实习项目

实训报告

题目： IPv6局部部署及防火墙配置

院 （系） 电子与信息工程系 专 业 计算机科学与技术 班 级 2012级网络1班 学 生 姓 名 张子睿 赵伟 于朝辉

曹 蓉 王宪 张 昕

指导教师（职称） 李秋奎 提 交 时 间 二〇一五年七月

实训项目

【项目拓扑】

【项目需求】

（1） A区用户所属VLAN ID=101， VLAN NAME=SX_AK_A； B区用户所属VLAN

ID=201， VLAN NAME=SX_AK_B ； C区用户所属VLANID=301， VLAN NAME=SX_AK_C； 防火墙区所属VLAN ID=404， VLANNAME=SX_AK_FW （2） 在接入层交换机部署端口安全(port-security)， 限定用户连接设备数

量， 每个端口仅允许 1 个用户接入 （3） 拓扑图中所绘红色区域为 IPv4 网络，网络中用户使用自动获取方式，获

得相应的 IP 地址等信息， 动态地址的分发是由核心设备(Cisco 3560)完成； 拓扑图中所绘绿色区域为 IPv6 网络，网络中用户使用无状态自动获取的方式获得自己的 IPv6 地址等信息

（4） IPv4 网络中要求针对内部网络部署基本的安全防御， 如：防止ARP 欺

骗，防止 DHCP 欺骗……

（5） 拓扑图中防火墙要求实施必要的技术， 如：路由技术， 地址转换技

术……， 以及必要的安全防御技术

（6） IPv6 网络中要求实施 IPv6 相关技术部署，如：地址规划，路由信息…… （7） 网络分析系统连接到核心交换机(Cisco 3560)， 要求网络分析系统能够

实时监测全网用户状态； 并采集 3 次任意时间网络状态信息

【网络规划】

IPv4 网络中 VLAN ID=101， IP=192.168.10.0/24 VLAN ID=201， IP=192.168.20.0/24 VLAN ID=301， IP=192.168.30.0/24 VLAN ID=404， IP=192.168.40.0/24

网络出口 IP 为固定 IP， IP=172.17.49.252/24

IPv6 网络中使用网络信息 2001:01AC:DD89::/48 进行规划分配： VLAN ID=101， IPv6=2001:01AC:DD89:1001::/64 VLAN ID=201， IPv6=2001:01AC:DD89:1002::/64 VLAN ID=301， IPv6=2001:01AC:DD89:1003::/64 【设计原则】 （1） （2） （3） （4） （5）

保证IPv4和IPv6主机之间的互通； 在更新过程中避免设备之间的依赖性；

对于网络管理者和终端用户来说，过渡过程易于理解和实现； 能够实现更好的安全性，实现ip级的安全。 过渡可以逐个进行；

主要技术

【网络地址转换】

【源地址转换】

源地址转换是基于源地址的地址转换，主要用于内网访问外网，减少公有地址的数目，隐藏内部地址

【目标地址转换】

目标地址转换可分为目标地址映射、目标端口映射、服务器负载均衡等。目标地址转换也称为反向地址转换或地址映射。目标地址转换是一种单向的针对目标地址的映射，主要用于内部服务器向外部提供服务的情况，它与静态地址转换的区别在于它是单向的。外部可以主动访问内部，内部却不可以主动访问外部。另外，可使用目标地址转换实现负载均衡的功能，即可以将一个目标地址转换为多个内部服务器地址。也可以通过端口的映射将不同的端口映射到不同的机器上。

【防火墙】

防火墙指的是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。它是一种计算机硬件和软件的结

合，使Internet与Intranet之间建立起一个安全网关，从而保护内部网免受非法用户的侵入，防火墙主要由服务访问政策、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件(其中硬件防火墙用的很少只有国防部等地才用,因为它价格昂贵)。该计算机流入流出的所有网络通信均要经过此防火墙。

