(論文)現(xiàn)實環(huán)境下的網(wǎng)絡(luò)安全規(guī)劃與實現(xiàn)(2013年優(yōu)秀畢業(yè)設(shè)計論文)

本科畢業(yè)論文 論文題目： 現(xiàn)實環(huán)境下的網(wǎng)絡(luò)安全規(guī)劃與實現(xiàn) 作者姓名： 學(xué) 號： 學(xué) 院： 信息科學(xué)與工程學(xué)院 專 業(yè)： 集成電路設(shè)計與集成系統(tǒng) 指導(dǎo)老師： 目錄內(nèi)容摘要：2索引關(guān)鍵詞：3緒論：3第一章 三層交換機(jī)5一、三層交換機(jī)的特點(diǎn)及功能：6二、三層交換機(jī)安全策略：8第二章 三層交換機(jī)安全管理配置9一、 配置要求：9二、基礎(chǔ)配置：10二、通過TELNET的方式，遠(yuǎn)程登陸交換機(jī)。14第三章：IP-MAC地址綁定19一、IP-MAC地址綁定簡介：19二、IP-MAC地址綁定配置：19 1.配置要求及拓?fù)鋱D：19第四章 ACL22一、概述：22二、ACL的作用：22三、ACL的種類：23四、訪問控制列表使用原則23第五章 標(biāo)準(zhǔn)ACL25一、標(biāo)準(zhǔn)ACL簡介：25二、標(biāo)準(zhǔn)ACL配置舉例：27三、總結(jié)：29第六章 擴(kuò)展ACL30一、擴(kuò)展訪問控制列表的特點(diǎn)：30 1. 特點(diǎn)30二、擴(kuò)展ACL的配置：31三、擴(kuò)展ACL補(bǔ)充：33第七章 基于名字的ACL以及端口的控制34一、基于名字的ACL簡介：34二、編寫配置基于名字的ACL：34 1 .拓?fù)鋱D以及要求34三、說明：37第八章 基于時間的ACL40第九章 單向ACL42一、單向ACL使用環(huán)境及用途：42二、單向ACl簡介：42三、單向ACL配置舉例：42四、說明:43結(jié)束語 .45致謝.45參考文獻(xiàn).46附錄.47內(nèi)容摘要： 網(wǎng)絡(luò)的日益發(fā)展所帶來的安全問題日益嚴(yán)重。本文所研究的是網(wǎng)絡(luò)安全策略以及實現(xiàn)。通過學(xué)習(xí)網(wǎng)絡(luò)知識，研究三層交換機(jī)，提出網(wǎng)絡(luò)安全的概念以及網(wǎng)絡(luò)安全的目標(biāo)以及安全策略。再通過對安全策略的研究，利用Packet Tracer仿真軟件進(jìn)行實驗，完成安全策略所提出的網(wǎng)絡(luò)安全的要求，然后基于實驗室的的實驗環(huán)境完成對三層交換機(jī)的基礎(chǔ)安全管理配置，MAC地址綁定，ACL配置等，從而達(dá)到對網(wǎng)絡(luò)的安裝與配置以及網(wǎng)絡(luò)間的安全控制。最后完成一個教學(xué)平臺的搭建，為學(xué)生們的學(xué)習(xí)實驗提供資源。本論文研究成果已經(jīng)為06級通信專業(yè)實驗所用。索引關(guān)鍵詞：三層交換機(jī) 三層交換技術(shù) 網(wǎng)絡(luò)安全 ACL（訪問控制列表）ABSTRACT:With the development of network technology and application ，the security of network becomes more and more important. This document focuses on the strategy and achievement of the network security. Through learning network knowledge and researching layer 3 switch, we will put forward the concept of network security and security strategy. Through researching the strategy of the network security, we will use the Packet Tracer 5.0 to be used to complete the security policy put forward by the requirements of network security. Then, based on experimental laboratory environment, I can complete the layer 3 switch configuration based on security management, MAC address binding, ACL configuration to achieve the network installation and configuration and security control networks. Finally, these will be a teaching platform structures for students to provide resources for learning and experiments. The results of this thesis have been used in the experiments of the 06 TelecommunicationEngineering. Index keywords: layer 3 switch layer 3 switching network security ACL緒論：隨著大規(guī)模開放式網(wǎng)絡(luò)的開發(fā)，網(wǎng)絡(luò)面臨的威脅也就越來越多。