网络安全
隔离网络,网络安全,需要使用vlan来实现网络隔离
Vlan:虚拟局域网
acl:访问控制
1.1网络隔离
准备设备
| 设备 | 配置 |
|---|---|
| 交换机 | vlan10 vlan20 |
| pc1 | 1.1.1.1 |
| pc2 | 1.1.1.2 |
1、配置pc1、pc2的IP地址
2、交换机创建vlan10,vlan20
3、测试pc1和pc2的连通性
4、将两个接口放进不同的vlan
交换机的接口有三种模式
Access:链接终端
Trunk:链接交换机
hybrid:交换机上得默认模式
将g0/0/1接口添加到vlan10
将g0/0/2接口添加到vlan20
system-view
创建vlan10、vlan20
vlan 10
vlan 20
查询创建的情况
display vlan
添加接口
int g0/0/1
port link-type access
port defualt vlan 10
int g0/0/2
port link-type access
port defualt vlan 20
pc1和pc2测试网络的连通性,是否隔离成功
准备设备
| 设备 | 配置 | 所属vlan |
|---|---|---|
| LSW1 | vlan10 vlan20 | |
| LSW2 | vlan10 vlan20 | |
| PC1 | 1.1.1.1 | vlan10 |
| pc2 | 1.1.1.2 | vlan20 |
| pc3 | 1.1.1.3 | vlan10 |
| pc4 | 1.1.14 | vlan20 |
1、如上所配置进行配置交换机和pc机
2、对新添加的trunk口进行配置
LSW1设备
trunk口配置
system-view
int g0/0/3
port link-type trunk
port trunk allow-pass vlan all
或者使用以下命令
port trunk allow-pass vlan 10
port trunk allow-pass vlan 20
LSW2设备
vlan划分
system-view
vlan 10
vlan 20
int g0/0/2
port link-type access
port default vlan 10
int g0/0/3
port link-type access
port default vlan 20
trunk口配置
int g0/0/1
port link-type trunk
port trunk allow-pass vlan all
测试连通性
pc1与pc3
ping 1.1.1.3
pc2与pc4
ping 1.1.1.4
1.2 三层交换技术
使用两个交换机,使用三层交换机进行故障隔离,及连通,防止攻击
| 设备 | ip |
|---|---|
| LSW1 | VLAN10 VLAN20 1.1.1.254 2.2.2.254 |
| LSW2 | VLAN10 VLAN20 |
| PC1 | 1.1.1.1 |
| PC2 | 2.2.2.1 |
三层交换机一般有着过滤的功能防止攻击
1、配置pc地址及网关
pc1、pc2分别网关为1.1.1.254/2.2.2.254
2、配置二层交换机
LSW2
system-view
vlan 10
vlan 20
int g0/0/1
port link-type access
port default vlan 10
quit
int g0/0/2
port link-type access
port default vlan 20
quit
int g0/0/3
port link-type trunk
port trunk allow-pass vlan all
3、配置三层网络交换机
system-view
vlan 10
vlan 20
interface vlanif 10
ip add 1.1.1.254 255.255.255.0
quit
interface vlanif 20
ip add 2.2.2.254 255.255.255.0
quit
int g0/0/1
port link-type trunk
port trunk allow-pass vlan all
4、测试pc1/pc2的连通性
这时可以正常ping通,可以正常通信
1.3 单臂路由
| 设备 | 配置 |
|---|---|
| AR1 | VLAN10 VLAN20 |
| LSW1 | VLAN10 VLAN20 |
| PC1 | 1.1.1.1 |
| PC2 | 2.2.2.1 |
1、配置pc1/pc2的ip地址
2、配置LSW1的接口
system-view
vlan 10
vlan 20
int g0/0/2
port link-type access
port default vlan 10
int g0/0/3
port link-type access
port default vlan 20
int g0/0/1
port link-type trunk
port trunk allow-pass vlan all
3、配置AR1路由器
system-view
int g0/0/0.10
int g0/0/0.20
dot1q termintion vid 20
arp broadcast enable
ip address 2.2.2.254 255.255.255.0
int g0/0/0.10
dot1q termintion vid 10
arp broadcast enable
ip address 1.1.1.254 255.255.255.0
4、测试pc1/pc2的连通性
此时应正常ping通
1.4 ACL访问控制
1、配置pc1/pc2/pc3的网络地址及网关
网关配置
192.168.10.254
192.168.20.254
192.168.30.254
2、配置LSW2配置新添加的接口
system-view
vlan 30
int g0/0/4
port default vlan 30
3、配置LSW1配置IP地址
system-view
vlan 30
int g0/0/1
interface vlanif 30
ip add 192.168.30.254 255.255.255.0
port link-type trunk
port trunk allow-pass vlan all
4、测试pc1/pc2/pc3的网络连通性
5、配置acl规则
实现pc1访问pc3不通
LSW1上配置网关地址
system-view
vlan 10
vlan 20
vlan 30
int g0/0/1
port link-type trunk
port trunk allow-pass vlan all
quit
interface vlanif 10
ip add 192.168.10.254 255.255.255.0
quit
interface vlanif 20
ip add 192.168.20.254 255.255.255.0
quit
interface vlanif 30
ip add 192.168.30.254
LSW1上配置ACL访问控制
创建高级访问控制
acl name test ?
acl name test ad
rule deny ip source 192.168.10.0 0.0.0.255 destination 192.168.30.0 0.0.0.255
rule permit ip source any destination any
int g0/0/1
traffic-filter inbound acl name test
查看acl规则
display acl all
测试pc1访问pc3
测试结果访问不通为正常