（中職）交換機(jī)與路由器配置實(shí)驗(yàn)教程07第7章 安全配置實(shí)驗(yàn)電子教案

1、（中職）交換機(jī)與路由器配置實(shí)驗(yàn)教程07第7章 安全配置實(shí)驗(yàn)電子教案（中職）交換機(jī)與路由器配置實(shí)驗(yàn)教程07第7章 安全配置實(shí)驗(yàn)電子教案PAGE PAGE 12（中職）交換機(jī)與路由器配置實(shí)驗(yàn)教程07第7章 安全配置實(shí)驗(yàn)電子教案第七章 安全配置實(shí)驗(yàn)隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，現(xiàn)在面臨的安全問題越來越嚴(yán)峻。網(wǎng)絡(luò)必須保證其開放性和連接性才能成長并稱之為網(wǎng)絡(luò)，但現(xiàn)在必須高度重視網(wǎng)絡(luò)的安全性，只有更安全的網(wǎng)絡(luò)才能保證網(wǎng)絡(luò)為人民服務(wù)，才能推動(dòng)網(wǎng)絡(luò)的發(fā)展，最終推動(dòng)社會(huì)的發(fā)展和人類的進(jìn)步，針對網(wǎng)絡(luò)的安全問題，我們從網(wǎng)絡(luò)設(shè)備的安全配置方面，介紹一些安全技術(shù)的實(shí)驗(yàn)。實(shí)驗(yàn)一 交換機(jī)端口安全交換機(jī)（包括路由器）的端口安全，就是對

2、交換機(jī)的端口（接口）進(jìn)行配置，主要包括限制端口的狀態(tài)，允許或拒絕符合條件的訪問，從而實(shí)現(xiàn)網(wǎng)絡(luò)安全。一、實(shí)驗(yàn)概述大多數(shù)交換機(jī)都有端口安全配置，也就是對端口進(jìn)行相應(yīng)的設(shè)置，實(shí)現(xiàn)對網(wǎng)絡(luò)設(shè)備的安全控制。端口的安全配置主要有以下三項(xiàng)：1、端口工作方式所謂端口工作方式，主要是在網(wǎng)絡(luò)設(shè)備發(fā)展的時(shí)間漸進(jìn)過程中形成的，一般分為單工、半雙工、全雙工，自動(dòng)等工作模式。早期的端口，工作能力不行，只能發(fā)送，不能接收，稱為單工。發(fā)送數(shù)據(jù)的時(shí)候不能同時(shí)接收，接收時(shí)不能發(fā)送稱為半雙工?，F(xiàn)在的交換機(jī)一般都可以工作在全雙工工作模式下，在兩臺(tái)設(shè)備之間同時(shí)可以接收和發(fā)送數(shù)據(jù)，使得工作能力增強(qiáng)。交換機(jī)端口工作方式的設(shè)置命令為：Dupl

3、ex auto/full/half其中auto，表示端口的工作模式為自動(dòng)協(xié)商模式，即交換機(jī)端口根據(jù)所連設(shè)備的速率來自動(dòng)確定其工作速率。full，表示強(qiáng)制進(jìn)入全雙工模式。half，表示強(qiáng)制進(jìn)入半雙工模式。端口工作方式這個(gè)命令，在dynamips仿真軟件上使用3640的iso做仿真是可以使用的。但以下兩個(gè)功能（端口最大連接數(shù)和MAC（或IP）地址綁定）不能在仿真軟件上實(shí)現(xiàn)，因?yàn)?640是cisco的一款路由器產(chǎn)品，在進(jìn)行仿真時(shí)，一般是增加路由器網(wǎng)絡(luò)模塊：NM-4E4端口10bT以太網(wǎng)網(wǎng)絡(luò)模塊，實(shí)現(xiàn)路由器功能。增加交換機(jī)模塊NM-16ESW16端口10/100快速以太網(wǎng)交換機(jī)網(wǎng)絡(luò)模塊，實(shí)現(xiàn)交換機(jī)功能

