項目利用訪問列表進行網(wǎng)絡(luò)管理

1、（企業(yè)管理套表）項目利用訪問列表進行網(wǎng)絡(luò)管理項目九、利用訪問列表進行網(wǎng)絡(luò)管理（壹）利用IP標準訪問列表進行網(wǎng)絡(luò)流量的控制【項目名稱】編號的標準IP訪問列表?！卷椖拷虒W目的】掌握路由器上編號的標準IP訪問列表規(guī)則及配置?！卷椖勘尘懊枋觥考偃缒闶悄彻镜木W(wǎng)絡(luò)管理員，公司的經(jīng)理部、財務(wù)部門和銷售部門分別屬不同的3個網(wǎng)段，三部門之間利用路由器進行信息傳遞，為了安全起見，公司領(lǐng)導要求銷售部門不能對財務(wù)部門進行訪問，但經(jīng)理部能夠?qū)ω攧?wù)部門進行訪問。PC1代表經(jīng)理部的主機，PC2代表銷售部門的主機、PC3代表財務(wù)部門的主機。【知識鏈接】1 、IPACL（IP訪問控制列表或IP訪問列表）是實現(xiàn)對流經(jīng)路由器或交

2、換機的數(shù)據(jù)包根據(jù)壹定的規(guī)則進行過濾，從而提高網(wǎng)絡(luò)可管理性和安全性。2 、IPACL分為倆種：標準IP訪問列表和擴展IP訪問列表。標準IP訪問列表根據(jù)數(shù)據(jù)包的源IP地址定義規(guī)則，進行數(shù)據(jù)包的過濾。擴展IP訪問列表根據(jù)數(shù)據(jù)包的源IP、目的IP、源端口、目的端口、協(xié)議來定義規(guī)則，從而對數(shù)據(jù)包進行過濾。3 、IPACL基于接口進行規(guī)則的應(yīng)用，分為：入棧應(yīng)用和出棧應(yīng)用。入棧應(yīng)用是指由外部經(jīng)該接口時路由器進行數(shù)據(jù)包的過濾。出棧應(yīng)用是指路由器從該接口向外轉(zhuǎn)發(fā)數(shù)據(jù)時進行數(shù)據(jù)包的過濾。4 、IPACL的配置有倆種方式：按照編號的訪問列表，按照命名的訪問列表。5 、標準IP訪問列表編號范圍是199、1300199

3、9；擴展IP訪問列表編號范圍是100199、20002699?！卷椖考寄芤蟆繉W會實現(xiàn)網(wǎng)段間互相訪問的安全控制?！就瓿身椖克柙O(shè)備】R1762路由器(倆臺)、V.35線纜(1條)、直連線或交叉線(3條)【項目拓撲】【項目實施步驟】1 、基本配置：Ra基本配置Red-Giant>enable14(password:b402)Red-Giant#configureterminalRed-Giant(config)#hostnameRaRa(config)#interfacefastEthernet0/1Ra(config-if)#ipaddress255.255.255.

4、0Ra(config-if)#noshutdownRa(config-if)#interfaceFastEthernet1/1Ra(config-if)#ipaddressRa(config-if)#noshutdownRa(config-if)#interfaceserial1/2Ra(config-if)#ipaddressRa(config-if)#clockrate64000Ra(config-if)#noshutdownRa(config-if)#end2 、測試命令：showipinterf

5、acebrief。Ra#showipintbrief!觀察接口狀態(tài)InterfaceIP-Addressress(Pri)OK?Statusserial1/2/24YESUPserial1/0noaddressYESDOWNFastEthernet0/1/24YESUPFastEthernet1/1/24YESUPNull0noaddressYESUP3 、Rb基本配置Red-Giant>enableRed-Giant#configureterminalRed-Giant(config)#hostnameRbRb(config)

6、#interfacefastEthernet0/1Rb(config-if)#ipaddressRb(config-if)#noshutdownRb(config-if)#exitRb(config-if)#interfaceserial1/2Rb(config-if)#ipaddressRb(config-if)#noshutdownRb(config-if)#end4 、測試命令showipinterfacebrief。Rb#showipintbrief!觀察接口狀態(tài)InterfaceIP-Addr

7、essress(Pri)OK?Statusserial1/2/24YESUPserial1/0noaddressYESDOWNFastEthernet0/1/24YESUPFastEthernet1/1noaddressYESDOWNNull0noaddressYESUP5 、配置靜態(tài)路由Ra(config)#iprouteserial1/2Rb(config)#iprouteserial1/2Rb(config)#iproute255.255

8、.255.0serial1/26 、測試命令showiproute。Ra#showiproute!查見路由表信息Codes:C-connected,S-static,R-RIPO-OSPF,IA-OSPFinterareaN1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2E1-OSPFexternaltype1,E2-OSPFexternaltype2*-candidatedefaultGatewayoflastresortisnosetC/24isdirectlyconnected,FastEthernet0/1C172.1

9、6.1.1/32islocalhost.C/24isdirectlyconnected,FastEthernet1/1C/32islocalhost.C/24isdirectlyconnected,serial1/2C/32islocalhost.S/24isdirectlyconnected,serial1/0Rb#showiprouteCodes:C-connected,S-static,R-RIPO-OSPF,IA-OSPFinterareaN1-OSPFNSSAexternaltype1