【实训截图】

IP监测

TCP监测

蓝盾防火墙

蓝盾防火墙SNAT配置

蓝盾防火墙WAN口配置

防火墙路由配置

防火墙网口配置

监测概要

数据包监测

【实训总结】

由于当下Internet网络中存在数量庞大的IPv4用户和设备，IPv4到IPv6的过渡不可能一次性实现。而且，目前许多企业和用户的日常工作越来越依赖于Internet，它们无法容忍在协议过渡过程中出现的空窗时期。所以从IPv4到IPv6的过渡必须是一个循序渐进的过程，在体验IPv6带来的好处的同时旧的IPv4用户仍能与网络中其余的IPv4用户通信。能否顺利地实现从IPv4到IPv6的过渡也是IPv6能否取得成功的一个重要因素。 【实训心得】

张子睿： 通过这几天的实训以及最后的真机操作，我体会到了理论与实践的巨大差距。在项目实施过程中，我遇到了许多问题，如客户端能通过DHCP获取IPv4地址，但却无法与其他主机进行通信、防火墙策略及NAT配置等问题，这些问题在我们小组的讨论以及老师的帮助下都顺利的解决了。这让我明白了在学校所学习到的书本上的知识是片面的，理论与实际还有很大的差距，在以后的生活工作中会遇到很多问题，这些都需要我有一个虚心学习的态度，只有这样才能让我在今后的生活与工作中学会更多。 于朝辉：

实习结束了，本次实习历时10天，通过在实习中的学习，让我学到了很多课堂上学不到的东西，通过学习，我也对网络安全管理有了一定的了解，在这次实习中，我们学习了防火墙，IPV4,IPV6以及Vlan穿透。知道了IPV6是为了解决IPV4所存在的一些问题和不足而提出的。在学习防火墙时，有时会遇到一些问题，对使用的协议不熟，端口不清楚等。但是我能独自配置防火墙的策略，并且能够运行完美。加深了对网络安全概念的理解，在实习中我意识到，学习就需要一个虚心学习的态度，这样，才能为了以后工作打下了基础。 赵伟： 实习结束了，本次实习历时10天，通过在实习中的学习，让我学到了很多课堂上学不到的东西，通过学习，我也对网络安全管理有了一定的了解，在这次实习中，我们学习了防火墙，在学习防火墙时，有时会遇到一些问题，对使用的协议不熟，端口不清楚等。不过，通过我的认真学习，还有实习老师的指导，我已经能够明白那些本来不清楚的，还有一些错误的。因此，我学到了很多东西，为了以后工作打下了基础。 曹蓉： 经过几天的网络安全实习，使我在防火墙，以及计算机网络的安全规划等方面有了更多的提高，在实习中，我学到了如何使用防火墙，以及防火墙中的协议。IPV4,IPV6的区别，VLAN穿透的原理。知道了在配置访问规则时一定要先理清思绪，弄清常用的各种协议端口这样才能在配置的时候不会出现一些不必要的麻烦，明白了IPV4与IPV6之间的关系，明白了IPV6是为了解决IPV4所存在的一些问题和不足而提出的。IPV6协议的地址长度是128位。通过这10天的学习，让我收获颇丰，让我明白了在学校所学的知识是有限的，因此在实际工作中会经常遇到一些问题，就需要一个虚心学习的态度。让我以后在工作中有了基础。 张昕： 经历了10天的实习，让我学到了很多课堂上学不到的东西，通过这次学习，我也对网络安全管理有了一定的了解，在这次实习中，我们学习了防火墙，IPV4,IPV6以及Vlan穿透.虽然在学习防火墙时，有时会遇到一些问题，对使用的协议不熟，端口不清楚等。然而，通过老师的指导，跟同学们的相互交流，我提高了自己这方面的能力，了解到了很多有用的知

识。同时，也为了以后工作打下了基础。 王宪： 这次实训通过一个实例让我们加深了对IPV4地址的理解和应用，并且在路由器上如何进行防火墙的配置和一些基本的防御手段。还有在不断的动手中加深自己的记忆，这样才能熟练的运用自己学到的知识。通过实训对网络有了更深一步的理解，并且通过小组之间的合作加强了团队协作能力。虽然实训的时间不长，但还是学到了很多东西。

【参考文献】

［1］ 高峡，陈智罡，袁宗福·网络设备互联·学习指南［M］北京：科学出版社，2009.4. ［2］ 史蒂文斯·TCP/IP详解.卷I［M］北京：机械工业出版社，2000. ［3］ 锐捷网络·网络互连与实现［M］北京：希望电子出版社，2005.