4、。但這個(gè)交換機(jī)模塊不支持以下兩種端口命令。不過這兩種功能比較簡單，我們在此還是講一下：2、端口最大連接數(shù)限制交換機(jī)端口的最大連接數(shù)，就是控制交換機(jī)某端口所能連接的計(jì)算機(jī)數(shù)量。因?yàn)槎丝诳梢约?jí)聯(lián)下一級(jí)交換機(jī)（或集線器），下一級(jí)交換機(jī)又可以連接多臺(tái)電腦。所以端口的最大連接數(shù)也可以很多。不同品牌或型號(hào)的交換機(jī)，默認(rèn)允許的端口最大連接數(shù)不同，一般為100以上。假如人為設(shè)定交換機(jī)端口最大連接數(shù)為1，那么連接到該端口的設(shè)備只能是一個(gè)設(shè)備，如果一個(gè)設(shè)備建立了連接，其余設(shè)備將不能建立連接。命令：Swit port-security maximum valuevalue是最大連接數(shù)量。3、MAC（或IP）地址綁定

5、為了增強(qiáng)交換機(jī)的端口安全，可以針對交換機(jī)進(jìn)行端口地址的綁定，將接入設(shè)備的MAC地址或IP地址綁定到某端口，也可以MAC地址+IP地址雙重綁定。綁定以后，不符合要求的設(shè)備將不能建立連接。命令：Swit port-security mac-address macadd或：swit port-security ip-address ipadd其中macadd和ipadd，指的是具體的MAC地址和IP地址。實(shí)驗(yàn)二 標(biāo)準(zhǔn)IP訪問控制列表訪問控制列表ACL（Access Control List），是一種安全技術(shù)，配置在路由器、三層交換機(jī)或防火墻上。簡單說就是包過濾。通過設(shè)置可以允許（permit）或拒絕

6、（deny）進(jìn)入（in）或離開（out）路由器的數(shù)據(jù)包，對網(wǎng)絡(luò)起到安全保護(hù)作用。ACL包含了一組安全控制和檢查的命令，根據(jù)設(shè)定，指定哪些數(shù)據(jù)可以通過，哪些數(shù)據(jù)被拒絕，網(wǎng)管人員通過設(shè)置對網(wǎng)絡(luò)中的數(shù)據(jù)包過濾，實(shí)現(xiàn)訪問控制。一般是根據(jù)IP地址進(jìn)行ACL。ACL分為標(biāo)準(zhǔn)IP訪問控制列表和擴(kuò)展訪問控制列表，標(biāo)準(zhǔn)訪問控制列表比較簡單，只對數(shù)據(jù)包的源地址進(jìn)行檢查，其編號(hào)取值范圍為199或13001999。命令格式，全局配置模式下：1、Access-list number permit|deny source-add source-wildcard其中number就是訪問控制列表的號(hào)，其編號(hào)取值范圍為199或

7、13001999permit就是允許數(shù)據(jù)包通過，deny就是拒絕通過source-add就是允許或拒絕的源地址，source-wildcard就是通配符掩碼。比如：acce-list 10 permit 55表示允許來自/24網(wǎng)段的訪問另外還可以用主機(jī)的IP地址來進(jìn)行精確控制，其通配符為：如：acce-list 10 permit 表示允許這個(gè)IP地址訪問或：acce-list 10 permit host ，也可以表達(dá)同一個(gè)意思。允許所有報(bào)文通過則用參數(shù)any： acce-list 10 permit any。我們再來看一個(gè)例子：Router（config）#acce-list 10 den

8、y Router（config）#acce-list 10 permit any這兩個(gè)命令的組合就是表示除了來自的訪問，其他的都允許。注意：ACL對每個(gè)數(shù)據(jù)包都以自上向下的順序進(jìn)行匹配，如果數(shù)據(jù)包滿足第一個(gè)條件，就按規(guī)定執(zhí)行，不滿足就檢測下一條，以此類推。一旦滿足了匹配條件，相應(yīng)操作就會(huì)執(zhí)行，對數(shù)據(jù)包的檢測也到此為止。因此過濾規(guī)則的順序必須考慮，如上例中，一旦順序顛倒，則允許所有報(bào)文通過，不能拒絕了。2、定義訪問控制列表作用于接口上的方向接口模式下，某一接口：Ip access-group number in|out！在某一接口上應(yīng)用標(biāo)識(shí)為number的訪問控制列表，in|out，表示在入站端

