信息安全综合实验报告
姓名:
班级:0441204
学号:2012211917
指导教师:王练
DMZ网络隔离设计与实现
背景描述:
DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。
实验目的:
运用所学网络知识实现DMZ网络隔离:
(1)运用Packet Tracer软件模拟实现DMZ功能;
(2)使用迈普网络设备,在真机上实现DMZ功能。
实验要求:
(1)熟悉Packet Tracer软件的相关操作,能熟练运用该软件配置连接网络设备;
(2)在虚拟设备和真机设备上完成基本的DMZ操作,记录实验步骤和实验结果,生成一份详细的实验报告。
实验环境:
Cisco Packet Tracer 5.3网络模拟软件;
迈普网络实验设备(路由器、交换机)、PC主机
实现目的:
1.军事区内划分VLAN
2.军事区内网可以访问外网
3.军事区内网可以访问DMZ
4.外网不能访问军事区内网
5.外网可以访问DMZ
6.DMZ不能访问军事区内网
7.DMZ不能访问外网
8.军事区内也实现一定的ACL访问控制
实验拓扑图:
实验目标:
1、将PC0,PC1划分为VLAN1 Server0,Server1 划分为VLAN2,PC0与Server0、Server1互通,PC1与Server1互通,但ping不通Server0
2、军事区对DMZ、外部网络均能ping通
3、DMZ区对外部网络、军事区均不能ping通
4、外部网络能ping通DMZ区 但不能ping通军事区
注:PC0、PC1、Server0、Server1、Switch0 组成军事区,Server2、Server3、Switch1组成DMZ区,PC2为外部网络。
实验相关配置代码:
交换机Switch0的配置代码:
Switch>en
Switch#config t //进入全局模式
Enter configuration commands, one per line. End with CNTL/Z.
//划分2个VLAN 并设置其ip
Switch(config)#int vlan1
Switch(config-if)#ip address 192.168.1.254 255.255.255.0
Switch(config-if)#no shut //激活打开端口
Switch(config-if)#int vlan2
Switch(config-if)#ip address 192.168.2.254 255.255.255.0
Switch(config-if)#no shut
Switch(config-if)#
Switch(config-if)#exit
Switch(config)#ip default-gateway 192.168.1.1
Switch(config)#vtp mode server //将服务器设置为vtp模式
Device mode already VTP SERVER.
Switch(config)#vtp domain zhm
Changing VTP domain name from NULL to zhm
//配置端口
Switch(config)#int f0/5 //f0/5设置为中继端口
Switch(config-if)#switchport mode trunk
Switch(config-if)#
//将f0/1、f0/2 端口分配到VLAN1中
Switch(config-if)#int f0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 1
Switch(config-if)#int f0/2
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 1
Switch(config-if)#exit
//将f0/3、f0/端口分配到VLAN2中
Switch(config)#int vlan 2
Switch(config-if)#ip address 192.168.2.254 255.255.255.0
Switch(config-if)#no shut
Switch(config-if)#
Switch(config-if)#int f0/3
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 2
Switch(config-if)#
Switch(config-if)#int f0/4
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 2
单臂路由配置:
Router>en
Router#config t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#int f0/0
Router(config-if)#no ip address
Router(config-if)#no shut
//将f0/0端口设置两个逻辑子接口,分配IP地址
Router(config-if)#int f0/0.1
Router(config-subif)#encapsulation dot1q 1
Router(config-subif)#ip address 192.168.1.1 255.255.255.0
Router(config-subif)#no shut
Router(config-subif)#int f0/0.2
Router(config-subif)#
Router(config-subif)#ip address 192.168.2.1 255.255.255.0
Router(config-subif)#no shut
Router(config-subif)#exit
其他端口配置:
Router(config)#int e1/0
Router(config-if)#ip address 192.168.3.1 255.255.255.0
Router(config-if)#no shut
Router(config-if)#exit
Router(config)#int e1/1
Router(config-if)#ip address 170.168.1.1 255.255.255.0
Router(config-if)#no shut
OSPF动态路由配置:
Router(config)#router ospf 1
Router(config-router)#network 192.168.1.0 0.0.0.255 area 1
Router(config-router)#network 192.168.2.0 0.0.0.255 area 1
Router(config-router)#network 192.168.3.0 0.0.0.255 area 1
Router(config-router)#network 192.168.1.0 0.0.255.255 area 1
Router(config-router)#exit
NAT配置:
Router(config)#ip nat pool zhm 170.168.1.1 170.168.1.254 netmask 255.255.0.0
Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255
Router(config)#access-list 1 permit 192.168.2.0 0.0.0.255
Router(config)#access-list 1 permit 192.168.3.0 0.0.0.255
Router(config)#ip nat inside source list 1 pool zhm
Router(config)#int f0/0
Router(config-if)#ip nat inside
Router(config-if)#int e1/0
Router(config-if)#ip nat inside
Router(config-if)#int e1/1
Router(config-if)#ip nat outside
ACL配置:
外部网络ACL:
Router(config)#access-list 100 deny icmp 170.168.1.0 0.0.255.255 192.168.1.0 0.0.0.255 echo
Router(config)#access-list 100 permit icmp 170.168.1.0 0.0.255.255 192.168.1.0 0.0.0.255 echo-reply
Router(config)#access-list 100 deny icmp 170.168.1.0 0.0.255.255 192.168.2.0 0.0.0.255 echo
Router(config)#access-list 100 permit icmp 170.168.1.0 0.0.255.255 192.168.2.0 0.0.0.255 echo-reply
Router(config)#access-list 100 permit icmp 170.168.1.0 0.0.255.255 192.168.3.0 0.0.0.255 echo
Router(config)#access-list 100 deny icmp 170.168.1.0 0.0.255.255 192.168.3.0 0.0.0.255 echo-reply
DMZ区ACL:
Router(config)#access-list 101 deny icmp 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255 echo
Router(config)#access-list 101 deny icmp 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255 echo-reply
Router(config)#access-list 101 deny icmp 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255 echo
Router(config)#access-list 101 deny icmp 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255 echo-reply
Router(config)#access-list 101 deny icmp 192.168.3.0 0.0.0.255 170.168.1.0 0.0.0.255 echo
Router(config)#access-list 101 deny icmp 192.168.3.0 0.0.0.255 170.168.1.0 0.0.0.255 echo-reply
军事区192.168.1.0网段ACL:
Router(config)#access-list 103 deny icmp host 192.168.1.5 host 192.168.2.2 echo
Router(config)#access-list 103 permit icmp host 192.168.1.5 host 192.168.2.2 echo-reply
Router(config)#access-list 103 permit icmp host 192.168.1.4 host 192.168.2.2 echo
Router(config)#access-list 103 permit icmp host 192.168.1.4 host 192.168.2.2 echo-reply
Router(config)#access-list 103 permit icmp 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255 echo
Router(config)#access-list 103 deny icmp 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255 echo-reply
Router(config)#access-list 103 permit icmp host 192.168.1.5 host 192.168.2.3 echo
Router(config)#access-list 103 permit icmp host 192.168.1.5 host 192.168.2.3 echo-reply
Router(config)#access-list 103 permit icmp 192.168.1.0 0.0.0.255 170.168.1.0 0.0.255.255 echo
Router(config)#access-list 103 deny icmp 192.168.1.0 0.0.0.255 170.168.1.0 0.0.255.255 echo-reply
军事区192.168.2.0网段ACL:
Router(config)#access-list 104 permit icmp host 192.168.2.2 host 192.168.1.5 echo
Router(config)#access-list 104 deny icmp host 192.168.2.2 host 192.168.1.5 echo-reply
Router(config)#access-list 104 permit icmp host 192.168.2.2 host 192.168.1.4 echo
Router(config)#access-list 104 permit icmp host 192.168.2.2 host 192.168.1.4 echo-reply
Router(config)#access-list 104 permit icmp 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 echo
Router(config)#access-list 104 permit icmp 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 echo-reply
Router(config)#access-list 104 permit icmp 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255 echo
Router(config)#access-list 104 deny icmp 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255 echo-reply
Router(config)#access-list 104 permit icmp 192.168.2.0 0.0.0.255 170.168.1.0 0.0.255.255 echo
Router(config)#access-list 104 deny icmp 192.168.2.0 0.0.0.255 170.168.1.0 0.0.255.255 echo-reply
将各访问控制列表分配到各端口:
Router(config)#int e1/1
Router(config-if)#ip access-group 100 in
Router(config-if)#exit
Router(config)#int e1/0
Router(config-if)#ip access-group 101 in
Router(config-if)#int f0/0.1
Router(config-subif)#ip access-group 103 in
Router(config-subif)#int f0/0.2
Router(config-subif)#ip access-group 104 in
实验结果展示:
PC1 ping DMZ区Server2 以及 外部网络PC2 结果展示
外部网络PC2 ping Server0 以及DMZ区Server2结果展示
DMZ区Server2 ping军事区Server0 以及 外部网络PC2结果
军事区PC1 ping 军事区Server0、Server1结果展示
实验问题讨论:
Request timed out 与 Destination host unreachable 的区别:
前者是配置过路由器信息,由于其他各种原因或是阻止或是丢失导致收不到回复。
后者是在路由器中的路由表里面找不到目标路由而显示的结果。
实验心得:
通过这次对DMZ网络隔离设计与实现实验的操作,令我熟悉的了解了当时在学习时候各个较为抽象的配置语句,增强了对它们的熟悉程度。同时本次实验教会了我配置路由器、交换机的一些基本的操作语句,对于我以后遇到实际问题的解决有巨大的帮助。