版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)
文檔簡介
1、項目十二安全策略與數(shù)據(jù)流量過濾1.教學(xué)目標(biāo) 掌握網(wǎng)絡(luò)平安策略布置原那么,掌握IP標(biāo)準(zhǔn)及擴展訪問控制列表配置技能,能夠根據(jù)實際需求準(zhǔn)確配置IP訪問控制列表,具體如下:1了解IP標(biāo)準(zhǔn)及擴展訪問控制列表的功能及用途 2掌握IP標(biāo)準(zhǔn)訪問控制列表配置技能3掌握IP擴展訪問控制列表配置技能2.工作任務(wù) 根據(jù)客戶工作任務(wù)的具體要求,配置IP標(biāo)準(zhǔn)或擴展訪問控制列表,實現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)流量控制。 模塊模塊1 1 IPIP標(biāo)準(zhǔn)訪問控制列表的建立及應(yīng)用標(biāo)準(zhǔn)訪問控制列表的建立及應(yīng)用 . 教學(xué)目標(biāo) 了解IP標(biāo)準(zhǔn)訪問控制列表的功能及用途 掌握路由器IP標(biāo)準(zhǔn)訪問控制列表配置技能 掌握交換機IP標(biāo)準(zhǔn)訪問控制列表配置技能 2. 工作
2、任務(wù) 你是學(xué)校網(wǎng)絡(luò)管理員,學(xué)校的財務(wù)處、教師辦公室和校辦企業(yè)財務(wù)科分屬不同的3個網(wǎng)段,三個部門之間通過路由器進行信息傳遞,為了平安起見,學(xué)校領(lǐng)導(dǎo)要求你對網(wǎng)絡(luò)的數(shù)據(jù)流量進行控制,實現(xiàn)校辦企業(yè)財務(wù)科的主機可以訪問財務(wù)處的主機,但是教師辦公室主機不能訪問財務(wù)處主機。 3. 相關(guān)實踐知識 首先對兩路由器進行根本配置,實現(xiàn)三個網(wǎng)段可以相互訪問;然后對距離控制目的地址較近的路由器RouterB配置IP標(biāo)準(zhǔn)訪問控制列表,允許網(wǎng)段校辦企業(yè)財務(wù)科主機發(fā)出的數(shù)據(jù)包通過,不允許網(wǎng)段教師辦公室主機發(fā)出的數(shù)據(jù)包通過,最后將這一策略加到路由器RouterB的Fa 0端口,如圖1
3、2.1所示。圖12.1路由器IP標(biāo)準(zhǔn)訪問控制列表第1步:根本配置路由器RouterA:R enableR #configure terminalR(config)#hostname RouterARouterA (config)# line vty 0 4 RouterA (config-line)#loginRouterA (config-line)#password 100RouterA (config-line)#exitRouterA (config)# enable password 100RouterA (config)#interface fastethernet 0Router
4、A (config-if)#no shutdownRouterA (config-if)#ExitRouterA (config)#interface fastethernet 1RouterA (config-if)#no shutdownRouterA (config-if)#ExitRouterA (config)#interface fastethernet 2RouterA (config-if)#no shutdownRouterA (config-if)#Exit路由器RouterB同理配置第2步:在路由器RouterB上配置IP標(biāo)準(zhǔn)訪問控制列表驗證測試RouterB #show
5、 access-list 1第3步:應(yīng)用在路由器RouterB的Fa 0接口輸出方向上RouterB (config)#interface fastethernet 0RouterB (config-if)#ip access-group 1 out驗證測試RouterB #show ip interface fastethernet 04. 相關(guān)理論知識 ACL概述 訪問控制列表ACL是在交換機或路由器上定義一些規(guī)那么,對經(jīng)過網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包根據(jù)一定規(guī)那么進行過濾。 ACL分類1編號訪問控制列表:在路由器配置的訪問控制列表是由編號來命名的,包括IP標(biāo)準(zhǔn)訪問控制列表和IP擴展訪問控制列表。2命