9、口調(diào)用還是在出站端口調(diào)用。所謂入站端口還是出站端口，是指以路由器為參考點(diǎn)，數(shù)據(jù)包是進(jìn)入（in）還是離開（out）這個(gè)路由器本實(shí)驗(yàn)拓?fù)鋱D如圖7-9：圖7-9 標(biāo)準(zhǔn)ACL實(shí)驗(yàn)拓?fù)鋱D圖中假設(shè)PC1為教師用機(jī)，PC2為學(xué)生用機(jī)，PC3代表互聯(lián)網(wǎng)，出于安全考慮，要求教師機(jī)可以訪問互聯(lián)網(wǎng)，學(xué)生機(jī)則無法訪問。拓?fù)渚幹罚簝蓚€(gè)SW：沒有Vlan，沒有IP地址，不用設(shè)置 PC1IP：/24，網(wǎng)關(guān)為R1上E0/1的IP PC2IP：/24，網(wǎng)關(guān)為R1上E0/2的IP PC3IP：/24，網(wǎng)關(guān)為R1上E0/0的IPR1：E0/1IP：/24E0/2IP：/24 E0/0IP：/24用“show ace-list 10

10、”R1#sh access-list 10Standard IP access list 1010 deny , wildcard bits 55 (30 matches)20 permit , wildcard bits 55 (10 matches)在路由器上運(yùn)行“show run”，則可以查看到端口情況，如圖7-10：圖7-10 查看ACL配置信息在實(shí)際工作中，標(biāo)準(zhǔn)訪問控制列表還可以和NAT，PAT等功能配合使用，提供更好的網(wǎng)絡(luò)服務(wù)。刪除訪問控制列表命令是：no access-list number，number就是那個(gè)訪問控制列表號(hào)。實(shí)驗(yàn)三 擴(kuò)展IP訪問控制列表標(biāo)準(zhǔn)訪問控制列表只能對源

11、地址進(jìn)行檢查，功能比較單一，遠(yuǎn)遠(yuǎn)不能滿足網(wǎng)絡(luò)的需要。擴(kuò)展訪問控制列表功能齊全，大大擴(kuò)展了訪問控制列表的應(yīng)用范圍。擴(kuò)展訪問控制列表除了可以對數(shù)據(jù)包的源地址進(jìn)行過濾操作，還可以對數(shù)據(jù)包的源IP，目的IP，端口，協(xié)議等來定義訪問控制規(guī)則。擴(kuò)展IP訪問控制列表的功能比較強(qiáng)大，可以根據(jù)協(xié)議或服務(wù)進(jìn)行配置，如果要想對網(wǎng)絡(luò)訪問實(shí)現(xiàn)精確控制，就必須使用擴(kuò)展訪問控制列表。標(biāo)準(zhǔn)訪問控制列表的編號(hào)取值范圍為199或13001999。擴(kuò)展訪問控制列表的編號(hào)取值范圍是100199或20002699。命令格式如下，全局配置模式下：Access-list number deny|permit protocol source

12、-add source-wildcard operator port des-add des-wildcard operator port 其中：number是訪問控制列表編號(hào)，deny表示拒絕，permit表示允許。 protocol表示協(xié)議，可以是IP、TCP、UDP、IGMP等協(xié)議。 source-add source-wildcard和 des-add des-wildcard表示源地址和目標(biāo)地址以及它們的通配符掩碼。 operator 表示操作符可以是eq（等于）、neq（不等于）、或range（范圍） port表示應(yīng)用層端口號(hào)，比如www為80，ftp為20、21，telnet為2

13、3另外還可以用主機(jī)的IP地址來進(jìn)行精確控制，其通配符為。 和host 意思一樣都是表示IP地址為的主機(jī)。也可以用any表示所有主機(jī)。例如：acce-list 110 permit tcp any eq www表示允許任何主機(jī)的tcp報(bào)文到主機(jī) 的www服務(wù)如：acce-list 110 deny tcp 55 55 eq 20acce-list 110 deny tcp 55 55 eq 21兩條命令同時(shí)使用，表示拒絕網(wǎng)段的主機(jī)訪問網(wǎng)段的任何ftp服務(wù)，由于ftp使用兩個(gè)端口，20和21，最好同時(shí)關(guān)閉兩個(gè)端口。擴(kuò)展IP訪問控制列表一般放在各類應(yīng)用服務(wù)器的前端，對服務(wù)器上的各種應(yīng)用起到安全保護(hù)作

