（中職）網(wǎng)絡(luò)設(shè)備安裝與調(diào)試第2版第7單元 企業(yè)網(wǎng)絡(luò)安全配置要點(diǎn)1教學(xué)課件

1、（中職）網(wǎng)絡(luò)設(shè)備安裝與調(diào)試（第2版)第7單元 企業(yè)網(wǎng)絡(luò)安全配置要點(diǎn)1ppt課件 網(wǎng)絡(luò)設(shè)備安裝與調(diào)試網(wǎng)絡(luò)設(shè)備安裝與調(diào)試任務(wù)一任務(wù)二任務(wù)三任務(wù)四單元七第七單元 企業(yè)網(wǎng)絡(luò)安全配置要點(diǎn)任務(wù)一：ACL先知網(wǎng)絡(luò)訪問(wèn)任務(wù)二：ACL先知服務(wù)端口防攻擊任務(wù)三：ACL先知服務(wù)器服務(wù)時(shí)間 任務(wù)四：用過(guò)VPN撥號(hào)接入網(wǎng)絡(luò)任務(wù)二任務(wù)三任務(wù)四網(wǎng)絡(luò)設(shè)備安裝與調(diào)試任務(wù)二任務(wù)三任務(wù)四單元七第七單元 企業(yè)網(wǎng)絡(luò)安全配置要點(diǎn)單元能力目標(biāo)：1.定義ACL及其應(yīng)用2.配置ACL先知上網(wǎng)時(shí)間3.VPN L2TP撥號(hào)的應(yīng)用4.配置ACL禁止訪問(wèn)指定端口任務(wù)一任務(wù)二任務(wù)三任務(wù)四網(wǎng)絡(luò)設(shè)備安裝與調(diào)試任務(wù)二任務(wù)三任務(wù)四單元七第七單元 企業(yè)網(wǎng)絡(luò)安全配

2、置要點(diǎn) 在網(wǎng)絡(luò)世界里存在著許多危害到網(wǎng)絡(luò)穩(wěn)定及安全的病毒，例如：ARP病毒、木馬病毒、沖擊波、震蕩波，這些病毒都對(duì)網(wǎng)絡(luò)造成威脅性，甚至影響用戶(hù)操作系統(tǒng)的正常運(yùn)行。我們?nèi)绾畏婪哆@些病毒入侵呢？這里不得不介紹一下路由器所擁有的ACL（訪問(wèn)控制列表）安全功能。ACL能夠有效防止病毒/網(wǎng)絡(luò)蠕蟲(chóng)、對(duì)網(wǎng)絡(luò)服務(wù)器漏洞的攻擊、基于緩沖區(qū)溢出的攻擊、與Active Code相關(guān)的攻擊、與協(xié)議弱點(diǎn)相關(guān)的攻擊、與不完全的密碼相關(guān)的攻擊。本單元將介紹如何在路由器上配置ACL(Access Control List)訪問(wèn)控制列表，通過(guò)以下的任務(wù)讓大家認(rèn)識(shí)ACL這個(gè)龐大的功能。任務(wù)一任務(wù)二任務(wù)三任務(wù)四網(wǎng)絡(luò)設(shè)備安裝與調(diào)試任

3、務(wù)二任務(wù)三任務(wù)四單元七第七單元 企業(yè)網(wǎng)絡(luò)安全配置要點(diǎn) 本單元還講述了如何配置VPN（虛擬專(zhuān)用網(wǎng)）的功能，VPN英文全稱(chēng)是“Virtual Private Network”，翻譯過(guò)來(lái)就是“虛擬專(zhuān)用網(wǎng)絡(luò)”。顧名思義，虛擬專(zhuān)用網(wǎng)絡(luò)我們可以把它理解成是虛擬出來(lái)的企業(yè)內(nèi)部專(zhuān)線。它可以通過(guò)特殊的加密的通訊協(xié)議在連接在Internet上的位于不同地方的兩個(gè)或多個(gè)企業(yè)內(nèi)部網(wǎng)之間建立一條專(zhuān)有的通訊線路，就好比是架設(shè)了一條專(zhuān)線一樣，但是它并不需要真正的去鋪設(shè)光纜之類(lèi)的物理線路。這就好比去電信局申請(qǐng)專(zhuān)線，但是不用給鋪設(shè)線路的費(fèi)用，也不用購(gòu)買(mǎi)路由器等硬件設(shè)備。VPN技術(shù)原是路由器具有的重要技術(shù)之一，目前在交換機(jī)，防火