網(wǎng)絡(luò)安全問題就成了重中之重的一個問題。我們一方面必須要允許對網(wǎng)絡(luò)資源的開發(fā)訪問，另一方面又必須要確保自身數(shù)據(jù)和資源的徹底安全。網(wǎng)絡(luò)安全設(shè)置采用的方法很多，可以對防火墻進(jìn)行安全配置，還可以通過對路由器、交換機(jī)進(jìn)行配置來實現(xiàn)，一般需要對這些方法進(jìn)行綜合應(yīng)用，以加強(qiáng)網(wǎng)絡(luò)的安全防護(hù)。要實現(xiàn)網(wǎng)絡(luò)安全需要控制多個方面。需要控制外部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)，控制內(nèi)部網(wǎng)絡(luò)訪問外部網(wǎng)絡(luò)，還要控制內(nèi)外網(wǎng)絡(luò)訪問交換機(jī)，確定網(wǎng)絡(luò)接口的安全。這其中，很大一部分網(wǎng)絡(luò)安全的需要就依靠三層交換機(jī)來實現(xiàn)。出于安全和管理方便的考慮，主要是為了減小廣播風(fēng)暴的危害，必須把大型局域網(wǎng)按功能或地域等因素劃成一個個小的局域網(wǎng)，這就使VLAN技術(shù)在網(wǎng)絡(luò)中得以大量應(yīng)用，而各個不同VLAN間的通信都要經(jīng)過路由器來完成轉(zhuǎn)發(fā)，隨著網(wǎng)間互訪的不斷增加。單純使用路由器來實現(xiàn)網(wǎng)間訪問，不但由于端口數(shù)量有限，而且路由速度較慢，從而限制了網(wǎng)絡(luò)的規(guī)模和訪問速度?；谶@種情況三層交換機(jī)便應(yīng)運(yùn)而生，三層交換機(jī)是為IP設(shè)計的，接口類型簡單，擁有很強(qiáng)二層包處理能力，非常適用于大型局域網(wǎng)內(nèi)的數(shù)據(jù)路由與交換，它既可以工作在協(xié)議第三層替代或部分完成傳統(tǒng)路由器的功能，同時又具有幾乎第二層交換的速度。 隨著三層交換機(jī)在網(wǎng)絡(luò)中的廣泛應(yīng)用，三層交換機(jī)的安全配置也就成為了網(wǎng)絡(luò)安全的重中之重。本文中我們就主要講一下基于三層交換機(jī)的安全策略及實現(xiàn)?；趯嶒炇覘l件，利用Packet Tracer這款仿真軟件進(jìn)行仿真實驗，對三層交換機(jī)進(jìn)行安全配置，主要包括主機(jī)的管理員安全管理配置，MAC地址綁定配置，以及三層交換機(jī)的ACL（訪問控制列表）配置。如何對主機(jī)進(jìn)行基本的管理配置，實現(xiàn)交換機(jī)的安全管理；以及對交換機(jī)進(jìn)行端口的MAC地址綁定，以實現(xiàn)交換機(jī)對所管理局域網(wǎng)內(nèi)PC機(jī)的安全管理，使其對內(nèi)部網(wǎng)絡(luò)的管理更加精細(xì)，以利于管理員迅速查找出網(wǎng)絡(luò)內(nèi)問題來源；還有對局域網(wǎng)內(nèi)進(jìn)行ACL訪問控制，配置一個局域網(wǎng)，使其不受外部網(wǎng)絡(luò)的攻擊以及實現(xiàn)對內(nèi)部網(wǎng)絡(luò)PC機(jī)的訪問限制，保護(hù)內(nèi)部網(wǎng)絡(luò)。這些都是我們要用Packet Tracer這款仿真軟件要實現(xiàn)的仿真實驗。第一章 三層交換機(jī) 三層交換是相對于傳統(tǒng)交換概念而提出的。傳統(tǒng)的交換技術(shù)是在OSI網(wǎng)絡(luò)標(biāo)準(zhǔn)模型中的第二層數(shù)據(jù)鏈路層進(jìn)行操作的，而三層交換技術(shù)是在網(wǎng)絡(luò)模型中的第三層實現(xiàn)了數(shù)據(jù)包的高速轉(zhuǎn)發(fā)。簡單地說，三層交換技術(shù)就是：二層交換技術(shù)三層轉(zhuǎn)發(fā)技術(shù)。一個具有三層交換功能的設(shè)備，是一個帶有第三層路由功能的第二層交換機(jī)，但它是二者的有機(jī)結(jié)合，并不是簡單地把路由器設(shè)備的硬件和軟件簡單的疊加在局域網(wǎng)交換機(jī)上。 本文中的所用三層交換機(jī)是以思科公司3560交換機(jī)為原型的仿真軟件Packet Tracer中提供的3560交換。一、三層交換機(jī)的特點(diǎn)及功能： 要對交換機(jī)進(jìn)行配置，首先需要了解交換機(jī)的一些特點(diǎn)及使用方式，這樣才能根據(jù)其特點(diǎn)及在網(wǎng)絡(luò)中的定位確定其配置策略。 1.功能：三層交換機(jī)仍是交換機(jī)產(chǎn)品，它的主要功能仍是數(shù)據(jù)交換。但它同時具備了數(shù)據(jù)交換和路由由發(fā)兩種功能，但其主要功能還是數(shù)據(jù)交換。 2、適用場所：三層交換機(jī)主要是用于簡單的局域網(wǎng)連接。三層交換機(jī)的路由功能通常比較簡單，路由路徑遠(yuǎn)沒有路由器那么復(fù)雜。它用在局域網(wǎng)中的主要用途還是提供快速數(shù)據(jù)交換功能，滿足局域網(wǎng)數(shù)據(jù)交換頻繁的應(yīng)用特點(diǎn)。三層交換機(jī)通過硬件執(zhí)行數(shù)據(jù)包交換。 