14、用。如圖7-12圖7-12 擴(kuò)展ACL實(shí)驗(yàn)拓?fù)鋱D圖中表示一個(gè)學(xué)校網(wǎng)絡(luò)狀況，一臺(tái)三層交換機(jī)連接各個(gè)主機(jī)，其中Vlan 10內(nèi)都是教師用機(jī)，Vlan 30內(nèi)都是學(xué)生用機(jī)，Vlan 20內(nèi)放置學(xué)校服務(wù)器，現(xiàn)在要求學(xué)生機(jī)只能訪問WWW服務(wù)，而不能訪問FTP服務(wù)。教師機(jī)無限制。拓?fù)渚幹罚篠W1：Vlan 10 IP:/24 Vlan 20 IP:/24 Vlan 30 IP:/24 PC1IP：/24，網(wǎng)關(guān)為Vlan 10的IP PC2IP：/24，網(wǎng)關(guān)為Vlan 10的IP PC3IP：/24，網(wǎng)關(guān)為Vlan 20的IP PC4IP：/24，網(wǎng)關(guān)為Vlan 20的IP PC5IP：/24，網(wǎng)關(guān)為Vla

15、n 30的IP PC6IP：/24，網(wǎng)關(guān)為Vlan 30的IP這個(gè)實(shí)驗(yàn)中，我們規(guī)定把WWW服務(wù)器和FTP服務(wù)器放在同一個(gè)主機(jī)PC3上，如果服務(wù)器分別放置在兩個(gè)主機(jī)上，用標(biāo)準(zhǔn)訪問控制列表也可以做了，失去了實(shí)驗(yàn)的意義。刪除擴(kuò)展訪問控制列表命令和刪除標(biāo)準(zhǔn)訪問控制列表一樣也是：no access-list number，number就是那個(gè)訪問控制列表號(hào)。使用“sh access-list ”命令，可以查看擴(kuò)展訪問控制列表的配置情況，如圖7-14：圖7-14 查看擴(kuò)展ACL配置但是需要注意，在虛擬機(jī)PC5上用Ping命令訪問PC3仍然是可以Ping通的，因?yàn)檫@個(gè)訪問控制列表并不能拒絕連通，反而因?yàn)樾枰?/p>

16、訪問WWW服務(wù)必須要連通，因此在用Dynamips仿真機(jī)做這個(gè)實(shí)驗(yàn)時(shí)配合用虛擬電腦就不能真實(shí)的反應(yīng)擴(kuò)展訪問控制列表的應(yīng)用了。實(shí)驗(yàn)四 配置命名訪問控制列表所謂命名訪問控制列表其實(shí)是對訪問控制列表的命名使用。相對于標(biāo)準(zhǔn)ACL或擴(kuò)展ACL都沒有本質(zhì)差別。原本不管是標(biāo)準(zhǔn)訪問控制列表還是擴(kuò)展訪問控制列表都是用編號(hào)來加以區(qū)分。編號(hào)就是命令格式中的那個(gè)number。標(biāo)準(zhǔn)訪問控制列表的編號(hào)取值范圍為199或13001999。擴(kuò)展訪問控制列表的編號(hào)取值范圍是100199或20002699。命名ACL不使用編號(hào)而使用字符串來對訪問控制列表進(jìn)行命名，命名后，路由器進(jìn)入“訪問控制列表”模式，在此模式下可以對訪問控制列

17、表進(jìn)行設(shè)置，在網(wǎng)絡(luò)管理過程中可以隨時(shí)根據(jù)網(wǎng)絡(luò)變化修改某一條規(guī)則，調(diào)整用戶訪問權(quán)限。命名ACL也分標(biāo)準(zhǔn)和擴(kuò)展兩類。一、標(biāo)準(zhǔn)命名ACL語法格式如下：（1）Ip access-list standard name ！定義標(biāo)準(zhǔn)命名ACL，standard是標(biāo)準(zhǔn)的意思，name是ACL的名稱，不用number號(hào)碼了（2）Deny source-add source-wildcard 或者Permit source-add source-wildcard ！定義允許或拒絕的源地址和通配符掩碼（3）Ip access-group name in|out ！接口模式下，定義訪問控制列表作用于接口上的方向（4）