10、,N2-OSPFNSSAexternaltype2E1-OSPFexternaltype1,E2-OSPFexternaltype2*-candidatedefaultGatewayoflastresortisnosetS/24isdirectlyconnected,serial1/2S/24isdirectlyconnected,serial1/2C/24isdirectlyconnected,serial1/2C/32islocalhost.C/24isdirectlyconnected,F

11、astEthernet0/1C/32islocalhost.7 、配置標準IP訪問控制列表。Ra(config)#access-list10deny55!拒絕來自網(wǎng)段的流量通過Ra(config)#access-list10permitany8 、驗證測試：Ra#showaccess-lists10StandardIPaccesslist1includes2items:deny,wildcardbits55permit,wildcardbits55把訪問

12、控制列表于接口下應(yīng)用。Ra(config)#interfacefastEthernet0/1Ra(config-if)#ipaccess-group1in!于接口下訪問控制列表出棧流量調(diào)用9 、驗證測試Ra#showipinterfacefastEthernet0/1FastEthernet0/1IPinterfacestateis:UPIPinterfacetypeis:BROADCASTIPinterfaceMTUis:1500IPaddressis:/24(primary)IPaddressnegotiateis:OFFForwarddirect-boardcasti

13、s:ONICMPmaskreplyis:ONSendICMPredirectis:ONSendICMPunreachabledis:ONDHCPrelayis:OFFFastswitchis:ONRoutehorizontal-splitis:ONHelpaddressis:ProxyARPis:ONOutgoingaccesslistis10.!查見訪問列表于接口上的應(yīng)用Inboundaccesslistisnotset.10 、驗證測試網(wǎng)段內(nèi)的主機不能ping通網(wǎng)段內(nèi)的主機；但網(wǎng)段內(nèi)的主機能ping通172.16.4

14、.0網(wǎng)段內(nèi)的主機?！咀⒁馐马棥?、注意于訪問控制列表的網(wǎng)絡(luò)掩碼是反掩碼。2、標準控制列表要應(yīng)用于盡量靠近目的地址的端口上設(shè)置。（二）利用IP擴展訪問列表實現(xiàn)服務(wù)的訪問限制【項目名稱】命名的擴展IP訪問列表?！卷椖拷虒W目的】掌握于交換機上命名的擴展IP訪問列表規(guī)則及配置?！卷椖勘尘懊枋觥磕闶俏覀儗W校的網(wǎng)絡(luò)管理員，于S3550-24交換機上連著學校的WWW和FTP的服務(wù)器，另外仍連接著學生宿舍樓和教工宿舍樓，學校規(guī)定學生只能對服務(wù)器進行WWW訪問，不能進行FTP訪問，則對教工沒有此限制。【知識鏈接】1、IPACL（IP訪問控制列表或IP訪問列表）是實現(xiàn)對流經(jīng)路由器或交換機的數(shù)據(jù)包根據(jù)壹定的規(guī)則進行

15、過濾，從而提高網(wǎng)絡(luò)可管理性和安全性。2、IPACL分為倆種：標準IP訪問列表和擴展IP訪問列表。標準IP訪問列表一一根據(jù)數(shù)據(jù)包的源IP地址定義規(guī)則，進行數(shù)據(jù)包的過濾。擴展IP訪問列表一一根據(jù)數(shù)據(jù)包的源IP、目的IP、源端口、目的端口、協(xié)議來定義規(guī)則，從而對數(shù)據(jù)包進行過濾。3、IPACL基于接口進行規(guī)則的應(yīng)用，分為：入棧應(yīng)用和出棧應(yīng)用。入棧應(yīng)用是指由外部經(jīng)該接口時路由器進行數(shù)據(jù)包的過濾。出棧應(yīng)用是指路由器從該接口向外轉(zhuǎn)發(fā)數(shù)據(jù)時進行數(shù)據(jù)包的過濾。4、IPACL的配置有倆種方式：按照編號的訪問列表，按照命名的訪問列表。5、標準IP訪問列表編號范圍是199、13001999;擴展IP訪問列表編號范圍是

16、100199、20002699?！卷椖考寄芤蟆繉W會實現(xiàn)網(wǎng)段間互相訪問的安全控制?！就瓿身椖克柙O(shè)備】S3550交換機(1臺)、PC(3臺)、直連線(3條)【項目拓撲】【項目實施步驟】1、基本配置：3550-24(config)#vlan103550-24(config)#vlan203550-24(config)#vlan303550-24(config)#interfacefastethernet0/13550-24(config-if)#switchportmodeaccess3550-24(config-if)#switchportaccessvlan103550-24(config)

17、#interfacefastethernet0/23550-24(config-if)#switchportmodeaccess3550-24(config-if)#switchportaccessvlan203550-24(config)#interfacefastethernet0/33550-24(config-if)#switchportmodeaccess3550-24(config-if)#switchportaccessvlan303550-24(config)#interfacevlan103550-24(config-if)#ipaddress255.25

18、5.255.03550-24(config-if)#noshutdown3550-24(config-if)#interfacevlan203550-24(config-if)#ipaddress3550-24(config-if)#noshutdown3550-24(config-if)#interfacevlan303550-24(config-if)#ipaddress3550-24(config-if)#noshutdown2、配置命名擴展IP訪問控制列表：3550-24(config)#access-list101denytcp55hosteqFTP!禁止FTP服務(wù)3550-24(config)#access-list101permitipanyany!允許其它服務(wù)3、驗證命令：3550-24#showaccess-lists10