3、 數(shù)據(jù)處理方式：三層交換機(jī)在對第一個數(shù)據(jù)流進(jìn)行路由后，它將會產(chǎn)生一個MAC地址與IP地址的映射表，當(dāng)同樣的數(shù)據(jù)流再次通過時，將根據(jù)此表直接從二層通過而不是再次路由，從而消除了路由器進(jìn)行路由選擇而造成網(wǎng)絡(luò)的延遲，提高了數(shù)據(jù)包轉(zhuǎn)發(fā)的效率。同時，三層交換機(jī)的路由查找是針對數(shù)據(jù)流的，它利用緩存技術(shù)，很容易利用ASIC技術(shù)來實現(xiàn)，因此，可以大大節(jié)約成本，并實現(xiàn)快速轉(zhuǎn)發(fā)。而路由器的轉(zhuǎn)發(fā)采用最長匹配的方式，實現(xiàn)復(fù)雜，通常使用軟件來實現(xiàn)，轉(zhuǎn)發(fā)效率較低。 4、三層交換機(jī)組網(wǎng)方案： 三層交換機(jī)主要是應(yīng)用于局域網(wǎng)內(nèi)部組網(wǎng)。例如學(xué)校局域網(wǎng)，大型企業(yè)內(nèi)部局域網(wǎng)和大型網(wǎng)吧的組網(wǎng)。下面是三層交換機(jī)的一般組網(wǎng)應(yīng)用方案，這是一個大學(xué)校園網(wǎng)絡(luò)的拓?fù)鋱D：由上面的拓?fù)鋱D可以看出，三層交換機(jī)已經(jīng)廣泛的應(yīng)用于網(wǎng)絡(luò)中，上圖網(wǎng)絡(luò)中由一個大型的路由器連接內(nèi)網(wǎng)和外網(wǎng)，然后用一個比較大的三層交換機(jī)來構(gòu)建整個校園的局域網(wǎng)，三層交換機(jī)下連著若干個小型三層交換機(jī)，再由這些小型的三層交換機(jī)組建各個學(xué)院以及各個樓層的小型局域網(wǎng)。5、三層交換機(jī)的主要特點(diǎn)總結(jié)：(1) 有機(jī)的硬件結(jié)合使得數(shù)據(jù)交換加速,控制功能豐富;(2) 優(yōu)化的路由軟件使得路由過程效率提高;(3) 除了必要的路由決定過程外,大部分?jǐn)?shù)據(jù)轉(zhuǎn)發(fā)過程由第二層交換處理;(4) 多個子網(wǎng)互連時只是與第三層交換模塊的邏輯連接,不象傳統(tǒng)的外接路由器那樣需增加端口,保護(hù)了用戶的投資。綜上所述三層交換技術(shù)集合了兩層技術(shù)和路由器的主要優(yōu)點(diǎn)，在大中型網(wǎng)絡(luò)的使用中，不僅減少了廣播風(fēng)暴，實現(xiàn)了數(shù)據(jù)包的快速強(qiáng)大的處理能力，此外相對于兩層技術(shù)還擁有了路由功能，可以針對IP進(jìn)行控制，可以劃分VLAN，不僅是組建大型局域網(wǎng)絡(luò)變得更加快速便捷，并通過訪問控制列表實現(xiàn)了對網(wǎng)絡(luò)的更加高效、安全的管理。二、三層交換機(jī)安全策略：在明白三層交換機(jī)在網(wǎng)絡(luò)組建中的作用后，我們就可以列出一個安全的交換機(jī)所需要具備的條件：1 交換機(jī)所需要具備的安全機(jī)制： 交換機(jī)最重要的作用就是轉(zhuǎn)發(fā)數(shù)據(jù)，在黑客攻擊和病毒侵?jǐn)_下，交換機(jī)要能夠繼續(xù)保持其高效的數(shù)據(jù)轉(zhuǎn)發(fā)速率，不受到攻擊的干擾，這就是交換機(jī)所需要的最基本的安全功能。l 同時，交換機(jī)作為整個網(wǎng)絡(luò)的核心，應(yīng)該能對訪問和存取網(wǎng)絡(luò)信息的用戶進(jìn)行區(qū)分和權(quán)限控制。l 更重要的是，交換機(jī)還應(yīng)該配合其他網(wǎng)絡(luò)安全設(shè)備，對非授權(quán)訪問和網(wǎng)絡(luò)攻擊進(jìn)行監(jiān)控和阻止。 以上是交換機(jī)所需要具備的安全機(jī)制，可以根據(jù)這些條件對交換機(jī)進(jìn)行配置以實現(xiàn)基于交換機(jī)的網(wǎng)絡(luò)的安全：2、三層交換機(jī)的一般安全策略：l 在基礎(chǔ)配置中使其擁有完備的的安全管理機(jī)制；l 通過MAC地址IP地址綁定對局域網(wǎng)內(nèi)主機(jī)進(jìn)行有效的管理；l 最重要的的是通過對ACL（訪問控制列表）進(jìn)行配置，實現(xiàn)內(nèi)網(wǎng)對外網(wǎng)以及外網(wǎng)對內(nèi)網(wǎng)的訪問控制，包括端口過濾，流量控制，時間控制，屏蔽訪問等等。第二章 三層交換機(jī)安全管理配置一、 配置要求：對交換機(jī)的基礎(chǔ)配置是為了方便網(wǎng)絡(luò)管理員的管理以及防止無關(guān)人員通過干擾交換機(jī)妨害網(wǎng)絡(luò)安全為目的的，也是三層交換機(jī)的最基礎(chǔ)配置。 將配置線一段插在三層交換機(jī)的串口上，一段插在PC機(jī)串口上，在現(xiàn)實環(huán)境中配置時需要在PC機(jī)上啟動超級終端程序。二、基礎(chǔ)配置：1. 修改主機(jī)名： 在超級終端程序下，進(jìn)入三層交換機(jī)的命令行模式，輸入以下命令。 Switchen /主機(jī)名開始為switch，進(jìn)入特權(quán)模式Switch#conf t /全局配置模式Enter configuration commands, one per line. End with CNTL/Z.Switch(config)#hostname cisco /主機(jī)名改為為ciscocisco(config)#ex%SYS-5-CONFIG_I: Configured from console by consolecisco# /主機(jī)名已改為cisco 2. 設(shè)立修改特權(quán)密碼 ：這是關(guān)系到交換機(jī)安全以及網(wǎng)絡(luò)安全的重要而配置。畢竟管理交換機(jī)是只有網(wǎng)絡(luò)管理員才有的權(quán)利。命令如下：Switchen /特權(quán)模式Switch#conf t /全局配置模式Enter configuration commands, one per line. End with CNTL/Z.Switch(config)#enable password 123 /特權(quán)密碼設(shè)為123Switch(config)#ex /退出%SYS-5-CONFIG_I: Configured from console by consoleSwitch# 如想刪除，可以用no命令。如下：SwitchenPassword: /這里需要輸入特權(quán)密碼，但在命令行模式里不顯示Switch#conf t /進(jìn)入全局配置模式Enter configuration commands, one per line. End with CNTL/Z.Switch(config)#no enable password /刪除密碼Switch(config)#ex%SYS-5-CONFIG_I: Configured from console by consoleSwitch#3.恢復(fù)出廠設(shè)置： 取消全部交換機(jī)的啟動配置。刪除交換機(jī)ip、vlan，acl（訪問控制列表）等的配置。如圖：首先，我們設(shè)置交換機(jī)ip地址SwitchenPassword: Switch#conf tEnter configuration commands, one per line. End with CNTL/Z.Switch(config)#int vlan 1Switch(config-if)#ip address Switch(config-if)#exSwitch(config)#ex%SYS-5-CONFIG_I: Configured from console by consoleSwitch#顯示配置：SwitchenPassword: Switch#show runBuilding configuration.Current configuration : 1029 bytes!version 12.2no service password-encryption!hostname Switch!enable password 123 . . . .interface FastEthernet0/24!interface GigabitEthernet0/1!interface GigabitEthernet0/2!interface Vlan1 ip address shutdown!ip classless!line con 0line vty 0 4 login!end由上可以知道主機(jī)的密碼，ip等的設(shè)置?，F(xiàn)在恢復(fù)出廠啟動設(shè)置SwitchenPassword: Switch#erase startup-config / 恢復(fù)出廠設(shè)置Erasing the nvram filesystem will remove all configuration files! Continue? confirm /回車OKErase of nvram: complete%SYS-7-NV_BLOCK_INIT: Initialized the geometry of nvramSwitch#reload /重新啟動機(jī)器Proceed with reload? confirm /回車注：啟動配置文件保存在NVRAM中,把這個文件擦除重啟即可,并且必須是擦完就重啟，不要保存,因為保存了又會把你當(dāng)前的running-config 寫入NVRAM 。刪除完我們可以再show一下Switchen Switch#show run Building configuration.Current configuration : 984 bytes!version 12.2no service password-encryption /密碼已經(jīng)刪除!hostname Switch!ip ssh version 1!port-channel load-balance src-mac! . . . .!interface GigabitEthernet0/1!interface GigabitEthernet0/2!interface Vlan1 no ip address /ip地址也已經(jīng)刪除 shutdown!ip classless!line con 0line vty 0 4 login!end結(jié)果顯示，ip地址、密碼等均已經(jīng)被刪除。二、通過TELNET的方式，遠(yuǎn)程登陸交換機(jī)。前面配置交換機(jī)是通過console線對交換機(jī)進(jìn)行管理，叫做帶外管理。當(dāng)然也就有帶內(nèi)管理，就是以從網(wǎng)絡(luò)內(nèi)進(jìn)行配置的方法-用telnet的方法管理交換機(jī)。實驗拓?fù)鋱D如下： 配置telnet時需要配置線，配置完就可以通過直連線進(jìn)行telnet管理了。