiria nds f one per line . End iri tH CNTL/ Z . DHCPCeQnfigjeiF- Efiuts 0.0.0.0 0.0.0.0

32、 202.120222.1 DHCP C eon fig ：i #EQUter Dgpf 1DHCP Cconfig-r out er) tdefiaul t-i nf n e 瞬 ticn qe i gi nat 色DHCP tuonEj-g ECiiit;r:r：i (2)静态隐射公有IP地址到私有IP地址ISP-CN以外的外部主机可以访问与DHCP相连的内部服务器。将公有IP地 址202.120.223.240静态指定为NAT用来映射数据包到内部服务器私 有IP地址192.168.11.254的地址(3) 指定内部和外部NAT接口。NAT工作之前，必须指定哪些接口是内部接口，哪些接口是外

33、部接口 ccnrig? fizit： mu/淳/1 uHCE- ( eonrig-i J ip nat outsideHCF- ccnF ig-i f ) int ffl/0DHCF- ( ccnrig-i f) #ip nat inside(4) 检查NAT配置【ISP-CN公有地址202.3.3.1】(5) 利用地址池配置动态NAT静态NAT建立了内部地址与特定公有地址之间的永久性映射。而动态NAT则是将私有IP地址临时映射到公有地址，这些公有IP地址源自NAT地址池。步骤1：定义全局地址池。创建一个地址池，以便将符合条件的源地址转换为其中的地址。以下 命令创建名为MY-NAT-POOL的

34、地址池，符合条件的源地址将被转换 为 202.120.223.241 -202.120.223.246 范围内的可用 IP 地址。DHCP(config)#ip nat po202.120.223.241 202.120.223.246 netmask 255.2 55.255.248步骤2：创建标准访问控制列表，以便确定需要的转换内部地址。DHCP(config)#ip access-list extended NATDHCP(config-std-nacl)#permit ip 192.168.1.0 0.0.0.255 anyDHCP(config-std-nacl)#permit ip

35、 192.168.2.0 0.0.0.255 any步骤3：将地址池与访问控制列表绑定，建立动态源地址转换。一台路由器可以具有一个以上的NAT池和一个以上的ACL。以下命令告 知路由器使用哪个地址池来转换ACL允许的主机。DHCP(config)#ip nat inside source list NAT pool MY-NAT-POOL步骤4：指定内部和外部NAT接口。DHCP(config)#interface serial 0/3/0DHCP(config-if)#ip nat inside步骤5：检验配置。从 PC1 和 PC2 ping ISP-CN。然后在 R2 上使用 show

36、ip nat translations命令检_验 NAToDHGFtshow ip nat trans1ationsFroInside g-lobalInside 1 ocalOutsi-delocal Outsideglobal2021ZO. 223-240192 .Lfi8.11.25：3.ISP-CN 配置ip addceaa 202.2.2.1 2SS.255 -255.0 duplex au.t oImp仕些autdLELteiface FaatEthernetO/l ip202.3.3.1 Z55.Z55.Z55.Dduplex ant d speed antointeiface

37、SeriaLO/3/O ip addEeaa 202.LZO.223.1 255-255.Z55.0 ip clasaleasip route 202120.223240 255255.255_240 Seriaia/3/0七、需求验证 拓扑图202.2DHCP24TTweb 202.3.3.2/24PC-PT PC14FJ/to: 12.1.1.1/2 FQ/L192.1SE.10. V24 50/3/0:202.120.223.2/24 Efa 1： 192.153. L 1/14 FQ ,ilO. 2! 192.15a.Z 1)14 5=0,110.3： 192.1B3.11/14 5=

38、0卬网口9卫域.4.1/网 Fa,itl. 5： 192.153.5.1/14Server FS f成、PC-PtPC-Pi PC-PT pcs 心 p匚mWttriHVLAN-5： 13L13,qM24PC-PT PC-FTPCC PCI192.163.1.1/24PC-PT PC-H. ._ .PC4讥网“3: 1S216S.2.1/24made p 192 lfi3.1L254EUizde P：3D2 120.223.Z4fX Sarver-FTL 4 ,Xr/m.BDU.DCHTl%/叫| (jFOiTi; 23022.21724F0ifl: 202 3.11/24Tgp_N 50:2

39、02.120.223.1PC-PT RC-PT PC-PTPC1L PCI 2 P13 人VLAN 书：192.163.5.1/14PipDPT PC-PTPC-PT PC-FT 心眼PC6VLAN-4： L9Z.1C3.3. UZ-qLaptDp-PT品* Laptopli*jjlIlljOUTSIDE 3,Laptop-r:iKrnrl 也.1包 Ifi.Lapt0PLATd 也.IfiB.d.忡勺2Laptop-PTLDptop2192.163.1.101/24 保证五个部门分处与五个VLAN,（每个部门以一台PC机为例）销售部IIP ConfigurationIP Corifigura

40、ti通 DHCPStaticIP Address|1-92.168.2.3Subnet Mask恤5,曷5.站5.。Default Gateway|1勺2.1睫.2.1DNS Server22哗IP ConfigurMionO DHCPStaticIP AddressSubnet MaslIP Configuration192.168.3.1Default GatewayDNS Server财务部IPConfigurationIP Config urationa DHCPQ Static办公部IP Address192.168.3.4Subnet Mask255.255.255.0Defaul

41、t Gateway192.168.3.1DNS Servera DHCPIP AddressSubnet MaskDefault GatewayDNS Server市场部StaticDH192,160,4,4255.25S.255.0192.168.4.14.4.4.4IPonfigurationIP Configuration DHCPStaticIP Address1S2.16B-5.3Subnet Mask2 匚匚.2GG.255.CIDefault Gateway|1泪21弓8“5.1DNS Server1 5 人事部 同个部门同一 VLAN,每个部门为8-10人，用3台PC电脑代替（

42、S1销售部）VLAN2缨1Physical Config CLIIOS CommandintFaatEth&EnetO/2switchport accssa vlan 2interna.ce FastEtharnetO/3swit：ciipoEt axzczesa vl an 2interface FastEth&rnetO/4si?itGhpaEt access vlan 2xn.tezna.ce FastEtharn.etO/5gwitchportvlan 2a.Gis FastEthecae switdnport accesa vlan 2interna.cse FagtEth&rnetO/7 awitctiport accesa vl an 2intarca.ce FastEtlie