6、名訪問控制列表:在三層交換機配置的訪問控制列表是由字符串名字來命令的,包括IP標(biāo)準(zhǔn)訪問控制列表和IP擴展訪問控制列表。 編號標(biāo)準(zhǔn)訪問控制列表 1標(biāo)準(zhǔn)訪問控制列表 在路由器上建立的訪問控制列表,其編號取值范圍為199之間整數(shù)值,只根據(jù)源IP地址過濾流量。 在標(biāo)準(zhǔn)或擴展訪問列表的末尾,總有一個隱含的Deny all。這意味著如果數(shù)據(jù)包源地址與任何允許語句不匹配,那么隱含的Deny all將會禁止該數(shù)據(jù)包通過。 2定義訪問控制列表 R (config)#access-list access-list number permit/deny source source mask 其中: access-l
7、ist number :訪問列表序號,范圍是1-99; Permit/deny:允許/禁止?jié)M足條件的數(shù)據(jù)包通過; Source :過濾數(shù)據(jù)包的源IP地址; Source mask: 通配屏蔽碼,1:不檢查位,0:必須匹配位。 【例12.3】定義訪問控制列表1拒絕特定主機的流量,但允許其它的所有主機。R(config)#access-list 1 permit any3應(yīng)用訪問控制列表 訪問控制列表需要應(yīng)用到路由器的一個接口上,應(yīng)用到一個接口上可選擇入棧IN或出棧OUT二個方向。【例12.5】將訪問控制列表1應(yīng)用到路由器的接口fastethernet 0的入棧方向上。R#
8、configure terminalR(config)# interface fastethernet 0R(config-if)#ip access-group 1 inR(config-if)#end 命名標(biāo)準(zhǔn)訪問控制列表命名標(biāo)準(zhǔn)訪問控制列表 在三層交換機上配置命名標(biāo)準(zhǔn)訪問控制列表,也是采用定義ACL、在接口上應(yīng)用ACL、查看ACL等步驟進行。第1步:進入Access-list配置模式,用名字來定義一條標(biāo)準(zhǔn)訪問控制列表。Switch(config)#ip access-list standard name Switch(config-std-nacl)#第2步:定義訪問控制列表條件Swit
9、ch(config-std-nacl)#deny source source-wildcard|host source |any或permitsource source-wildcard|host source|any。Switch(config-std-nacl)#exitSwitch(config)# 其中:permit允許通過;deny禁止通過;Source 是要被過濾數(shù)據(jù)包的源IP地址;source-wildcard 是通配屏蔽碼,指出該域中哪些位進行匹配,1表示允許這些位不同,0表示這些位必須匹配;Host source代表一臺源主機,其source-wildcard為
10、;any代表任意主機,即source為,source-wildcard為55。第3步:應(yīng)用訪問控制列表Switch(config)#interface vlan n其中:n是指Vlan n,以實現(xiàn)進入SVI模式Switch(config-if)#ip access-group namein|out其中:name為訪問控制列表名稱,in或out為控制接口流量方向。Switch(config-if)#【例12.7】在交換機上配置訪問控制列表,實現(xiàn)只禁止網(wǎng)段上主機發(fā)出的數(shù)據(jù),而允許其它任意主機。Switch#configure termi
11、nalSwitch(config)#Switch(config)#ip access-list standard deny_2.0Switch(config-std-nacl)#permit any Switch(config-std-nacl)#exitSwitch(config)#interface vlan 2Switch(config-if)#ip access-group deny_2.0 inSwitch(config-if)#endSwitch#show access-lists模塊模塊2 IP擴展訪問控制列表的建立及應(yīng)用擴展訪問控制列表的建立及應(yīng)用 . 教學(xué)目標(biāo) 了解IP擴展訪
12、問控制列表功能及用途 掌握路由器IP擴展訪問控制列表配置技能 掌握交換機IP擴展訪問控制列表配置技能 2. 工作任務(wù) 你是學(xué)校網(wǎng)絡(luò)管理員,學(xué)校的網(wǎng)管中心分別架設(shè)FTP、Web效勞器,其中FTP效勞器供教師專用,學(xué)生不可使用;Web效勞器教師和學(xué)生都可訪問。FTP及Web效勞器、教師辦公室和學(xué)生宿舍分屬不同的3個網(wǎng)段,三個網(wǎng)段之間通過路由器進行信息傳遞,要求你對路由器進行適當(dāng)設(shè)置實現(xiàn)網(wǎng)絡(luò)的數(shù)據(jù)流量控制。3. 相關(guān)實踐知識 首先對兩路由器進行根本配置,實現(xiàn)三個網(wǎng)段相互訪問;然后對離控制源地址較近的路由器RouterA配置IP擴展訪問控制列表,不允許網(wǎng)段學(xué)生宿舍主機發(fā)出的去19