18、show access-list name ！顯示配置的ACL，不加name表示顯示全部ACL內(nèi)容。二、擴(kuò)展命名ACL語法格式如下：（1）ip access-list extended name ！extended表示擴(kuò)展的（2）deny|permit protocol source-add source-wildcard operator port des-add des-wildcard operator port deny表示拒絕，permit表示允許。protocol表示協(xié)議，可以是IP、TCP、UDP、IGMP等協(xié)議。source-add source-wildcard和 des-a

19、dd des-wildcard表示源地址和目標(biāo)地址以及它們的通配符掩碼。operator 表示操作符可以是eq（等于）、neq（不等于）、或range（范圍）port表示應(yīng)用層端口號(hào)，比如www為80，ftp為20、21，telnet為23參數(shù)和擴(kuò)展IP訪問控制列表的意義相同。（3）Ip access-group name in|out ！接口模式下，定義訪問控制列表作用于接口上的方向（4）show access-list name ！顯示配置的ACL，不加name表示顯示全部ACL內(nèi)容。（5）no access-list name ！刪除訪問控制列表采用命名ACL會(huì)進(jìn)入一個(gè)新的命令行模式，我

20、們稱之為命名ACL模式：1、標(biāo)準(zhǔn)命名ACLSW1(config)#ip access-list standard deny-host ！deny-host為名字SW1(config-std-nacl)# ！表示進(jìn)入標(biāo)準(zhǔn)命名ACL2、擴(kuò)展命名ACLSW2(config)#ip access-list extended permit-host ！permit-host為名字SW2(config-ext-nacl)# ！表示進(jìn)入擴(kuò)展命名ACL因?yàn)槊鸄CL的命令方式和前面實(shí)驗(yàn)二、三非常相似，我們僅用標(biāo)準(zhǔn)命名ACL做一個(gè)實(shí)驗(yàn)，擴(kuò)展命名ACL請同學(xué)們自己設(shè)計(jì)。另外，我們也會(huì)在本章下一個(gè)實(shí)驗(yàn)，實(shí)驗(yàn)五中用到

21、擴(kuò)展命名ACL。拓?fù)鋱D，如圖7-15：圖7-15 標(biāo)準(zhǔn)命名ACL實(shí)驗(yàn)拓?fù)鋱DPC1為學(xué)校辦公網(wǎng)，連接到一臺(tái)三層交換機(jī)SW1的F0/1端口。PC2為學(xué)生用機(jī)，放在Vlan 10內(nèi)。需要在三層交換機(jī)上做標(biāo)準(zhǔn)命名ACL，禁止學(xué)生機(jī)訪問學(xué)校辦公網(wǎng)拓?fù)渚幹罚篠W1：Vlan 10 IP:/24 F0/1IP：/24 PC1IP：/24，網(wǎng)關(guān)為SW1上F0/1的IP PC2IP：/24，網(wǎng)關(guān)為Vlan 10的IP在SW1上需要把F0/1升級(jí)為三層接口才能配置IP地址。在SW1和SW2上都要?jiǎng)?chuàng)建Vlan，SW1和SW2之間的鏈路應(yīng)為Trunk鏈路。實(shí)驗(yàn)五 基于時(shí)間的IP訪問控制列表基于時(shí)間的IP訪問控制列表也

22、是為了實(shí)現(xiàn)對網(wǎng)絡(luò)的訪問控制。其實(shí)基于時(shí)間控制網(wǎng)絡(luò)有很多種方法，可以通過軟件或操作系統(tǒng)來控制。但是在路由器上進(jìn)行應(yīng)該比較方便，而且安全性高。基于時(shí)間的IP訪問控制列表是在訪問控制中加入時(shí)間范圍來更合理的控制網(wǎng)絡(luò)訪問。通過基于時(shí)間的訪問控制列表，可以根據(jù)一天中的不同時(shí)間，或根據(jù)一個(gè)星期中的不同日期，或兩者的結(jié)合，控制對數(shù)據(jù)包的轉(zhuǎn)發(fā)，從而實(shí)現(xiàn)對網(wǎng)絡(luò)訪問的控制。命令格式：1、首先必須校正時(shí)間，先用show clock命令查看當(dāng)前時(shí)鐘，再用clock set設(shè)定。例如：R1#sh clock*01:59:43.711 UTC Fri Mar 1 2002 ！現(xiàn)在路由器時(shí)間是2002年3月1日，其中星期五