4、墻設(shè)備或Windows2000等軟件里也都支持VPN功能，一句話，VPN的核心就是在利用公共網(wǎng)絡(luò)建立虛擬私有網(wǎng)。任務(wù)一任務(wù)二任務(wù)三任務(wù)四網(wǎng)絡(luò)設(shè)備安裝與調(diào)試單元七任務(wù)描述： 某公司有財(cái)務(wù)部、采購(gòu)部、生產(chǎn)部、和人事部四個(gè)部門(mén)，公司要求只允許人事部訪問(wèn)財(cái)務(wù)部的計(jì)算機(jī)，其余部門(mén)都不能訪問(wèn)財(cái)務(wù)部。公司網(wǎng)絡(luò)管理員為了執(zhí)行公司要求，他在公司的路由器配置了一個(gè)標(biāo)準(zhǔn)ACL，只允許人事部訪問(wèn)財(cái)務(wù)部，其余部門(mén)都禁止訪問(wèn)。以下實(shí)驗(yàn)將模擬上述情況在路由器上配置一個(gè)標(biāo)準(zhǔn)ACL來(lái)限制網(wǎng)絡(luò)訪問(wèn)。任務(wù)一 ACL限制網(wǎng)絡(luò)訪問(wèn)任務(wù)一任務(wù)二任務(wù)三任務(wù)四網(wǎng)絡(luò)設(shè)備安裝與調(diào)試單元七所需設(shè)備： 1臺(tái)路由器，1臺(tái)三層交換機(jī)，4臺(tái)PC機(jī)。任務(wù)一

5、 ACL限制網(wǎng)絡(luò)訪問(wèn)任務(wù)一任務(wù)二任務(wù)三任務(wù)四任務(wù)實(shí)現(xiàn)：步驟1：按圖拓?fù)鋱D所示，制作圖中所需的網(wǎng)線，并按照拓?fù)鋱D連接。步驟2：配置三層交換機(jī)S3，創(chuàng)建vlan并加入端口，設(shè)置f0/24端口管理地址。Switch(config)#hostname S3S3(config)#vlan 20S3(config-vlan)#vlan 30S3(config-vlan)#vlan 40S3(config-vlan)#exitS3(config)#interface vlan 20S3(config-vlan20)#ip address S3(config-vlan20)#exit網(wǎng)絡(luò)設(shè)備安裝與調(diào)試單元七S

6、3(config)#interface vlan 30S3(config-vlan230)#ip address S3(config-vlan30)#exitS3(config)#interface vlan 40S3(config-vlan40)#ip address S3(config-vlan40)#exitS3(config)#interface range fastethernet 0/6-10S3(config-range-if)#switchport access vlan 20S3(config-range-if)#exitS3(config)#interface range

7、fastethernet 0/11-15S3(config-range-if)#switchport access vlan 30S3(config-range-if)#exitS3(config)#interface range fastethernet 0/16-20S3(config-range-if)#switchport access vlan 40S3(config-range-if)#exit任務(wù)一 ACL限制網(wǎng)絡(luò)訪問(wèn)任務(wù)一任務(wù)二任務(wù)三任務(wù)四網(wǎng)絡(luò)設(shè)備安裝與調(diào)試單元七S3(config)#interface fastethernet 0/24S3(config-if)#no swi

8、tchportS3(config-if)#ip address S3(config-if)#exitS3(config)#route ospf 1S3(config-route)#network area 0S3(config-route)#network area 0S3(config-route)#network area 0S3(config-route)#network area 0步驟3：配置路由器Router，配置端口管理地址。Ruijie(config)#hostname Router Router(config)#interface fastethernet 0/0 Route

9、r(config-if)#ip address Router(config-if)#exit Router(config)#interface fastethernet 0/1 Router(config-if)#ip address Router(config-if)#exit任務(wù)一 ACL限制網(wǎng)絡(luò)訪問(wèn)任務(wù)一任務(wù)二任務(wù)三任務(wù)四網(wǎng)絡(luò)設(shè)備安裝與調(diào)試單元七Router(config)#route ospf 1Router(config-route)#network area 0Router(config-route)#network area 0步驟4：在路由器Router配置ACL。Router

10、(config)#access-list 101 permit ip 55 55 ！創(chuàng)建擴(kuò)展ACL，編號(hào)為101，允許人事部的網(wǎng)段訪問(wèn)財(cái)經(jīng)部的網(wǎng)段。Router(config)#interface fastethernet 0/1 ！進(jìn)入F0/1端口Router(config-if)#ip access-list 101 in ！綁定編號(hào)為101的ACL到此接口的入口處任務(wù)一 ACL限制網(wǎng)絡(luò)訪問(wèn)任務(wù)一任務(wù)二任務(wù)三任務(wù)四小貼士 為什么步驟4在配置ACL時(shí)最后不增加一條deny ip any any的命令來(lái)拒絕其他部門(mén)訪問(wèn)財(cái)經(jīng)部呢？因?yàn)槊總€(gè)ACL最后都隱含著一條deny ip any any，所以