13、網(wǎng)段的FTP數(shù)據(jù)包通過,允許網(wǎng)段主機發(fā)出的其它效勞數(shù)據(jù)包通過,最后將這一策略加到路由器RouterA的Fa 0端口 ,如圖12.4所示 。圖12.4路由器IP擴展訪問控制列表第1步:根本配置路由器RouterA:RenableR#configure terminalR(config)#hostname RouterARouterA (config)# line vty 0 4 RouterA (config-line)#loginRouterA (config-line)#password 100RouterA (config-line)#exitRou
14、terA (config)# enable password 100RouterA (config)#interface fastethernet 0RouterA (config-if)#no shutdownRouterA (config-if)#ExitRouterA (config)#interface fastethernet 1RouterA (config-if)#no shutdownRouterA (config-if)#ExitRouterA (config)#interface fastethernet 2RouterA (config-if)#no shutdownRo
15、uterA (config-if)#Exit路由器RouterB同理配置第2步:在路由器RouterA上配置IP擴展訪問控制列表拒絕來自 網(wǎng)段去網(wǎng)段的FTP流量通過RouterA (config)#access-list 101 deny TCP 55 55 eq FTP允許其它效勞的流量通過RouterA (config)#access-list 101 permit IP any any 驗證測試RouterA #show access-list 101第3步:把訪問控制
16、列表應(yīng)用在路由器RouterA的Fa 0接口輸入方向上。RouterA(config)#interface fastethernet 0RouterA (config-if)#ip access-group 101 in4. 相關(guān)理論知識 編號擴展訪問控制列表 擴展編號訪問控制列表同標(biāo)準(zhǔn)編號訪問控制列表一樣也是在路由器上創(chuàng)立的,其編號范圍為100到199之間。擴展IP訪問控制列表可以基于數(shù)據(jù)包源IP地址、目的IP地址、協(xié)議及端口號等信息來過濾流量。 配置編號擴展訪問控制列表 R(config)#access-list listnumber permit | deny protocol sour
17、ce source-wildcard-mask destination destination-wildcard-mask operator operand 命名擴展訪問控制列表第1步:用名字來定義一個命名擴展訪問控制表,并進入擴展訪問控制列表配置模式Switch(config)#ip access-listextended namewitch(config-ext-nacl)#第2步:定義訪問控制列表條件Switch(config-ext-nacl)#deny|permit protocol source source-wildcard|host source |anyoperator po
18、rtdestination destination-wildcard|host destination|anyoperator port。Switch(config-ext-nacl)#exitSwitch(config)# 其中:Deny:禁止通過;Permit:允許通過;Protocol:協(xié)議類型。TCP:tcp;UDP:udp;IP:ip;Source:源IP地址;source-wildcard:源IP地址通配符;Host source:源主機,其source-wildcard為;host destination:目標(biāo)主機,其destination-wildcard為0.0
19、.0.0;Any:任意主機,即source或destination為,source-wildcard或destination-wildcard為55;Operator:操作符,只能為eq。Port:TCP或UDP的端口號,范圍為0-65535。模塊模塊3 3 基于時間的訪問列表建立與應(yīng)用基于時間的訪問列表建立與應(yīng)用 . 教學(xué)目標(biāo) 了解基于時間訪問控制列表的功能及用途 掌握路由器根本時間訪問控制列表配置技能 2. 工作任務(wù) 你是某公司的網(wǎng)管,為了保證公司上班時間的工作效率,公司要求上班時間只可以訪問公司的內(nèi)部網(wǎng)站。下班后員工可以隨意放松,訪問網(wǎng)絡(luò)不受限制。