首先，我們設(shè)置交換機(jī)ip地址SwitchenSwitch#conf tEnter configuration commands, one per line. End with CNTL/Z.Switch(config)#int vlan 1Switch(config-if)#ip address /配置ip地址Switch(config-if)#no shutdown /打開端口%LINK-5-CHANGED: Interface Vlan1, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state to upSwitch(config-if)#exSwitch(config)#ex%SYS-5-CONFIG_I: Configured from console by console 驗證配置：Switch#show runBuilding configuration.Current configuration : 997 bytes!version 12.2no service password-encryption!hostname Switch!ip ssh version 1!port-channel load-balance src-mac!interface FastEthernet0/1 . . .interface FastEthernet0/24!interface GigabitEthernet0/1!interface GigabitEthernet0/2!interface Vlan1 ip address /ip地址存在!ip classless!line con 0line vty 0 4 loginend配置pc機(jī)地址驗證一下是否能夠ping通連接成功。在搭網(wǎng)完成后對進(jìn)行telnet配置SwitchenSwitch#conf tEnter configuration commands, one per line. End with CNTL/Z.Switch(config)#line vty 0 4Switch(config-line)#login% Login disabled on line 66, until password is set% Login disabled on line 67, until password is set% Login disabled on line 68, until password is set% Login disabled on line 69, until password is set% Login disabled on line 70, until password is setSwitch(config-line)#password 123456Switch(config-line)#end%SYS-5-CONFIG_I: Configured from console by consoleSwitch#conf tEnter configuration commands, one per line. End with CNTL/Z.Switch(config)#enable password 123 Switch(config)#ex /為了網(wǎng)絡(luò)安全，這里必須要設(shè)置telnet密碼和特權(quán)密碼，不然配置失敗。配置完成后，對配置內(nèi)容進(jìn)行驗證，即用pc機(jī)通過telnet的方式對交換機(jī)進(jìn)行驗證：如上圖，在pc機(jī)輸入命令及密碼后就可以配置交換機(jī)了。這些基礎(chǔ)配置，只是為了方便管理員對交換機(jī)進(jìn)行進(jìn)一步的配置做準(zhǔn)備的，其對交換機(jī)的安全管理作用明顯，但卻遠(yuǎn)遠(yuǎn)不夠。如果想進(jìn)一步加強(qiáng)交換機(jī)的安全管理，需要我們對交換機(jī)的配置進(jìn)行進(jìn)一步的加強(qiáng)，如對交換機(jī)端口的MAC地址綁定。第三章：IP-MAC地址綁定一、IP-MAC地址綁定簡介： MAC地址也叫物理地址、硬件地址或鏈路地址，由網(wǎng)絡(luò)設(shè)備制造商生產(chǎn)時寫在硬件內(nèi)部。MAC和IP地址綁定，指網(wǎng)絡(luò)設(shè)備可以根據(jù)用戶的配置，在特定的IP地址和MAC地址之間形成關(guān)聯(lián)關(guān)系。對于聲稱從這個IP地址發(fā)送的報文，如果其MAC地址不是指定關(guān)系對中的地址，將予以丟棄，是避免IP地址假冒攻擊的一種方式 。而且將IP與MAC地址綁定夠可以在網(wǎng)絡(luò)內(nèi)部出現(xiàn)木馬或病毒導(dǎo)致ARP攻擊等可以迅速確定源頭，方便網(wǎng)絡(luò)管理員對問題主機(jī)進(jìn)行暫時的安全隔離。MAC地址綁定多數(shù)是應(yīng)用在單位或企業(yè)內(nèi)部，為加強(qiáng)對局域網(wǎng)內(nèi)主機(jī)的監(jiān)管和加強(qiáng)網(wǎng)絡(luò)安全所進(jìn)行的一種安全策略。二、IP-MAC地址綁定配置：1.配置要求及拓?fù)鋱D：在思科3560交換機(jī)下連接兩個PC機(jī)，PC0和PC1，在兩個端口上分別綁定兩臺PC機(jī)的MAC地址。使的只能在PC機(jī)綁定的端口上使用PC機(jī)。2. MAC地址綁定配置只能將應(yīng)用1或2與基于IP的訪問控制列表組合來使用才能達(dá)到IP-MAC 綁定功能。 首先按照拓?fù)鋱D配置交換機(jī)和PC機(jī)，保證相互間可以互相ping通。然后確定PC0的MAC地址，如下：然后進(jìn)行IPMAC地址綁定配置。Switch(config)Mac access-list extended MAC10定義一個MAC地址訪問控制列表并且命名該列表名為MAC10Switch(config)permit host 0009.6bc4.d4bf any定義MAC地址為0009.6bc4.d4bf的主機(jī)可以訪問任意主機(jī)Switch(config)permit any host 0009.6bc4.d4bf定義所有主機(jī)可以訪問MAC地址為0009.6bc4.d4bf的主機(jī)Switch(config)Ip access-list extended IP10定義一個IP地址訪問控制列表并且命名該列表名為IP10Switch(config)Permit 0 any定義IP地址為的主機(jī)可以訪問任意主機(jī)Permit any 0 定義所有主機(jī)可以訪問IP地址為的主機(jī)Switch(config-if )interface Fa0/1#進(jìn)入配置具體端口的模式Switch(config-if )mac access-group MAC10 in在該端口上應(yīng)用名為MAC10的訪問列表（即前面我們定義的訪問策略）Switch(config-if )Ip access-group IP10 in在該端口上應(yīng)用名為IP10的訪問列表（即前面我們定義的訪問策略）Switch(config)no mac access-list extended MAC10將PC1接到端口f0/1進(jìn)行驗證：配置完畢。第四章 ACL 要想對網(wǎng)絡(luò)實現(xiàn)非常精細(xì)完美的控制，ACL（訪問控制列表）是必不可少的，如果要建立一個稍微復(fù)雜的網(wǎng)絡(luò)，如一個校園網(wǎng)，一個網(wǎng)吧，甚至是一個小小的公司、實驗室都必須要有ACL的設(shè)定，只有這樣才可以實現(xiàn)內(nèi)部網(wǎng)絡(luò)安全和內(nèi)部網(wǎng)絡(luò)使用的管理。三層交換機(jī)的訪問控制列表與路由器的訪問控制列表在控制范圍和特點(diǎn)上基本上是一樣的，但在編寫格式等略有不同。一、概述：訪問控制列表（Access Control List，ACL） 是路由器和交換機(jī)接口的指令列表，用來控制端口進(jìn)出的數(shù)據(jù)包。ACL適用于所有的被路由協(xié)議，如IP、IPX、AppleTalk等。這張表中包含了匹配關(guān)系、條件和查詢語句，表只是一個框架結(jié)構(gòu)，其目的是為了對某種訪問進(jìn)行控制。信息點(diǎn)間通信，內(nèi)外網(wǎng)絡(luò)的通信都是企業(yè)網(wǎng)絡(luò)中必不可少的業(yè)務(wù)需求，但是為了保證內(nèi)網(wǎng)的安全性，需要通過安全策略來保障非授權(quán)用戶只能訪問特定的網(wǎng)絡(luò)資源，從而達(dá)到對訪問進(jìn)行控制的目的。簡而言之，ACL可以過濾網(wǎng)絡(luò)中的流量，控制訪問的一種網(wǎng)絡(luò)技術(shù)手段。二、ACL的作用：l ACL可以限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能。例如，ACL可以根據(jù)數(shù)據(jù)包的協(xié)議，指定數(shù)據(jù)包的優(yōu)先級。l ACL提供對通信流量的控制手段。例如，ACL可以限定或簡化路由更新信息的長度，從而限制通過路由器或交換機(jī)某一網(wǎng)段的通信流量。l ACL是提供網(wǎng)絡(luò)安全訪問的基本手段。例如ACL允許主機(jī)A訪問人力資源網(wǎng)絡(luò)，而拒絕主機(jī)B訪問。l ACL可以在路由器或交換機(jī)端口處決定哪種類型的通信流量被轉(zhuǎn)發(fā)或被阻塞。例如，用戶可以允許E-mail通信流量通過，而拒絕所有的Telnet通信流量。三、ACL的種類： 無論是路由器的訪問控制列表還是三層交換機(jī)的訪問控制列表，從編寫特點(diǎn)和作用上分，大致可以分為兩類：l 標(biāo)準(zhǔn)ACLl 擴(kuò)展ACL再細(xì)分一下功能和特點(diǎn)，又有如基于名字的ACL、基于時間的ACL、反向ACL等。接下來，我們將對以上幾種ACL分別進(jìn)行介紹。在介紹之前，我們先說一下訪問控制列表的的使用原則。四、訪問控制列表使用原則 由于ACL涉及的配置命令很靈活，功能也很強(qiáng)大，所以我們不能只通過一個小小的例子就完全掌握全部ACL的配置。在介紹例子前為大家將ACL設(shè)置原則羅列出來，方便各位讀者更好的消化ACL知識。l 最小特權(quán)原則只給受控對象完成任務(wù)所必須的最小的權(quán)限。也就是說被控制的總規(guī)則是各個規(guī)則的交集，只滿足部分條件的是不容許通過規(guī)則的。l 最靠近受控對象原則 所有的網(wǎng)絡(luò)層訪問權(quán)限控制。也就是說在檢查規(guī)則時是采用自上而下在ACL中一條條檢測的，只要發(fā)現(xiàn)符合條件了就立刻轉(zhuǎn)發(fā)，而不繼續(xù)檢測下面的ACL語句。l 默認(rèn)丟棄原則 在CISCO路由交換設(shè)備中默認(rèn)最后一句為ACL中加入了DENY ANY ANY，也就是丟棄所有不符合條件的數(shù)據(jù)包。這一點(diǎn)要特別注意，雖然我們可以修改這個默認(rèn)，但未改前一定要引起重視。 由于ACL是使用包過濾技術(shù)來實現(xiàn)的，過濾的依據(jù)又僅僅只是第三層和第四層包頭中的部分信息，這種技術(shù)具有一些固有的局限性，如無法識別到具體的人，無法識別到應(yīng)用內(nèi)部的權(quán)限級別等。