23、是自動(dòng)生成的，不可隨意調(diào)整。R1#clock set 12:00:00 1 jul 2010 ！設(shè)定時(shí)間為2010年，7月1日，8點(diǎn)整。設(shè)定好后查看：R1#sh clock12:01:38.435 UTC Thu Jul 1 2010 ！星期四是自動(dòng)生成的各種月份對應(yīng)關(guān)系：月份 英文簡寫 英文全稱 一月 Jan. January 二月 Feb. February 三月 Mar. March 四月 Apr. April 五月 May. May 六月 Jun. June 七月 Jul. July 八月 Aug. Auguest 九月 Sep. September 十月 Oct. October 十

24、一月 Nov. November 十二月 Dec. December2、定義時(shí)間范圍命令格式為：R1(config)#time-range time-range-name ！進(jìn)入時(shí)間控制模式R1(config-time-range)#absolute start begin-time end end-timeR1(config-time-range)#periodic timeweek其中：time-range-name表示定義時(shí)間范圍的名稱，以便在后面ACL時(shí)調(diào)用absolute可以用來定義時(shí)間范圍，start后面begin-time表示開始時(shí)間，end后面end-time表示結(jié)束時(shí)間per

25、iodic后面定義一個(gè)時(shí)間范圍：timeweek。它后面的參數(shù)有：monday 星期一 tuesday 星期二 wednesday 星期三 thursday 星期四 friday 星期五 saturday 星期六 sunday 星期日 daily 每天weekdays 周一至周五weekend 星期六和星期日下面通過幾個(gè)例子加以說明（重要）：absolute start 08:00 end 18:00 ！表示每天從早8點(diǎn)到下午6點(diǎn)absolute start 08:00 2 jan 2009 end 23:59 31 dec 2010 ！表示從2009年1月2日上午8點(diǎn)到periodic we

26、ekday 06:00 to 20:00 ！表示工作日的早6點(diǎn)至晚8點(diǎn)periodic Monday 07:00 to Saturday 19:00 !表示從周一至周六的早7點(diǎn)至晚7點(diǎn)在輸入命令時(shí)，可以用“？”命令和“Tab”鍵補(bǔ)全命令獲得幫助（重要）。例如：R1(config-time-range)#absolute start ? hh:mm Starting timeR1(config-time-range)#absolute start 00:00 ? Day of the monthR1(config-time-range)#absolute start 00:00 01 ? MON

27、TH Month of the year eg: Jan for January, Jun for JuneR1(config-time-range)#absolute start 00:00 01 jan ? YearR1(config-time-range)#absolute start 00:00 01 jan 2010R1(config-time-range)#absolute start 00:00 01 jan 2010 end 23:59 ? Day of the month3、定義ACLACL的使用方式和前面講的沒有什差別，主要是在命令最后要增加按時(shí)間要求的命令：time-ra

28、nge time-range-name，就是前面定義過的時(shí)間范圍。例如：R1(config)#ip access-list extended deny-host !定義擴(kuò)展命名訪問控制列表名稱為deny-hostR1(config-ext-nacl)#permit tcp 55 55 time-range host4、將訪問控制列表應(yīng)用到端口和前面介紹的ACL一樣，不再重復(fù)?；跁r(shí)間的ACL一般放在各類服務(wù)器的前端，為各類服務(wù)器起到安全保護(hù)作用，如圖7-17：圖7-17 基于時(shí)間ACL實(shí)驗(yàn)拓?fù)鋱D圖7-17中PC1代表WWW服務(wù)器，PC2代表FTP服務(wù)器，PC3為普通PC，和PC1、PC2同網(wǎng)段，PC4代表學(xué)生用機(jī)?，F(xiàn)要求PC4在2010年1月1日0點(diǎn)到2010年12月31日晚拓?fù)渚幹罚?SW1：沒有Vlan，沒有IP地址，不用設(shè)置PC1IP：/24，網(wǎng)關(guān)為R1上E0/0的IP PC2IP：