20、3. 相關(guān)實踐知識 在路由器上進行根本配置,然后設(shè)置基于時間的訪問控制列表,把這個訪問控制列表應(yīng)用于路由器的Fa 0接口 ,如圖12.5所示。 圖12.5基于時間的訪問控制列表第1步:根本配置路由器RouterA:R enableR#configure terminalR(config)#hostname RouterARouterA (config)# line vty 0 4 RouterA (config-line)#loginRouterA (config-line)#password 100RouterA (config-line)#exitRouterA (config)# ena
21、ble password 100RouterA (config)#interface fastethernet 0RouterA (config-if)#no shutdownRouterA (config-if)#ExitRouterA (config)#interface fastethernet 1RouterA (config-if)#no shutdownRouterA (config-if)#Exit第2步:配置路由器的時鐘RouterA#show clockClock:1987-1-16 5:19:9重新設(shè)置路由器當(dāng)前時鐘和實際時鐘同步RouterA(config)#clock
22、set 16:03:40 27 april 2006-4-27RouterA#show clockClock:2006-4-27 16:04-9第3步:定義時間段RouterA(config)#time-range freetime定義絕對時間段RouterA(config-time-range)#absolute start 8:00 1 jan 2006 end 18:00 30 dec 2021定義周期性時間段RouterA(config-time-range)#periodic daily 0:00 to 9:00RouterA(config-time-range)#periodic daily 17:00 to 23:59RouterA#show time-rangeTime-range entry:freetime(inactive)Absolute start 8:00 01 january 2006 end 18:00 30 december 2021Periodic daily 0:00 to 9:00Periodic daily 17:00 to 23:59第4步:定義訪問控制列表允許在規(guī)定時間段內(nèi)訪問任何網(wǎng)絡(luò)RouterA (config)#a
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 裝飾裝修方案完整版
- 2023-2024學(xué)年上海市閔行區(qū)六校高一下學(xué)期6月期末聯(lián)考物理物理試題(解析版)
- 2023-2024學(xué)年江西省宜春市高安二中豐城九中樟樹中學(xué)萬載中學(xué)五校高一下學(xué)期4月期中物理試題(解析版)
- 四川省德陽市(2024年-2025年小學(xué)四年級語文)部編版小升初模擬(下學(xué)期)試卷及答案
- 四川省廣安市(2024年-2025年小學(xué)四年級語文)部編版專題練習(xí)((上下)學(xué)期)試卷及答案
- 2024年湖南永州市寧遠縣事業(yè)單位歷年高頻500題難、易錯點模擬試題附帶答案詳解
- 2024年湖南省共青團永州市零陵區(qū)委招聘2人歷年高頻500題難、易錯點模擬試題附帶答案詳解
- 2024年湖南益陽市博物館招聘2人歷年高頻500題難、易錯點模擬試題附帶答案詳解
- 2024年湖南湘西吉首市事業(yè)單位招聘43人歷年高頻500題難、易錯點模擬試題附帶答案詳解
- 2024年湖南永州經(jīng)濟技術(shù)開發(fā)區(qū)招聘政府雇員16人高頻500題難、易錯點模擬試題附帶答案詳解
- 中元節(jié)-英語課課件
- 2023年安徽民航機場集團有限公司人員招聘筆試題庫含答案解析
- 物業(yè)管理競聘演講稿匯編7篇
- 中國稅制第4版課后部分參考答案劉穎
- 食品有限公司有限空間作業(yè)安全風(fēng)險分級管控清單
- 臨床檢驗與病例分析
- 【超星爾雅學(xué)習(xí)通】《資治通鑒》導(dǎo)讀(復(fù)旦大學(xué))章節(jié)答案
- “定點醫(yī)療機構(gòu)、醫(yī)師、護士代碼”醫(yī)療機構(gòu)相關(guān)維護流程
- 2023年成人高考專升本高等數(shù)學(xué)試題及答案
- 電磁場與電磁波課后習(xí)題答案全-楊儒貴
- 農(nóng)機安全生產(chǎn)培訓(xùn)課件
評論
0/150
提交評論