因此，要達(dá)到端到端的權(quán)限控制目的，需要和系統(tǒng)級及應(yīng)用級的訪問權(quán)限控制結(jié)合使用。第五章 標(biāo)準(zhǔn)ACL一、標(biāo)準(zhǔn)ACL簡介：標(biāo)準(zhǔn)訪問控制列表是最簡單的訪問控制列表。訪問控制列表的特點(diǎn)：只能通過源進(jìn)行通信量的控制。是通過使用IP包中的源IP地址進(jìn)行過濾，使用的訪問控制列表號1到99來創(chuàng)建相應(yīng)的ACL。如下圖所示：SourceAddressSegment(for example, TCP header)DataPacket(IP header)Frame Header(for example, HDLC)DenyPermit Useaccess list statements1-99 圖(21)標(biāo)準(zhǔn)IP訪問表的基本格式為:access-listlist No.permit|denyhost/anysourceaddresswildcard-mask 下面對標(biāo)準(zhǔn)IP訪問表基本格式中的各項參數(shù)進(jìn)行解釋:l list number-表號范圍標(biāo)準(zhǔn)IP訪問表的表號標(biāo)識是從1到99。l permit/deny-允許或拒絕關(guān)鍵字permit和deny用來表示滿足訪問表項的報文是允許通過接口，還是要過濾掉。permit表示允許報文通過接口，而deny表示匹配標(biāo)準(zhǔn)IP訪問表源地址的報文要被丟棄掉。l source address-源地址對于標(biāo)準(zhǔn)的IP訪問表，源地址是主機(jī)或一組主機(jī)的點(diǎn)分十進(jìn)制表示，如: l host/any-主機(jī)匹配host和any分別用于指定單個主機(jī)和所有主機(jī)。host表示一種精確的匹配，其屏蔽碼為。例如，假定我們希望允許從來的報文，則使用標(biāo)準(zhǔn)的訪問控制列表語句如下:access-list 1 permit 如果采用關(guān)鍵字host，則也可以用下面的語句來代替:access-list 1 permithost 也就是說，host是通配符屏蔽碼的簡寫。與此相對照，any是源地證/目標(biāo)地址/55的簡寫。假定我們要拒絕從源地址來的報文，并且要允許從其他源地址來的報文，標(biāo)準(zhǔn)的IP訪問表可以使用下面的語句達(dá)到這個目的:access-list 1 deny host access-list 1 permit any注意，這兩條語句的順序;訪問表語句的處理順序是由上到下的。如果我們將兩個語句順序顛倒，將permit語句放在deny語句的前面，則我們將不能過濾來自主機(jī)地址的報文，因為permit語句將允許所有的報文通過。所以說訪問表中的語句順序是很重要的,因為不合理語句順序?qū)诰W(wǎng)絡(luò)中產(chǎn)生安全漏洞，或者使得用戶不能很好地利用公司的網(wǎng)絡(luò)策略。l wi1dcardmask-通配符屏蔽碼Cisco訪問表功能所支持的通配符屏蔽碼與子網(wǎng)屏蔽碼的方式是剛好相反的，也就是說，二進(jìn)制的0表示一個匹配條件，二進(jìn)制的1表示一個不關(guān)心條件。假設(shè)組織機(jī)構(gòu)擁有一個C類網(wǎng)絡(luò)，若不使用子網(wǎng)，則當(dāng)配置網(wǎng)絡(luò)中的每一個工作站時，使用于網(wǎng)屏蔽碼。在這種情況下，1表示一個 匹配，而0表示一個不關(guān)心的條件。因為Cisco通配符屏蔽碼與子網(wǎng)屏蔽碼是相反的，所以匹配源網(wǎng)絡(luò)地址中的所有報文的通配符屏蔽碼為:55。二、標(biāo)準(zhǔn)ACL配置舉例：1.標(biāo)準(zhǔn)ACL的拓?fù)鋱D及配置要求：拓?fù)鋱D如下：要求：現(xiàn)在有三個PC機(jī)，PC0、PC1在vlan100的虛擬局域網(wǎng)內(nèi)，PC2為網(wǎng)絡(luò)管理員配置用PC。要求配置交換機(jī)，允許PC2訪問網(wǎng)絡(luò)，PC0、PC1不能訪問網(wǎng)絡(luò)。用Telnet的方式對其進(jìn)行驗證。2.標(biāo)準(zhǔn)ACL.配置過程：首先如拓?fù)鋱D所示配置交換機(jī)和pc機(jī)。PCIPVLAN端口網(wǎng)關(guān)PC0VLAN 100F0/154PC1VLAN 100F0/254PC2VLAN 1F0/3無劃分VLANVLANIPVLAN 1 54VLAN 100 54三層交換機(jī)里輸入標(biāo)準(zhǔn)acl命令。Switch#conf tEnter configuration commands, one per line. End with CNTL/Z.Switch(config)#access-list 1 permit host Switch(config)#access-list 1 deny any /丟棄其他的的包。此句可以不用寫，見前面ACL特點(diǎn)介紹Switch(config)#int vlan 1Switch(config-if)#ip access-group 1 outSwitch(config-if)#exSwitch(config)#int vlan 100%LINK-5-CHANGED: Interface Vlan100, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Vlan100, changed state to upSwitch(config-if)#ip access-group 1 inSwitch(config-if)#ex命令中的ip access-group 1 in表示將acl 1應(yīng)用到vlan 100的in方向，in是對交換機(jī)上哪一個方向的包進(jìn)行過濾，有out和in兩個選擇。（ps：out和in都是站在三層模塊上看的，in表示從該接口進(jìn)入模塊的包，out表示出去的包）PC機(jī)驗證Pc0、pc1驗證Pc2驗證配置成功。實驗說明：配置完畢，vlan100內(nèi)PC不能ping通交換機(jī)，也就不能再訪問Internet。標(biāo)準(zhǔn)ACL只能對交換機(jī)進(jìn)行最簡單的訪問控制，它只能控制到源IP地址，不能控制到第四層的端口，要控制端口還需要擴(kuò)展acl。三、總結(jié)： 其實ACL的作用不止這些，要搭建復(fù)雜一些的網(wǎng)絡(luò)，ACL的配置是必不可少的， ACL作用是對從流入(in)或流出(out)路由器或交換機(jī)的包進(jìn)行過濾。IP ACL分為標(biāo)準(zhǔn) IP ACL，擴(kuò)展 IP ACL，基于名字的IP ACL，基于時間的 IP ACL以及單向ACl等，要想配置一個安全協(xié)調(diào)的網(wǎng)絡(luò)，這些基本上都會在三層交換機(jī)或路由器里出現(xiàn)。第六章 擴(kuò)展ACL一、擴(kuò)展訪問控制列表的特點(diǎn)：1. 特點(diǎn) 擴(kuò)展訪問列表可以多種方式進(jìn)行通信量的控制。擴(kuò)展ACL功能很強(qiáng)大，他可以控制源IP，目的IP，源端口，目的端口等，能實現(xiàn)相當(dāng)精細(xì)的控制，擴(kuò)展ACL不僅讀取IP包頭的源地址/目的地址，還要讀取第四層包頭中的源端口和目的端口的IP。不過他存在一個缺點(diǎn)，那就是在沒有硬件ACL加速的情況下，擴(kuò)展ACL會消耗大量的路由器CPU資源。所以應(yīng)盡量減少擴(kuò)展ACL的條目數(shù)，將其簡化為標(biāo)準(zhǔn)ACL或?qū)⒍鄺l擴(kuò)展ACL合一是最有效的方法。Destination AddressSource AddressProtocolPort NumberSegment(for example, TCP header)DataPacket(IP header)Frame Header(for example, HDLC) Useaccess list statements1-99 or 100-199 to test thepacket DenyPermit圖(22)2. 格式簡介擴(kuò)展訪問列表的基本格式：access-list access-list-number permit | deny protocol source source-wildcard operator port destination destination-wildcard operator port established 擴(kuò)展的IP訪問表用于擴(kuò)展報文過濾能力。一個擴(kuò)展的IP訪問表允許用戶根據(jù)如下內(nèi)容過濾報文：源和目的地址、協(xié)議、源和目的端口以及在特定報文字段中允許進(jìn)行特殊位比較等等。一個擴(kuò)展的IP訪問表的一般語法格式。下面簡要介紹各個關(guān)鍵字的功能：l list number-表號范圍擴(kuò)展IP訪問表的表號標(biāo)識從l00到199。l protocol-協(xié)議協(xié)議項定義了需要被過濾的協(xié)議，例如IP、TCP、UDP、1CMP等等。協(xié)議選項是很重要的，因為在TCP/IP協(xié)議棧中的各種協(xié)議之間有很密切的關(guān)系，如果管理員希望根據(jù)特殊協(xié)議進(jìn)行報文過濾，就要指定該協(xié)議。另外，管理員應(yīng)該注意將相對重要的過濾項放在靠前的位置。如果管理員設(shè)置的命令中，允許IP地址的語句放在拒絕TCP地址的語句前面，則后一個語句根本不起作用。但是如果將這兩條語句換一下位置，則在允許該地址上的其他協(xié)議的同時，拒絕了TCP協(xié)議。l 源端口號和目的端口號源端口號可以用幾種不同的方法來指定。它可以顯式地指定，使用一個數(shù)字或者使用一個可識別的助記符。例如，我們可以使用80或者h(yuǎn)ttp來指定Web 的 超文本傳輸協(xié)議。對于TCP和UDP，讀者可以使用操作符 (大于)=(等于)以及(不等于)來進(jìn)行設(shè)置。目的端口號的指定方法與源端口號的指定方法相同。讀者可以使用數(shù)字、助記符或者使用操作符與數(shù)字或助記符相結(jié)合的格式來指定一個端口范圍。下面的實例說明了擴(kuò)展IP訪問表中部分關(guān)鍵字使用方法:access-list 101 permit tcp any host eq smtpaccess-list 101 permit tcp any host eq www第一個語句允許來自任何主機(jī)的TCP報文到達(dá)特定主機(jī)的smtp服務(wù)端口(25);第二個語句允許任何來自任何主機(jī)的TCP報文到達(dá)指定的主機(jī)的www或http服務(wù)端口(80)。二、擴(kuò)展ACL的配置：1.實驗拓?fù)浼耙螅涸谌龑咏粨Q機(jī)下劃分三個VLAN,分別是VLAN100、LAN200、VLAN300，VLAN100、VLAN200與VLAN300間可以互相訪問，但是出于某種安全考慮，VLAN100與VLAN200間不能互相訪