锐捷防火墙技术实验手册

密级：受控

文档归属：技术培训中心

使用对象：技术服务部工程师锐捷防火墙技术实验手册

2010-05-11

福建星网锐捷网络有限公司

版权所有侵权必究

文档维护人：徐立欢

Tel：010-*******

Email：xlh@https://www.wendangku.net/doc/6b12487142.html,

修订记录

目录

1防火墙管理 (5)

1.1实验目的 (5)

1.2实验设备 (5)

1.3实验拓扑图 (5)

1.4实验步骤 (5)

1.5实验作业 (6)

1.6实验中遇到问题及解决方法 (6)

1.7实验心得 (6)

2防火墙基本功能配置 (7)

2.1实验目的 (7)

2.2实验设备 (7)

2.3实验拓扑图 (7)

2.4实验步骤 (7)

2.5实验作业 (8)

2.6实验中遇到问题及解决方法 (8)

2.7实验心得 (8)

3防火墙包过滤功能应用 (10)

3.1实验目的 (10)

3.2实验设备 (10)

3.3实验拓扑图 (10)

3.4实验步骤 (10)

3.5实验作业 (11)

3.6实验中遇到问题及解决方法 (11)

3.7实验心得 (12)

4防火墙NA T功能应用 (13)

4.1实验目的 (13)

4.2实验设备 (13)

4.3实验拓扑图 (13)

4.4实验步骤 (13)

4.5实验作业 (14)

4.6实验中遇到问题及解决方法 (14)

4.7实验心得 (14)

5防火墙端口映射功能应用 (16)

5.1实验目的 (16)

5.2实验设备 (16)

5.3实验拓扑图 (16)

5.4实验步骤 (17)

5.5实验作业 (17)

5.6实验中遇到问题及解决方法 (17)

5.7实验心得 (18)

6防火墙路由模式综合应用 (19)

6.1实验目的 (19)

6.2实验设备 (19)

6.3实验拓扑图 (19)

6.4实验步骤 (20)

6.5实验作业 (20)

6.6实验中遇到问题及解决方法 (21)

6.7实验心得 (21)

7防火墙密码恢复 (22)

7.1实验目的 (22)

7.2实验设备 (22)

7.3实验拓扑图 (22)

7.4实验步骤 (22)

7.5实验作业 (22)

7.6实验中遇到问题及解决方法 (23)

7.7实验心得 (23)