［4］ 杨靖，刘亮·TCP/IP详解.卷I：协议［M］北京：机械工业出版社，2000. ［5］ RFC网站·http://www.ietf.org ［6］ 锐捷网站·http://www.ruijie.com.cn

【配置命令】

【IPv4】

接入层SW1： en switchport port-security maximum 1 vlan database switchport port-security violation shutdown vtp domain aku.com switchport port-security mac-address sticky vtp password cisco exit vtp client ip dhcp snooping vlan 101 exit interface FastEthernet0/24 conf t ip dhcp snooping trust hostname SW1 exit int f0/24 ip arp inspection vlan 101 switchport mode trunk ip arp inspection validate src-mac exit interface FastEthernet0/24 int range f0/1 - 23 ip arp inspection trust switchport mode access exit switchport access vlan 101 no ip dhcp snooping information option switchport port-security enable

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 核心层： en vtp server vlan database vlan 101 name SX_AK_A vtp domain aku.com vlan 102 name SX_AK_B vtp password cisco vlan 103 name SX_AK_C

vlan 104 name SX_AK_D service dhcp exit ip dhcp excluded-address 192.168.10.254 conf t ip dhcp excluded-address 192.168.20.254 int range f0/22 - 24 ip dhcp excluded-address 192.168.30.254 switchport mode trunk ip dhcp pool vlan101 exit network 192.168.10.0 255.255.255.0 int f0/1 default-router 192.168.10.254 switchport mode access ip dhcp pool vlan102 switchport access vlan 104 network 192.168.20.0 255.255.255.0 no switchport default-router 192.168.20.254 ip add 192.168.40.1 255.255.255.252 ip dhcp pool vlan103 no sh network 192.168.30.0 255.255.255.0 int f0/3 default-router 192.168.30.254 no switchport exit ip add 192.168.50.1 255.255.255.252 ip routing no sh router rip exit version 2 int vlan 101 no auto-summary ip add 192.168.10.254 255.255.255.0 network 192.168.10.0 no sh network 192.168.10.0 int vlan 102 network 192.168.10.0 ip add 192.168.20.254 255.255.255.0 exit no sh monitor session 1 source interface int vlan 103 FastEthernet 0/22 - 24 both ip add 192.168.30.254 255.255.255.0 monitor session 1 destination interface no sh FastEthernet 0/21 exit

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【IPv6】

核心层： en conf t

no ip domain-lookup line con 0 logg syn exec-t 0 0 line vty 0 4 logg syn exec-t 0 0

hostname CORE exit conf t

sdm prefer dual-ipv4-and-ipv6 default

int vlan 101 ipv6 enable ipv6 address

2001:01AC:DD89:1001::1/64 no sh

int vlan 102 ipv6 enable ipv6 address

2001:01AC:DD89:1002::1/64 no sh

int vlan 103 ipv6 enable ipv6 address

2001:01AC:DD89:1003::1/64 ipv6 rip core enable no sh int vlan 102 int f0/20 ipv6 rip core enable no switchport int vlan 103 ipv6 address 2001:01AC:DD89::1/126 ipv6 rip core enable no sh int f0/14 exit ipv6 rip core enable ipv6 unicast-routing exit ipv6 router rip core ipv6 route ::/0 2001:1AC:DD89::2 exit exit int vlan 101

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> Router: en ipv6 address 2001:01AC:DD89::2/126 conf t no sh no ip domain-lookup int f0/1 line con 0 ipv6 en logg syn ipv6 address 2001:01AC:DD89::4/126 exec-t 0 0 no sh line vty 0 4 exit logg syn ipv6 router Rip Router exec-t 0 0 exit hostname Router int f0/0 ipv6 unicast-routing ipv6 rip Router enable int f0/0 exit ipv6 enable ipv6 route ::/0 2001:1AC:DD89: