07第7章 安全配置實(shí)驗(yàn)

1、交換機(jī)與路由器配置實(shí)驗(yàn)教程交換機(jī)與路由器配置實(shí)驗(yàn)教程第7章 安全配置實(shí)驗(yàn)實(shí)驗(yàn)一、交換機(jī)端口安全（略）實(shí)驗(yàn)一、交換機(jī)端口安全（略）實(shí)驗(yàn)二、標(biāo)準(zhǔn)實(shí)驗(yàn)二、標(biāo)準(zhǔn)IPIP訪問控制列表訪問控制列表2022-5-8張世勇 QQ：808457964教學(xué)目標(biāo)：1. 理解訪問控制列表ACL概念。2. 理解訪問控制列表ACL作用。3. 了解訪問控制列表ACL分類。4. 掌握標(biāo)準(zhǔn)IP訪問控制列表設(shè)置方法。2022-5-8張世勇 QQ：808457965一、實(shí)驗(yàn)概述命令格式，全局配置模式下：1 1、Access-listAccess-list number permit|denypermit|deny source-a

2、dd source-wildcard其中number就是訪問控制列表的號(hào)，其編號(hào)取值范圍為199或13001999PermitPermit就是允許數(shù)據(jù)包通過，DenyDeny就是拒絕通過Source-add就是允許或拒絕的源地址，source-wildcard就是通配符掩碼。2022-5-8張世勇 QQ：808457966一、實(shí)驗(yàn)概述2、定義訪問控制列表作用于接口上的方向接口模式下，某一接口：IpIp access- access-group group number in|outin|out！在某一接口上應(yīng)用標(biāo)識(shí)為number的訪問控制列表，in|out，表示在入站端口調(diào)用還是在出站端口調(diào)用

3、。2022-5-8張世勇 QQ：808457967二、實(shí)驗(yàn)規(guī)劃2022-5-8張世勇 QQ：808457968二、實(shí)驗(yàn)規(guī)劃拓?fù)渚幹罚簝蓚€(gè)SW：沒有Vlan，沒有IP地址，不用設(shè)置 PC1IP：/24，網(wǎng)關(guān)為R1上E0/1的IP PC2IP：/24，網(wǎng)關(guān)為R1上E0/2的IP PC3IP：/24，網(wǎng)關(guān)為R1上E0/0的IPR1：E0/1IP：/24 E0/2IP：/24 E0/0IP：/242022-5-8張世勇 QQ：808457969三、實(shí)驗(yàn)步驟創(chuàng)建連接如下：Route

4、r1 E0/0 VPCS V0/3 Router1 E0/1 Switch1 F0/1 Router1 E0/2 Switch2 F0/1 Switch1 F0/2 VPCS V0/1 Switch2 F0/2 VPCS V0/22022-5-8張世勇 QQ：8084579610四、結(jié)果總結(jié) 在設(shè)定好標(biāo)準(zhǔn)訪問控制列表后，在PC1上還可以Ping通PC3，而PC2則不能連通PC3。用“show ace-list 10”命令查看標(biāo)準(zhǔn)訪問控制列表的配置情況如下：R1#sh access-list 10Standard IP access list 10 10 deny , wi

5、ldcard bits 55 (30 matches) 20 permit , wildcard bits 55 (10 matches) 在路由器上運(yùn)行“show run”，則可以查看到端口情況 實(shí)驗(yàn)三、擴(kuò)展實(shí)驗(yàn)三、擴(kuò)展IPIP訪問控制列表訪問控制列表2022-5-8張世勇 QQ：8084579612教學(xué)目標(biāo)：理解擴(kuò)展訪問控制列表概念。理解擴(kuò)展訪問控制列表功能。掌握擴(kuò)展訪問控制列表設(shè)置方法。2022-5-8張世勇 QQ：8084579613一、實(shí)驗(yàn)概述擴(kuò)展IP訪問控制列表的功能比較強(qiáng)大，可以根據(jù)協(xié)議或服務(wù)進(jìn)行配置，如果要想對(duì)網(wǎng)絡(luò)訪問實(shí)現(xiàn)精確控