1 防火墙管理

1.1 实验目的

●掌握防火墙管理方法

1.2 实验设备

RG-WALL1600系列防火墙一台

?本文推荐防火墙如下：RG-WALL 160T

1.3 实验拓扑图

1.4 实验步骤

1.配置PC机IP地址为（）

2.安装防火墙WEB管理证书，证书密码为（）

3.将PC机连接至防火墙的第一个接口

4.在浏览器中输入地址（）

5.在登陆界面中输入用户名（），密码（）登陆到防火墙WEB管理界面

6.查看防火墙当前软件版本为（），防火墙序列号为（），

防火墙型号为（），CPU利用率为（），内存利用率为

（）。

1.5 实验作业

1.PC机的地址设置为19

2.168.10.1，可以正常登陆防火墙吗？为什么？

1.6 实验中遇到问题及解决方法

1.7 实验心得

2 防火墙基本功能配置

2.1 实验目的

●掌握防火墙接口IP、SSH、管理员、时间、SNMP配置

2.2 实验设备

●同实验一

2.3 实验拓扑图

●同实验一

2.4 实验步骤

1.设置防火墙GE1接口19

2.168.100.254

2.添加防火墙管理IP地址192.168.100.1

3.退出防火墙

4.设置PC的IP地址为192.168.100.1并将网线连接至防火墙GE1接口，使用

192.168.100.254地址管理防火墙

5.开启防火墙SSH功能

6.添加以自己名字全拼（）作为用户名/密码的防火墙管理员，权限为超级管

理员

7.退出防火墙

8.以刚添加的管理员登陆防火墙

9.开启防火墙SSH功能

10.同步防火墙时间与当前PC机一致，并NTP服务器与日志服务器

11.开启SNMP功能，添加以自己名字全拼（）+r的只读SNMP community，

添加以自己名字全拼（）+rw的读写SNMP community

12.保存配置并退出防火墙

13.使用console接口登陆防火墙

14.使用SSH方式登录防火墙

2.5 实验作业

1.使用新添加的管理员管理防火墙前，如果不小心没有退出防火墙，防火墙提示什

么？怎样解决这个问题？

2.SSH方式管理防火墙时，需要添加管理主机吗？

2.6 实验中遇到问题及解决方法

2.7 实验心得

3 防火墙包过滤功能应用3.1 实验目的

1.掌握防火墙包过滤功能的原理应用场合

2.掌握防火墙包过滤功能的配置方法

3.2 实验设备

同实验一

3.3 实验拓扑图

3.4 实验步骤

1.按照拓扑图添加防火墙IP

2.测试PC1与PC2的连通性（）

3.添加包过滤规则，允许PC1访问PC2

安全规则中规则序号为（）、类型为（）、源地址为（）、目的地址为（）、服务为（）、动作为（）

4.测试PC1与PC2的连通性（）

5.测试PC2与PC1的连通性（）

3.5 实验作业

6.防火墙在没有安全规则时，默认的数据转发策略是允许还是禁止？

7.PC1能ping通PC2吗？PC2能ping通PC1吗？这说明防火墙采用了什么技术？3.6 实验中遇到问题及解决方法

3.7 实验心得

4 防火墙NAT功能应用4.1 实验目的

1.掌握防火墙NA T功能的原理应用场合

2.掌握防火墙NA T功能的配置方法

4.2 实验设备

同实验一

4.3 实验拓扑图

4.4 实验步骤

1.在实验3的基础上添加nat规则，即PC1访问PC2时将源地址转换为19

2.168.200.254

安全规则中规则序号为（）、类型为（）、源地址为（）、目的地址为（）、服务为（）、源地址转换

为（）

2.测试PC1与PC2的连通性（）

3.去掉PC2的默认网关，测试PC1与PC2的连通性（）

4.禁用实验3中创建的包过滤规则，测试PC1与PC2的连通性（）

5.在PC2抓包发现PC1源地址已经被更改为（）

4.5 实验作业

1.如果不禁用实验3中创建的包过滤规则，PC1能ping通PC2吗？这个说明防火墙

安全规则的匹配方式为？

4.6 实验中遇到问题及解决方法

4.7 实验心得

5 防火墙端口映射功能应用5.1 实验目的

1.掌握防火墙端口映射功能的原理应用场合

2.掌握防火墙端口映射功能的配置方法

5.2 实验设备

RG-WALL1600系列防火墙一台，RGOS二层交换机一台

本文推荐设备如下：RG-WALL 160T；S2628G一台，软件版本10.2（4）

5.3 实验拓扑图

5.4 实验步骤

1.在实验4基础上禁用创建的NAT规则

2.添加端口映射规则，将PC1的HTTP端口映射至GE2接口IP的HTTP端口

安全规则中规则序号为（）、类型为（）、源地址为（）、公开地址为（）、对外服务为（）、源地址

转换为（）、公开地址映射为（）、对外服

务映射为（）

3.测试PC2通过GE2接口IP访问PC1的HTTP端口

4.测试PC3通过GE2接口IP访问PC1的HTTP端口

5.5 实验作业

1.如果安全规则中，“源地址转换为”选项为“不转换”，PC3可以通过GE2接口IP

访问PC1的HTTP端口吗？

5.6 实验中遇到问题及解决方法

5.7 实验心得

6 防火墙路由模式综合应用6.1 实验目的

1.理解防火墙安全规则、路由策略的匹配顺序

2.掌握防火墙在网络出口中的部署方法

6.2 实验设备

3.RG-WALL1600系列防火墙一台，路由器两台

本文推荐设备如下：RG-WALL 160T一台；RSR20-04一台，软件版本10.3（3）6.3 实验拓扑图

两台路由器分别模拟CERNET、INTERNET两个网络，其中：CERNET路由器上使用

loopback接口模拟CERNET的三个网段，INTERNET路由器上使用loopback接口模拟

INTERNET的一个网段。

该园区网络从CERNET上分配到了一个公网网段202.204.40.0/24，运营商互联地址段为

202.204.47.16/30；其中202.204.40.129-254的IP段用于NAT，202.204.40.1-127用于园

区网对外服务器应用。

该园区网络从INTERNET上分配到了一个公网网段211.155.254.1-126；其中

211.155.254.1-125的IP段用于NAT，211.155.254.126作为防火墙IP地址

PC机访问CERNET走CERNET出口，访问INTERNET走INTERNET出口

SERVER无论访问CERNET还是访问INTERNET都走CERNET出口

SERVER只对外开放FTP 6666端口与HTTP 8080端口

6.4 实验步骤

1.按照拓扑图配置设备连通性

2.定义IP段、NAT池、服务对象

3.配置包过滤规则

4.配置NAT规则

5.配置静态路由

6.配置策略路由

7.测试PC访问SERVER的FTP服务于HTTP服务

6.5 实验作业

1.防火墙对包过滤、NA T、端口映射、静态路由、PBR的匹配顺序是什么？

锐捷5750基本配置

通过TELNET方式来配置设备 提问：如何通过telnet方式来配置设备 回答： 步骤一：配置VLAN1的IP地址 S5750>en ----进入特权模式 S5750#conf ----进入全局配置模式 S5750(config)#int vlan 1 ----进入vlan 1接口 S5750(config-if)#ip address ----为vlan 1接口上设置管理ip S5750(config-if)#exit ----退回到全局配置模式 步骤二：配置telnet密码 S5750(config)#line vty 0 4 ----进入telnet密码配置模式S5750(config-line)#login ---启用需输入密码才能telnet成功 S5750(config-line)#password rscstar ----将telnet密码设置为rscstar S5750(config-line)#exit ----回到全局配置模式 enable secret level 15 0 rscstar ----配置进入特权模式的密码为rscstar

更改IOS命令的特权等级 提问：如何只允许dixy这个用户使用与ARP相关的命令 回答： S5750(config)#username dixy password dixy ----设置dixy 用户名和密码 S5750(config)#username dixy privilege 10 ----dixy帐户的权限为10 S5750(config)#privilege exec level 10 show arp ----权限10可以使用show arp命令 S5750(config)#privilege config all level 10 arp ----权限10可以使用所有arp打头的命令 S5750(config)#line vty 0 4 ----配置telnet登陆用户 S5750(config-line)#no password S5750(config-line)#login local 设备时钟设置 提问：如何设置设备时钟 回答：

路由实验指导书

目录 实验一路由器的命令行界面配置 (2) 实验二路由器的全局配置 (4) 实验三路由器端口的基本配置 (6) 实验四查看路由器的系统和配置信息 (9) 实验五静态路由 (12) 实验六RIP 路由协议 (18) 实验七OSPF单区域 (26) 实验八利用IP标准访问列表进行网络流量的控制 (33)

实验一路由器的命令行界面配置 【实验名称】 使用命令行界面 【实验目的】 掌握路由器命令行各种操作模式的区别，以及模式之间的切换。 【背景描述】 你是某公司新进的网管，公司要求你熟悉网络产品，公司采用全系列锐捷网络产品，首先要求你登录路由器，了解、掌握路由器的命令行操作。 【技术原理】 路由器的管理方式基本分为两种：带内管理和带外管理。通过路由器的Console口管理交换机属于带外管理，不占用路由器的网络接口，但特点是线缆特殊，需要近距离配置。第一次配置路由器时必须利用Console进行配置，使其支持telnet远程管理。 路由器的命令行操作模式，主要包括：用户模式、特权模式、全局配置模式、端口模式等等几种。 用户模式进入路由器后得到的第一个操作模式，该模式下可以简单查看路由器的软、硬件版本信息，并进行简单的测试。用户模式提示符为Red-Giant> 特权模式由用户模式进入的下一级模式，该模式下可以对路由器的配置文件进行管理，查看路由器的配置信息，进行网络的测试和调试等。特权模式提示符为Red-Giant# 全局配置模式属于特权模式的下一级模式，该模式下可以配置路由器的全局性参数（如主机名、登录信息等）。在该模式下可以进入下一级的配置模式，对路由器具体的功能进行配置。全局模式提示符为Red-Giant (config)# 端口模式属于全局模式的下一级模式，该模式下可以对路由器的端口进行参数配置。 Exit命令是退回到上一级操作模式， end命令是直接退回到特权模式 交换机命令行支持获取帮助信息、命令的简写、命令的自动补齐、快捷键功能。 【实现功能】 熟练掌握路由器的命令行操作模式 【实验设备】 RouterA PC Com Console 【实验步骤】 步骤1.路由器命令行操作模式的进入。 Red-Giant>enable !进入特权模式 Red-Giant# Red-Giant#configure terminal !进入全局配置模式

防火墙实验报告

南京信息工程大学实验（实习）报告 实验（实习）名称防火墙实验（实习）日期2012.12.6指导教师朱节中 专业10软件工程年级大三班次2姓名蔡叶文学号 20102344042 得分 【实验名称】 防火墙实验 【实验目的】 掌握防火墙的基本配置；掌握防火墙安全策略的配置。 【背景描述】 1.用接入广域网技术（NA T），将私有地址转化为合法IP地址。解决IP地址不足的问题，有效避免来自外部网络的攻击，隐藏并保护内部网络的计算机。 2.网络地址端口转换NAPT（Network Address Port Translation）是人们比较常用的一种NA T方式。它可以将中小型的网络隐藏在一个合法的IP地址后面，将内部连接映射到外部网络中的一个单独的IP地址上，同时在该地址上加上一个由NA T设备选定的TCP端口号。 3.地址绑定：为了防止内部人员进行非法IP盗用(例如盗用权限更高人员的IP地址，以获得权限外的信息)，可以将内部网络的IP地址与MAC地址绑定，盗用者即使修改了IP 地址，也因MAC地址不匹配而盗用失败，而且由于网卡MAC地址的唯一确定性，可以根据MAC地址查出使用该MAC地址的网卡，进而查出非法盗用者。报文中的源MAC地址与IP地址对如果无法与防火墙中设置的MAC地址与IP地址对匹配，将无法通过防火墙。 4.抗攻击：锐捷防火墙能抵抗以下的恶意攻击：SYN Flood攻击；ICMP Flood攻击；Ping of Death 攻击；UDP Flood 攻击；PING SWEEP攻击；TCP端口扫描；UDP端口扫描；松散源路由攻击；严格源路由攻击；WinNuke攻击；smuef攻击；无标记攻击；圣诞树攻击；TSYN&FIN攻击；无确认FIN攻击；IP安全选项攻击；IP记录路由攻击；IP流攻击；IP时间戳攻击；Land攻击；tear drop攻击。 【小组分工】 组长：IP：192.168.10.200 管理员 ：IP：172.16.5.4 策略管理员+日志审计员 ：IP：172.16.5.3 日志审计员 ：IP：172.16.5.2 策略管理员 ：IP：172.16.5.1 配置管理员 【实验设备】 PC 五台 防火墙1台（RG-Wall60 每实验台一组） 跳线一条 【实验拓扑】

锐捷基本配置

1.1通过TELNET方式来配置设备 提问：如何通过telnet方式来配置设备？ 回答： 步骤一：配置VLAN1的IP地址 S5750>en----进入特权模式 S5750#conf----进入全局配置模式 S5750(config)#int vlan 1----进入vlan 1接口 S5750(config-if)#ip address 192.168.0.230 255.255.255.0 ----为vlan 1接口上设置管理ip S5750(config-if)#exit----退回到全局配置模式 步骤二：配置telnet密码 S5750(config)#line vty 0 4----进入telnet密码配置模式 S5750(config-line)#login---启用需输入密码才能telnet成功 S5750(config-line)#password rscstar----将telnet密码设置为rscstar S5750(config-line)#exit----回到全局配置模式

enable secret level 15 0 rscstar ----配置进入特权模式的密码为rscstar 1.2更改IOS命令的特权等级 提问：如何只允许dixy这个用户使用与ARP相关的命令？ 回答： S5750(config)#username dixy password dixy----设置dixy用户名和密码 S5750(config)#username dixy privilege 10----dixy帐户的权限为10 S5750(config)#privilege exec level 10 show arp ----权限10可以使用show arp命令 S5750(config)#privilege config all level 10 arp ----权限10可以使用所有arp打头的命令 S5750(config)#line vty 0 4----配置telnet登陆用户 S5750(config-line)#no password S5750(config-line)#login local 1.3设备时钟设置

锐捷网络实验室机架控制和管理服务器RG-RCMS

锐捷网络实验室机架控制和管理服务器RG-RCMS 产品概述 锐捷网络实验室机架控制和管理服务器RG-RCMS系列产品，是锐捷网络公司专门针对现代网络实验室开发的统一管理控制服务器，实验室中使用者可以通过RG-RCMS来同时管理和控制8-16台的网络设备，不需要进行控制线的拔插，采用图形界面管理，简单方便，还可以在做完网络实验后，利用RG-RCMS提供的一键清除配置功能，把连接在RG-RCMS上的网络设备进行统一的配置清除，方便下一次的网络实验。 RG-RCMS系列目前有两种产品：RG-RCMS-8和RG-RCMS-16,分别可以同时管理和控制8和16台网络设备。 产品特征 统一管理和控制实验台上的多台网络设备 RG-RCMS-8可以同时管理和控制8台网络设备。 RG-RCMS-16可以同时管理和控制16台网络设备。 ●无需拔插控制台线，便可以实现同时管理和控制多台网络设备。 ? RCMS-8/RCMS-16连接8/16台的网络设备，实现同时管理和控制连接在RCMS上的网络设备。 ? 在RCMS和网络实验台上网络设备连接完毕后，使用者便不再需要进行任何控制线的拔插。 ●提供“一键清”功能，一键清除实验台上网络设备的配置，方便多次实验 完成一组网络实验后，需要清除实验台上网络设备的配置，一台一台清除麻烦不便，RG-RCMS提供“一键清”功能，可以把连接在RG-RCMS上的指定的1台或者多台或者全部网络设备，一次性全部清除配置，方便下一组网络实验。 ●良好的兼容性 可以支持所有具有异步配置口的设备，基本上所有的路由器和交换机都具有异步配置口，通过兼容性测试，RG-RCMS基本上支持市场上的路由器和交换机设备。

锐捷网络实验手册

锐捷网络实验手册

————————————————————————————————作者：————————————————————————————————日期:

实验一交换机的基本配置 1．基本配置： 网络拓扑 RG-Switch ? 实验环境 将RG-Swｉtch的其中一以太网口连至PC的以太网口 实验配置 1．配置交换机主机名 Red-Giａnｔ>enable(注:从用户模式进入特权模式) Red-Ｇｉaｎｔ#conｆigｕre teｒｍinaｌ（注：从特权模式进入全局配置模式) Red-Giａnt（cｏnfig)#ｈosｔnamｅ SW1（注:将主机名配置为“SW1”) SW1(conｆig)# 2．配置交换机远程登陆密码 ＳW1（ｃonfｉｇ）#ｅｎａble secrｅｔ leｖel 1 0 stａr （注：将交换机远程登陆密码配置为“star”) 3.配置交换机特权模式口令 SW1（confiｇ)#ｅｎaｂle ｓecｒet level 15 ０ star（注：将交换机特权模式口令配置为“sｔaｒ”) 4．为交换机分配管理IP地址 ＳW１(ｃonfig)＃intｅrfａcｅｖlaｎ１ ＳW1（ｃonｆig－if)＃ｉp aｄｄresｓ 10.1.１.1 255．255.2５５.0 SW１（cｏｎｆｉg-if)#no shutdｏwｎ 注:为ＶLAN １的管理接口分配IＰ地址（表示通过ＶLＡN １来管理交换机）,设置交换机的IP地址为１0.1．1.1,对应的子网掩码为255．2５5.２55.0 5．显示交换机MAＣ地址表的记录 SW1#shoｗmac-addrｅss-tａｂｌe 注：在PC上开一命令行窗口，运行命令：ｃ：\>ｐing 10.1.1.１ 能pinｇ通则在交换机上执行ｓhow ｍac-ａddrｅsｓ-taｂle 可查看到ＰＣ的

网络安全技术实验报告实验10数据库及数据安全

XX大学 本科实验报告 课程名称：网络安全技术 1421351 学号： XXX 姓名： 网络工程专业： 班级：网络B14-1 指导教师： 课内实验目录及成绩 信息技术学院 2016年11 月24日

XX大学实验报告 课程名称：网络安全技术实验类型：演示、验证 实验项目名称：实验十数据库及数据安全 实验地点：信息楼320 实验日期：2017 年11月24 日 实验十数据库及数据安全（数据备份与恢复） 1.实验目的 理解备份的基本概念，了解备份设备的概念。掌握各种备份数据库的方法，了解如何制定备份计划，如何从备份中恢复设备，掌握数据库的恢复方法。掌握SQL Server 备份和恢复数据库的方法。 ?（1）理解SQL Server 2014系统的安全性机制。 ?（2）明确管理和设计SQL Server登录信息，实现服务器级安全控制。 ?（3）掌握设计和实现数据库级的安全保护机制的方法。 ?（4）独立设计和实现数据库备份和恢复。 2.预备知识 数据库的备份与恢复是两个相对应的概念，备份是恢复的基础，恢复是备份的目的。数据库备份是指系统管理员定期或不定期地将数据库部分或全部内容复制到磁带或另一个磁盘上保存起来的过程。备份可分为静态备份和动态备份。数据库恢复是指在数据库遭到破坏时使数据库从有效的备份中恢复正常。 备份期间不允许对数据库进行任何存取、修改活动的备份方式称为静态备份。备份期间允许对数据库进行存取或修改，即各份和用户事务可以并发执行的备份方式称为动态备份。 3.实验准备 1．硬件：PC机、局域网环境 2．软件：Windows NT或Win Server 2016操作系统，SQL Server 2014 4.注意事项 确定备份计划主要考虑以下几个方面： 1）确定备份的频率。确定备份频率要考虑两个因素：一是系统恢复时的工作量，二是系统活动的事务量。对于完整数据库备份，可以是每个月、每一周甚至是每一天进行，而事务日志备份可以是每一周、每一天甚至是每一小时进行。 2）确定备份的内容。确定数据库中的哪些数据需要备份。

锐捷5750基本配置

锐捷5750基本配置 锐捷5750基本配置并不复杂，可以通过以下方式来进行设备配置。 1.1通过TELNET方式来配置设备 提问:如何通过telnet方式来配置设备, 回答: 步骤一:配置VLAN1的IP地址S5750>en----进入特权模式S5750#conf----进入全局配置模式S5750(config)#intvlan1----进入vlan1接口S5750(config-if)#ip address192.168.0.230255.255.255.0----为vlan1接口上设置管理ip S5750(config-if)#exit----退回到全局配置模式 步骤二:配置telnet密码S5750(config)#linevty04----进入telnet密码配置模式S5750(config-line)#login---启用需输入密码才能telnet成功S5750(config-line)#passwordrscstar----将telnet密码设置为rscstar S5750(config-line)#exit----回到全局配置模式enablesecretlevel150rscstar ----配置进入特权模式的密码为rscstar 1.2更改IOS命令的特权等级 提问:如何只允许dixy这个用户使用与ARP相关的命令,回答: S5750(config)#usernamedixypassworddixy----设置dixy用户名和密码S5750(config)#usernamedixyprivilege10----dixy帐户的权限为10 S5750(config)#privilegeexeclevel10showarp----权限10可以使用showarp命令S5750(config)#privilegeconfigalllevel10arp ----权限10可以使用所有arp打头的命令S5750(config)#linevty04----配置telnet登陆用户S5750(config-line)#nopassword S5750(config-line)#loginlocal 1.3设备时钟设置

网络原理实验指导书

计算机网络原理 实验指导书 授课教师：陆垂伟 适用专业：网络工程 使用班级：2012级软件工程1班（本） 授课时间：2014年春季 授课学时：60/50/10学时 使用教材：计算机网络（第五版） 谢希仁主编电子工业出版社 实验指导书：计算机学院编，2013年版 湖北理工学院计算机学院