6、制，就必須使用擴(kuò)展訪問控制列表。標(biāo)準(zhǔn)訪問控制列表的編號(hào)取值范圍為199或13001999。擴(kuò)展訪問控制列表的編號(hào)取值范圍是100199或20002699。 2022-5-8張世勇 QQ：8084579614一、實(shí)驗(yàn)概述命令格式如下，全局配置模式下：Access-listAccess-list number deny|permitdeny|permit protocol source-add source-wildcard operator port des-add des-wildcard operator port 其中：number是訪問控制列表編號(hào)，deny表示拒絕，permit表示允許

7、。 Protocol表示協(xié)議，可以是IP、TCP、UDP、IGMP等協(xié)議。 source-add source-wildcard和 des-add des-wildcard表示源地址和目標(biāo)地址以及它們的通配符掩碼。 Operator 表示操作符可以是eq（等于）、neq（不等于）、或range（范圍） Port表示應(yīng)用層端口號(hào)，比如www為80，ftp為20、21，telnet為23另外還可以用主機(jī)的IP地址來進(jìn)行精確控制，其通配符為。 和host 意思一樣都是表示IP地址為的主機(jī)，也可以用any表示所有主機(jī)。 202

8、2-5-8張世勇 QQ：8084579615二、實(shí)驗(yàn)規(guī)劃2022-5-8張世勇 QQ：8084579616二、實(shí)驗(yàn)規(guī)劃拓?fù)渚幹罚篠W1：Vlan 10 IP:/24 Vlan 20 IP:/24 Vlan 30 IP:/24 PC1IP：/24，網(wǎng)關(guān)為Vlan 10的IP PC2IP：/24，網(wǎng)關(guān)為Vlan 10的IP PC3IP：/24，網(wǎng)關(guān)為Vlan 20的IP PC4IP：/24，網(wǎng)關(guān)為Vlan 20的IP PC5IP：/24，網(wǎng)關(guān)為Vlan 30的IP PC6

9、IP：/24，網(wǎng)關(guān)為Vlan 30的IP2022-5-8張世勇 QQ：8084579617三、實(shí)驗(yàn)步驟創(chuàng)建連接如下：Switch1 F0/1 VPCS V0/1 Switch1 F0/2 VPCS V0/2 Switch1 F0/3 VPCS V0/3 Switch1 F0/4 VPCS V0/4 Switch1 F0/5 VPCS V0/5 Switch1 F0/6 VPCS V0/62022-5-8張世勇 QQ：8084579618三、實(shí)驗(yàn)步驟1、虛擬PC配置如圖。2022-5-8張世勇 QQ：8084579619四、結(jié)果總結(jié)刪除擴(kuò)展訪問控制列表命令和刪除標(biāo)準(zhǔn)訪問控制列表一

10、樣也是：no access-list number，number就是那個(gè)訪問控制列表號(hào)。使用“sh ip access-list ”命令，可以查看擴(kuò)展訪問控制列表的配置情況 。實(shí)驗(yàn)四、配置命名訪問控制列表實(shí)驗(yàn)四、配置命名訪問控制列表2022-5-8張世勇 QQ：8084579621教學(xué)目標(biāo)：1. 理解命名訪問控制列表概念。2. 理解命名訪問控制列表功能與特點(diǎn)。3. 了解命名訪問控制列表分類。4. 掌握命名訪問控制列表語法格式。5. 掌握命名訪問控制列表設(shè)置方法。2022-5-8張世勇 QQ：8084579622一、實(shí)驗(yàn)概述所謂命名訪問控制列表其實(shí)是對(duì)訪問控制列表的命名使用。相對(duì)于標(biāo)準(zhǔn)ACL或擴(kuò)

11、展ACL都沒有本質(zhì)差別。原本不管是標(biāo)準(zhǔn)訪問控制列表還是擴(kuò)展訪問控制列表都是用編號(hào)來加以區(qū)分。編號(hào)就是命令格式中的那個(gè)number。標(biāo)準(zhǔn)訪問控制列表的編號(hào)取值范圍為199或13001999。擴(kuò)展訪問控制列表的編號(hào)取值范圍是100199或20002699。命名ACL不使用編號(hào)而使用字符串來對(duì)訪問控制列表進(jìn)行命名，命名后，路由器進(jìn)入“訪問控制列表”模式，在此模式下可以對(duì)訪問控制列表進(jìn)行設(shè)置，在網(wǎng)絡(luò)管理過程中可以隨時(shí)根據(jù)網(wǎng)絡(luò)變化修改某一條規(guī)則，調(diào)整用戶訪問權(quán)限。2022-5-8張世勇 QQ：8084579623一、實(shí)驗(yàn)概述一、標(biāo)準(zhǔn)命名ACL語法格式如下：1、IpIp access-list stand

12、ard access-list standard name ！定義標(biāo)準(zhǔn)命名ACL，standard是標(biāo)準(zhǔn)的意思，name是 ACL的名稱，不用number號(hào)碼了2、DenyDeny source-add source-wildcard 或者 PermitPermit source-add source-wildcard ！定義允許或拒絕的源地址和通配符掩碼3 3、IpIp access-group access-group name in|outin|out ！接口模式下，定義訪問控制列表作用于接口上的方向4、show access-listshow access-list name ！顯示配

13、置的ACL，不加name表示顯示全部ACL內(nèi)容。2022-5-8張世勇 QQ：8084579624一、實(shí)驗(yàn)概述二、擴(kuò)展命名ACL語法格式如下：1、ipip access-list extended access-list extended name ！extended表示擴(kuò)展的2、deny|permitdeny|permit protocol source-add source-wildcard operator port des-add des-wildcard operator port deny deny表示拒絕，permitpermit表示允許。 Protocol表示協(xié)議，可以是IP、

14、TCP、UDP、IGMP等協(xié)議。 source-add source-wildcard和 des-add des-wildcard表示源地址和目標(biāo)地址以及它們的通配符掩碼。 operator 表示操作符可以是eq（等于）、neq（不等于）、或range（范圍） Port表示應(yīng)用層端口號(hào)，比如www為80，ftp為20、21，telnet為23參數(shù)和擴(kuò)展IP訪問控制列表的意義相同。3 3、IpIp access-group access-group name in|outin|out ！接口模式下，定義訪問控制列表作用于接口上的方向4、show access-listshow access-li

15、st name ！顯示配置的ACL，不加name表示顯示全部ACL內(nèi)容。2022-5-8張世勇 QQ：8084579625二、實(shí)驗(yàn)規(guī)劃1、標(biāo)準(zhǔn)命名ACLSW1(config)#ip access-list standard deny-host ！deny-host為名字SW1(config-std-nacl)# ！表示進(jìn)入標(biāo)準(zhǔn)命名ACL2022-5-8張世勇 QQ：8084579626二、實(shí)驗(yàn)規(guī)劃2、擴(kuò)展命名ACLSW2(config)#ip access-list extended permit-host ！permit-host為名字SW2(config-ext-nacl)# ！表示進(jìn)入擴(kuò)

16、展命名ACL2022-5-8張世勇 QQ：8084579627二、實(shí)驗(yàn)規(guī)劃2022-5-8張世勇 QQ：8084579628二、實(shí)驗(yàn)規(guī)劃拓?fù)渚幹罚篠W1：Vlan 10 IP:/24 F0/1IP：/24 PC1IP：/24，網(wǎng)關(guān)為SW1上F0/1的IP PC2IP：/24，網(wǎng)關(guān)為Vlan 10的IP 在SW1上需要把F0/1升級(jí)為三層接口才能配置IP地址。在SW1和SW2上都要?jiǎng)?chuàng)建Vlan，SW1和SW2之間的鏈路應(yīng)為Trunk鏈路。 2022-5-8張世勇 QQ：8084579629三、實(shí)驗(yàn)步驟創(chuàng)建連接如下

17、：Switch1 F0/0 Switch2 F0/0 Switch1 F0/1 VPCS V0/1 Switch2 F0/1 VPCS V0/2PC上的配置：VPCS 1 ip 24PC1 : gateway VPCS 1 2VPCS 2 ip 24PC2 : gateway 2022-5-8張世勇 QQ：8084579630四、結(jié)果總結(jié) 在ACL之前，PC2是

18、可以訪問PC1的，經(jīng)過ACL之后就不能訪問了。 用“show ip access-list”命令查看ACL配置情況：SW1#sh access-listStandard IP access list deny-host10 deny , wildcard bits 55 (15 matches)20 permit any實(shí)驗(yàn)五、基于時(shí)間的實(shí)驗(yàn)五、基于時(shí)間的IPIP訪問控制列表訪問控制列表2022-5-8張世勇 QQ：8084579632教學(xué)目標(biāo)：1. 理解基于時(shí)間的IP訪問控制列表概念。2. 理解基于時(shí)間的IP訪問控制列表功能與特點(diǎn)。3. 掌握基于時(shí)間的IP

19、訪問控制列表語法格式。4. 掌握基于時(shí)間的IP訪問控制列表設(shè)置方法。2022-5-8張世勇 QQ：8084579633一、實(shí)驗(yàn)概述基于時(shí)間的IP訪問控制列表也是為了實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的訪問控制。其實(shí)基于時(shí)間控制網(wǎng)絡(luò)有很多種方法，可以通過軟件或操作系統(tǒng)來控制。但是在路由器上進(jìn)行應(yīng)該比較方便，而且安全性高?；跁r(shí)間的IP訪問控制列表是在訪問控制中加入時(shí)間范圍來更合理的控制網(wǎng)絡(luò)訪問。通過基于時(shí)間的訪問控制列表，可以根據(jù)一天中的不同時(shí)間，或根據(jù)一個(gè)星期中的不同日期，或兩者的結(jié)合，控制對(duì)數(shù)據(jù)包的轉(zhuǎn)發(fā)，從而實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)訪問的控制。2022-5-8張世勇 QQ：8084579634一、實(shí)驗(yàn)概述1、首先必須校正時(shí)間，先

20、用show clock命令查看當(dāng)前時(shí)鐘，再用clock set 2、定義時(shí)間范圍命令格式為：R1(config)#time-rangetime-range time-range-name ！進(jìn)入時(shí)間控制模式R1(config-time-range)absolute startabsolute start begin-time endend end-timeR1(config-time-range)periodicperiodic time week其中：time-range-name表示定義時(shí)間范圍的名稱，以便在后面ACL時(shí)調(diào)用absoluteabsolute可以用來定義時(shí)間范圍，starts

21、tart后面begin-time表示開始時(shí)間，endend后面end-time表示結(jié)束時(shí)間periodicperiodic后面定義一個(gè)時(shí)間范圍。2022-5-8張世勇 QQ：8084579635一、實(shí)驗(yàn)概述3、定義ACL ACL的使用方式和前面講的沒有什差別，主要是在命令最后要增加按時(shí)間要求的命令：time-rangetime-range time-range-name，就是前面定義過的時(shí)間范圍。 4、將訪問控制列表應(yīng)用到端口2022-5-8張世勇 QQ：8084579636二、實(shí)驗(yàn)規(guī)劃2022-5-8張世勇 QQ：8084579637二、實(shí)驗(yàn)規(guī)劃拓?fù)渚幹罚?SW1：沒有Vlan，沒有IP地址，不用設(shè)置 PC1IP：/24，網(wǎng)關(guān)為R1上E0/0的IP PC2IP：/24，網(wǎng)關(guān)為R1上E0/0的IP PC3IP：/24，網(wǎng)關(guān)為