只做下面的5个实验，其余跳过不做 IP报文及TCP报文分析 路由器基本配置 OSPF动态路由配置 交换机基本配置 VLAN配置与应用

实验一以太网链路层帧格式分析 一、实验目的及要求 1. 理解以太网链路层的基本功能 2. 分析以太网链路层的帧的各个字段的含义 二、实验学时 2学时 三、实验任务 用Ethereal软件抓包，来分析以太网链路层的帧格式 四、实验设备 Ethereal软件，PC机 五、实验拓扑图 两台实验主机连接在实验室交换机上,依次命名为实验主机A和实验主机B.注意将与网络切换器相连的实验主机的网络切换器拨到B的位置（A为与网络测试接口TAP的连接），以保证其直接接入到实验室网络交换机上。同时，请将TAP中TAP/IN和TAP/OUT接口上的网线拔出。以避免与TAP中host接口相连的计算机不能正常上网。 实验主机A 六、实验步骤指导 步骤1:请同学们分好组,两人一组,然后配置好各自实验主机的IP地址,请记住所同组组员实验主机的IP地址.例如本实验中实验主机A的IP地址为192.168.100.109,实验主机B的IP 地址为192.168.100.158.(查看本机IP地址等信息,可以在命令提示符中输入ipconfig/all命令进行查看) 步骤2:各自运行实验主机上的网络分析器Ethereal软件进行报文捕获(可以设置捕获过滤规则只捕获我们所需要的报文).由于我们只需要捕获对应的ICMP数据包,那么例如在实验主机A 中可以设置成“host 192.168.100.158”(其中192.168.100.158是实验主机B的IP地址) ，然后开始进行包捕获操作 步骤3:然后在其中一台实验主机上进行ping命令操作,例如在实验主机A中的命令提示符中进行ping实验主机B的IP地址操作.

实验十一蓝盾防火墙的连接与登录配置

实验十一蓝盾防火墙的连接与登录配置 【实验名称】 防火墙的连接与登录配置 【计划学时】 2学时 【实验目的】 1、掌握防火墙的基本连线方法； 2、通过安装控制中心，实现防火墙的登录； 3、了解防火墙的基本设置、管理模式和操作规范； 4、理解规则的建立过程。 【基本原理】 对于防火墙的连接，在本实验里设定LAN口为内网接口，W AN口为外网接口。DMZ （Demilitarized Zone），即”非军事化区”,它是一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。另一方面，通过这样一个DMZ区域，更加有效地保护了内部网络，因为这种网络部署，比起一般的防火墙方案，对攻击者来说又多了一道关卡。 蓝盾防火墙允许网口信息名称自定义，支持多线接入，使得应用范围扩大。 【实验拓扑】 蓝盾防火墙 【实验步骤】 一、了解防火墙初始配置

打开了81端口（HTTP）和441端口（HTTPS）以供管理防火墙使用。本实验我们利用网线连接ADMIN口与管理PC，并设置好管理PC的IP地址。 2、默认所有配置均为空，可在管理界面得到防火墙详细的运行信息。 二、利用浏览器登陆防火墙管理界面 1、根据拓扑图将PC机与防火墙的ADMIN网口连接起来，当需要连接内部子网或外线连接时也只需要将线路连接在对应网口上 2、客户端设置，以XP为例，打开网络连接，设置本地连接IP地址： 3、“开始” “运行”，输入“CMD”，打开命令行窗口，使用ping命令测试防火墙和管理PC间是否能互通。

防火墙-实验报告

一、实验目的 ●通过实验深入理解防火墙的功能和工作原理 ●熟悉天网防火墙个人版的配置和使用 二、实验原理 ●防火墙的工作原理 ●防火墙能增强机构内部网络的安全性。防火墙系统决定了 哪些内部服务可以被外界访问；外界的哪些人可以访问内 部的服务以及哪些外部服务可以被内部人员访问。防火墙 必须只允许授权的数据通过，而且防火墙本身也必须能够 免于渗透。 ●两种防火墙技术的对比 ●包过滤防火墙：将防火墙放置于内外网络的边界；价格较 低，性能开销小，处理速度较快；定义复杂，容易出现因 配置不当带来问题，允许数据包直接通过，容易造成数据 驱动式攻击的潜在危险。 ●应用级网关：内置了专门为了提高安全性而编制的Proxy 应用程序，能够透彻地理解相关服务的命令，对来往的数 据包进行安全化处理，速度较慢，不太适用于高速网 （ATM或千兆位以太网等）之间的应用。 ●防火墙体系结构 ●屏蔽主机防火墙体系结构：在该结构中，分组过滤路由器 或防火墙与Internet 相连，同时一个堡垒机安装在内部

网络，通过在分组过滤路由器或防火墙上过滤规则的设 置，使堡垒机成为Internet 上其它节点所能到达的唯一 节点，这确保了内部网络不受未授权外部用户的攻击。 ●双重宿主主机体系结构：围绕双重宿主主机构筑。双重宿 主主机至少有两个网络接口。这样的主机可以充当与这些 接口相连的网络之间的路由器；它能够从一个网络到另外 一个网络发送IP数据包。但是外部网络与内部网络不能 直接通信，它们之间的通信必须经过双重宿主主机的过滤 和控制。 ●被屏蔽子网体系结构：添加额外的安全层到被屏蔽主机体 系结构，即通过添加周边网络更进一步的把内部网络和外 部网络（通常是Internet）隔离开。被屏蔽子网体系结构 的最简单的形式为，两个屏蔽路由器，每一个都连接到周 边网。一个位于周边网与内部网络之间，另一个位于周边 网与外部网络（通常为Internet）之间。 四、实验内容和步骤 （1）简述天网防火墙的工作原理 天网防火墙的工作原理： 在于监视并过滤网络上流入流出的IP包，拒绝发送可疑的包。基于协议特定的标准，路由器在其端口能够区分包和限制包的能力叫包过滤。由于Internet 与Intranet 的连接多数都要使用路由器，所以Router成为内外通信的必经端口，Router的厂商在Router上加入IP 过

锐捷网络设备实训指导书解析

《网络设备安装与调试》 实 训 指 导 书 河津市职业中学

目录 实验一实验室设备基本配置使用方法 (1) 实验二交换机端口隔离 (1) 实验三跨交换机实现VLAN (1) 实验四路由器静态路由的配置 (1) 实验五路由器动态路由协议RIP的配置 (1) 实验六路由器动态路由协议OSPF单区域的配置 (1)

实验一：实验室设备基本配置使用方法 [实验目的] 了解网络实验室布局及网络拓扑图，认识交换机与路由器等网络核心设备的拓扑结构；学习交换机与路由器的初始化配置命令。 [实验内容] （１）RCMS配置使用方法 （２）锐捷网络设备基本配置 [实验步骤] 一、RCMS配置使用方法 （1）什么是RCMS? RG-RCMS：RACK Control & Management Server，实验室机架控制和管理服务器。 统一管理和控制实验台上的多台网络设备 无需拔插控制台线，便可以实现同时管理和控制多台网络设备。 提供“一键清”功能，一键清除实验台上网络设备的配置，方便多次实验 Web 图形界面，简单方便 （2）RCMS工作原理 RCMS实验室管理是基于Reverse Telnet的服务，RGNOS提供基于Reverse Telnet的RCMS 实验室管理。实验室的使用者可以先登录到RCMS上，在RCMS上再反向TELNET到各个网络设备上，这样便可以在PC上多次TELNET的方法，实现同时操作多台网络设备的目的，并且不需要同时对网络设备进行线缆的拔插的目的。 RCMS服务器同时提供一个Web页面来集中控制可使用Reverse Telnet访问的网络设备。在浏览器的地址栏上，输入RCMS服务器的地址，并且指定访问的端口为8080，则可以访问RCMS 在主页上，列出了RCMS上所有的异步线路，及其所连接的网络设备。如果一个网络设备是可以访问的，则在图标上及名称上出现超链接，点击超链接就可以弹出一个Telnet客户端，通过Reverse Telnet访问相应的设备。如果已经有用户通过Reverse Telnet连接到该设备，则超链接将消失，不可点击。如果一个异步线路不允许进行Reverse Telnet，则在主页上将显示已禁止的提示。异步线路所连接的网络设备和类型可以通过ip host命令来进行配置，如果没有配置，则认为是未知设备。 （3）RCMS配置 1、配置RCMS名称 Red-Giant>enable Red-Giant#config t Red-Giant# (config)#hostname RCMS-1 2、配置RCMS密码 Red-Giant(config)#enable secret level 15 0 star //level15指的是设置进入特权层的密码 Red-Giant(config)#line vty 0 4 //允许5个人同时远程登录路由器 Red-Giant(config-line)#password 0 star //telnet远程登录密码 Red-Giant(config-if)#exit 3、配置RCMS与S3760交换机相连口IP地址并使端口UP Red-Giant(config)# interface FastEthernet 1/0 Red-Giant(config-if)# ip address 172.16.10.10 255.255.255.0 Red-Giant(config-if)# no shutdown Red-Giant(config-if)#exit

计算机网络实验_路由器配置

计算机网络 计算机科学与技术学院 2011.2

注意事项 1.实验报告封面及报告纸请自行领取。 2.实验报告封面及报告纸的各项内容务必填全。 3.一次上机实验一张报告纸(4次上机共4张)。 4.实验报告上的各栏目严格按本指导书填写。 5.实验室计算机有多个操作系统，启动时选择第1个：Windows XP。

实验室相关说明 一、关于网络设备 1.计算机学院网络实验室采用锐捷网络设备，该种设备的所有命令均与思科相同。因此掌握了锐捷的命令也就掌握了思科的命令。 2.实验室的每个机柜内有4台交换机(型号分别为S2126、S3762)、4台路由器(型号分别为R1762、R2632)与一台实验控制器(位于机柜最上方)。每一实验桌有8台计算机，每一实验桌均对应一个机柜。实验室还设置一台服务器，为方便实验管理，用户在配置交换机与路由器的时候，并不是直接连接到交换机与路由器，而是通过服务器与实验控制器操作交换机与路由器。但是操作界面与直接连接到交换机与路由器是相同的。 二、关于实验方法 1.每台计算机有两个网卡，下面的网卡(命名为“本地连接”)与服务器、实验控制器连在一起形成一个局域网，用于配置交换机与路由器。上面的网卡(命名为“测试连接”)连至机柜内，配置完毕后可以将线连至设备上查看配置结果。因此在配置时要启用“本地连接”，禁用“测试连接”，在查看配置结果时要先设置好测试连接的IP地址，再启用“测试连接”，并禁用“本地连接”。“本地连接”和“测试连接”一定不要同时启用。 2.为通过服务器与实验控制器配置交换机与路由器，要利用浏览器打开服务器Web页面(已设为浏览器的默认主页)，输入用户名与口令登录。单击页面上部的“教学实验”，再单击左侧的“暂无拓扑图”，再选中右侧的“实验台”单选钮，单击“确定”。此时右侧将列出机柜内的所有设备，欲配置设备，需选“申请”，然后再“登录”。 3.登录时将打开超级终端或telnet窗口，此时要输入与刚才输入的相同的用户名与口令，即可连接到设备使用命令进行配置。也有可能在输入用户名与口令后显示“facility not ready”的提示，这说明设备正在重启，此时要耐心等待几分钟才能连接到设备。一台设备同时只能有一个人申请使用，其他人只能等待。因此同一组的8个人要协商好。

实验四 防火墙基本配置实验

实验四防火墙基本配置实验 【实验目的】 1．了解防火墙的基本原理； 2．掌握防火墙的基本配置方法。 【实验环境】 1．实验3-4人一组。 2．Cisco PIX防火墙一台。 3．PC机4台，其中一台PC机上安装FTP服务器端软件，并连接在内部网络。 4．RJ-45连接电缆若干。 5．Console配置线一根。 【实验内容】 1．按图1-1搭建本地配置环境 通过PC机用Console配置线连接到防火墙Console口对防火墙进行配置。 2．按图1-2拓扑结构组网。 3．配置要求：（如有已保存的配置，先使用write erase清除闪存中的配置信息） （1）所有的口令都设置为“cisco”（实际上，除了“cisco”之外，你可设置为任意的口令，

但实验中统一用“cisco”以避免口令杂乱带来的问题）。 （2）内部网络是10.0.0.0，子网掩码为255.0.0.0。PIX防火墙的内部IP地址是10.1.1.1。（3）外部网络是1.1.1.0，子网掩码为255.0.0.0，PIX防火墙的外部IP地址是1.1.1.1。（4）在防火墙上配置地址转换，使内部PC机使用IP地址1.1.1.3访问外部网络。 （5）用于外部网络的默认路由是1.1.1.254。 （6）外部网络上的计算机只能访问内部网络FTP服务。 （7）允许10.1.1.0网段的电脑telnet到防火墙上。 4．将配置文件以附件方式用电子邮件发送到lws@https://www.wendangku.net/doc/6b12487142.html,。附件名为：实验四配置文件-学号姓名。 【实验参考步骤】 注意：实验中用到的IP地址等内容以实验要求中的内容为准，以下内容中的配置举例仅为说明命令的用法。 在配置PIX防火墙之前，先来介绍一下防火墙的物理特性。防火墙通常具有至少3个接口，但许多早期的防火墙只具有2个接口；当使用具有3个接口的防火墙时，就至少产生了3个网络，描述如下： 内部区域（内网）：内部区域通常就是指企业内部网络或者是企业内部网络的一部分。它是互连网络的信任区域，即受到了防火墙的保护。 外部区域（外网）：外部区域通常指Internet或者非企业内部网络。它是互连网络中不被信任的区域，当外部区域想要访问内部区域的主机和服务，通过防火墙，就可以实现有限制的访问。 停火区（DMZ）：停火区是一个隔离的网络，或几个网络。位于停火区中的主机或服务器被称为堡垒主机。一般在停火区内可以放置Web服务器，Mail服务器等。停火区对于外部用户通常是可以访问的，这种方式让外部用户可以访问企业的公开信息，但却不允许他们访问企业内部网络。 注意：2个接口的防火墙是没有停火区的。 当第一次启动PIX防火墙的时候，可以看到一个这样的屏幕显示:

防火墙实验报告记录

防火墙实验报告记录

————————————————————————————————作者：————————————————————————————————日期：

一、实验目的 ●通过实验深入理解防火墙的功能和工作原理 ●熟悉天网防火墙个人版的配置和使用 二、实验原理 ●防火墙的工作原理 ●防火墙能增强机构内部网络的安全性。防火墙系统决定了 哪些内部服务可以被外界访问；外界的哪些人可以访问内 部的服务以及哪些外部服务可以被内部人员访问。防火墙 必须只允许授权的数据通过，而且防火墙本身也必须能够 免于渗透。 ●两种防火墙技术的对比 ●包过滤防火墙：将防火墙放置于内外网络的边界；价格较 低，性能开销小，处理速度较快；定义复杂，容易出现因 配置不当带来问题，允许数据包直接通过，容易造成数据 驱动式攻击的潜在危险。 ●应用级网关：内置了专门为了提高安全性而编制的Proxy 应用程序，能够透彻地理解相关服务的命令，对来往的数 据包进行安全化处理，速度较慢，不太适用于高速网 （ATM或千兆位以太网等）之间的应用。 ●防火墙体系结构 ●屏蔽主机防火墙体系结构：在该结构中，分组过滤路由器 或防火墙与Internet 相连，同时一个堡垒机安装在内部

网络，通过在分组过滤路由器或防火墙上过滤规则的设 置，使堡垒机成为Internet 上其它节点所能到达的唯一 节点，这确保了内部网络不受未授权外部用户的攻击。 ●双重宿主主机体系结构：围绕双重宿主主机构筑。双重宿 主主机至少有两个网络接口。这样的主机可以充当与这些 接口相连的网络之间的路由器；它能够从一个网络到另外 一个网络发送IP数据包。但是外部网络与内部网络不能 直接通信，它们之间的通信必须经过双重宿主主机的过滤 和控制。 ●被屏蔽子网体系结构：添加额外的安全层到被屏蔽主机体 系结构，即通过添加周边网络更进一步的把内部网络和外 部网络（通常是Internet）隔离开。被屏蔽子网体系结构 的最简单的形式为，两个屏蔽路由器，每一个都连接到周 边网。一个位于周边网与内部网络之间，另一个位于周边 网与外部网络（通常为Internet）之间。 四、实验内容和步骤 （1）简述天网防火墙的工作原理 天网防火墙的工作原理： 在于监视并过滤网络上流入流出的IP包，拒绝发送可疑的包。基于协议特定的标准，路由器在其端口能够区分包和限制包的能力叫包过滤。由于Internet 与Intranet 的连接多数都要使用路由器，所以Router成为内外通信的必经端口，Router的厂商在Router上加入IP 过

防火墙的基本配置原则

本篇要为大家介绍一些实用的知识，那就是如何配置防火中的安全策略。但要注意的是，防火墙的具体配置方法也不是千篇一律的，不要说不同品牌，就是同一品牌的不同型号也不完全一样，所以在此也只能对一些通用防火墙配置方法作一基本介绍。同时，具体的防火墙策略配置会因具体的应用环境不同而有较大区别。首先介绍一些基本的配置原则。 一. 防火墙的基本配置原则 默认情况下，所有的防火墙都是按以下两种情况配置的： ?拒绝所有的流量，这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。 ?允许所有的流量，这种情况需要你特殊指定要拒绝的流量的类型。可论证地，大多数防火墙默认都是拒绝所有的流量作为安全选项。一旦你安装防火墙后，你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。换句话说，如果你想让你的员工们能够发送和接收Email，你必须在防火墙上设置相应的规则或开启允许POP3 和SMTP 的进程。 在防火墙的配置中，我们首先要遵循的原则就是安全实用，从这个角度考虑，在防火墙的配置过程中需坚持以下三个基本原则：（1）. 简单实用：对防火墙环境设计来讲，首要的就是越简单越好。其实这也是任何事物的基本原则。越简单的实现方式，越容易理解和使用。而且是设计越简单，越不容易出错，防火墙的安全功能越容易得到保证，管理也越可靠和简便。 每种产品在开发前都会有其主要功能定位，比如防火墙产品的初衷就是实现网络之间的安全控制，入侵检测产品主要针对网络非法行为进行监控。但是随着技术的成熟和发展，这些产品在原来的主要功能之外或多或少地增加了一些增值功能，比如在防火墙上增加了查杀病毒、入侵检测等功能，在入侵检测上增加了病毒查杀功能。但是这些增值功能并不是所有应用环境都需要，在配置时我们也可针对具体应用环境进行配置，不必要对每一功能都详细配置，这样一则会大大增强配置难度，同时还可能因各方面配置不协调，引起新的安全漏洞，得不偿失。 （2）. 全面深入：单一的防御措施是难以保障系统的安全的，只有采用全面的、多层次的深层防御战略体系才能实现系统的真正安全。在防火墙配置中，我们不要停留在几个表面的防火墙语句上，而应系统地看等整个网络的安全防护体系，尽量使各方面的配置相互加强，从深层次上防护整个系统。这方面可以体现在两个方面：一方面体现在防火墙系统的部署上，多层次的防火墙部署体系，即采用集互联网边界防火墙、部门边界防火墙和主机防火墙于一体的层次防御；另一方面将入侵检测、网络加密、病毒查杀等多种安全措施结合在一起的多层安全体系。 3）. 内外兼顾：防火墙的一个特点是防外不防内，其实在现实的网络环境

锐捷交换机实验手册

锐捷交换机实验手册 四川华迪信息技术有限公司 baby lai

交换机配置新手篇:正确连接和初级配置 第一步：利用电脑超级终端与交换机建立连接 可进行网络管理的交换机上有一个“Console”端口，它是专门用于对交换机进行配置和管理的。可以通过Console端口连接和配置交换机。用Cisco自带的Console线,RJ-45端接入Cisco交换机Console口，Com口端接入电脑Com1或Com2口，必须注意的是要记清楚接入的是那个Com口。 按照步骤开启超级终端：开始－程序－附件－通讯－超级终端（图2） 点击文件－新建连接（图3）

输入超级终端名称,选择数据线所连端口(注意选择Com口时候要对应Console线接入电脑的Com口)：图4 确定－点击还原为默认值（图5）

确定后开启交换机 此时交换机开始载入IOS，可以从载入IOS界面上看到诸如IOS版本号，交换机型号，内存大小等数据当屏幕显示Press RETURN to get started的时候按回车就能直接进入交换机。

第二步：学习交换机的一些初级命令 首先我们要知道Cisco配置界面分两种，一种是基于CLI(Command-line Interface命令行界面)，一种是基于IOS(Internetwork Operting System互联网操作系统)。暂时我们先探讨基 于IOS的Cisco交换机。 基于IOS的交换机有三种模式，“>”用户模式，“#”特权模式，“（CONFIG）#”全局模式，在用户模式输入enable进入特权模式，在特权模式下输入disable回到用户模式，在特权模式下输入configure terminal进入全局模式。在特权模式下输入disable回到特权模式下。 刚进入交换机的时候，我们处于用户模式，如：switch>。在用户模式我们可以查询交换机配置以及一些简单测试命令。在用户模式输入？号可以查询可以运行的命令。出现命令过多不能全部显示可以用Enter键逐行显示，空格键整页翻动。 对于一个默认未配置的交换机来说，我们必须对一些命名，密码和远程连接等进行设置，这 样可以方便以后维护。 hostname[hostname]/*设置交换机名 如：switch(config)#hostname switch ip address[ip address][netmask]/*设置IP地址 如：switch(config)#ip address192.168.0.1255.255.255.0 ip default-gateway[ip address]/*设置交换机的缺省网关 如：switch(config)#ip default-gateway192.168.0.1 enable password level[1-15][password]/*设置密码

防火墙软件的安装与配置实验报告

实验三防火墙软件的安装与配置 一、防火墙软件的安装 1.双击已经下载好的安装程序，出现如下图所示的安装界面： 2. 在出现的如上图所示的授权协议后，请仔细阅读协议，如果你同意协议中的所有条款，请选择“我接受此协议”，并单击下一步继续安装。如果你对协议有任何异议可以单击取消，安装程序将会关闭。必须接受授权协议才可以继续安装天网防火墙。如果同意协议，单击下一步将会出现如下选择安装的文件夹的界面：

3.继续点击下一步出现如下图所示的选择“开始”菜单文件夹，用于程序的快捷方式 4.点击下一步出现如下图所示的正在复制文件的界面，此时是软件正在安装，请用户耐心等待。

5.文件复制基本完成后，系统会自动弹出如下图所示的“设置向导”，为了方便大家更好的使用天网防火墙，请仔细设置。 6.单击下一步出现如下图所示的“安全级别设置”。为了保证您能够正常上网并免受他人的 恶意攻击，一般情况下，我们建议大多数用户和新用户选择中等安全级别，对于熟悉天网防火墙设置的用户可以选择自定义级别。

7.单击下一步可以看见如下图所示的“局域网信息设置”，软件将会自动检测你的IP 地址，并记录下来，同时我们也建议您勾选“开机的时候自动启动防火墙”这一选项，以保 证您的电脑随时都受到我们的保护。 8.单击下一步进入“常用应用程序设置”，对于大多数用户和新用户建议使用默认选

项。 9.单击下一步，至此天网防火墙的基本设置已经完成，单击“结束”完成安装过程。

10.请保存好正在进行的其他工作，单击完成，计算机将重新启动使防火墙生效。 二、防火墙软件的配置 1.局域网地址设置，防火墙将会以这个地址来区分局域网或者是INTERNET的IP来源。 3-1：局域网地址设置 2.管理权限设置，它有效地防止未授权用户随意改动设置、退出防火墙等如图3-2.

防火墙的设计与实现

课程设计报告 课程名称计算机网络 课题名称1、防火墙技术与实现 2、无线WLAN的设计与实现 专业计算机科学与技术 班级0802班 学号200803010212

姓名王能 指导教师刘铁武韩宁 2011年3 月6 日

湖南工程学院 课程设计任务书 一．设计内容： 问题1：基于802.1X的认证系统 建立为了便于集中认证和管理接入用户，采用AAA（Authentication、Authorization 和Accounting）安全体系。通过某种一致的办法来配置网络服务，控制用户通过网络接入服务器的访问园区网络，设计内容如下： 1．掌握IEEE820.1X和RADIUS等协议的工作原理，了解EAP协议 2．掌握HP5308/HP2626交换机的配置、调试方法 3．掌握WindowsIAS的配置方法和PAP，CHAP等用户验证方法 4．建立一个基于三层交换机的模拟园区网络，用户通过AAA方式接入园区网络 问题2：动态路由协议的研究与实现 建立基于RIP和OSPF协议的局域网，对RIP和OSPF协议的工作原理进行研究，设计内容如下： 1．掌握RIP和OSPF路由协议的工作原理 2．掌握HP5308三层交换机和HP7000路由器的配置、调试方法 3．掌握RIP和OSPF协议的报文格式，路由更新的过程 4．建立基于RIP和OSPF协议的模拟园区网络 5．设计实施与测试方案 问题3：防火墙技术与实现 建立一个园区网络应用防火墙的需求，对具体实施尽心设计并实施，设计内容如下： 1．掌握防火墙使用的主要技术：数据包过滤，应用网关和代理服务 2．掌握HP7000路由器的配置、调试方法