11、不必再加上去。網(wǎng)絡(luò)設(shè)備安裝與調(diào)試單元七驗(yàn)證配置：1使用生產(chǎn)部的電腦ping財(cái)務(wù)部的電腦，如圖所示，若不通則表明ACL配置成功。2使用人事部的電腦ping財(cái)務(wù)部的電腦，如圖所示，若ping通則表明ACL配置成功。任務(wù)一 ACL限制網(wǎng)絡(luò)訪問(wèn)任務(wù)一任務(wù)二任務(wù)三任務(wù)四網(wǎng)絡(luò)設(shè)備安裝與調(diào)試單元七小貼士 對(duì) ACL中的表項(xiàng)的檢查是自上而下的，只要匹配一條表項(xiàng)，對(duì)此 ACL的檢查就馬上結(jié)束。任務(wù)一 ACL限制網(wǎng)絡(luò)訪問(wèn)任務(wù)一任務(wù)二任務(wù)三任務(wù)四知識(shí)點(diǎn)撥1.使用訪問(wèn)列表對(duì)數(shù)據(jù)進(jìn)行過(guò)濾，首先必須通過(guò)命令access-list定義一系列訪問(wèn)列表規(guī)則語(yǔ)句。學(xué)生可以根據(jù)具體安全需要使用不同種類(lèi)的訪問(wèn)列表，例如：（1）標(biāo)準(zhǔn)I

12、P訪問(wèn)列表（1-99，1300-1999）只對(duì)源地址進(jìn)行控制。（2）擴(kuò)展IP訪問(wèn)列表（100-199，2000-2699），可以根據(jù)源目的地址進(jìn)行復(fù)雜的控制。（3）MAC擴(kuò)展列表（700-799），可以根據(jù)源和目的MAC地址以及以太網(wǎng)類(lèi)型進(jìn)行匹配Expert擴(kuò)展訪問(wèn)列表（2700-2899）。網(wǎng)絡(luò)設(shè)備安裝與調(diào)試單元七2. Access-list動(dòng)作及默認(rèn)動(dòng)作分為兩種：允許通過(guò)（permit）或拒絕通過(guò)（deny）。具體有如下：（1）在一個(gè)access-list內(nèi)，可以有多條規(guī)則（rule）。對(duì)數(shù)據(jù)包的過(guò)濾從第一條規(guī)則（rule）開(kāi)始，直到匹配到一條規(guī)則（rule），其后的規(guī)則（rule）不再進(jìn)

13、行匹配。 （2）全局默認(rèn)動(dòng)作只對(duì)端口入口方向的IP包有效。 對(duì)入口的非IP數(shù)據(jù)包以及出口的所有數(shù)據(jù)包，其默認(rèn)轉(zhuǎn)發(fā)動(dòng)作均為允許通過(guò)（permit）。（3）只有在包過(guò)濾功能打開(kāi)且端口上沒(méi)有綁定任何的ACL或不匹配任何綁定的ACL時(shí)才會(huì)匹配入口的全局的默認(rèn)動(dòng)作。（4）當(dāng)一條access-list被綁定到一個(gè)端口的出方向時(shí)，其規(guī)則（rule）的動(dòng)作只能為拒絕通過(guò)（deny）。任務(wù)一 ACL限制網(wǎng)絡(luò)訪問(wèn)任務(wù)一任務(wù)二任務(wù)三任務(wù)四網(wǎng)絡(luò)設(shè)備安裝與調(diào)試單元七拓展訓(xùn)練:1參照?qǐng)D所示拓?fù)?，按下面要求?duì)路由器和交換機(jī)進(jìn)行配置，要求如下：（1）修改各網(wǎng)絡(luò)設(shè)備名字，制作相應(yīng)的網(wǎng)線，按照拓?fù)鋱D進(jìn)行連接。（2）S1創(chuàng)建VLA

14、N10，把F0/1-3端口加入VLAN10，設(shè)置VLAN網(wǎng)關(guān)地址：54/24；創(chuàng)建VLAN20，把F0/4-6端口加入VLAN20，設(shè)置VLAN網(wǎng)關(guān)地址：54/24；設(shè)置F0/24端口的管理地址為：/24；（3）S2創(chuàng)建VLAN30，把F0/1-3端口加入VLAN30，設(shè)置網(wǎng)關(guān)地址：54/24；創(chuàng)建VLAN40，把F0/6-8端口加入VLAN40，設(shè)置網(wǎng)關(guān)地址：54/24；設(shè)置F0/24端口的管理地址為：/24（4）在路由器設(shè)置F0/0端口的IP地址：/24；設(shè)置F0/1端口的IP地址/24。任務(wù)一 ACL限制網(wǎng)絡(luò)訪問(wèn)任務(wù)一任務(wù)二任務(wù)三任務(wù)四網(wǎng)絡(luò)設(shè)備安裝與調(diào)試單元七（5）分別在路由器、三層交換

15、機(jī)S1、三層交換機(jī)S2配置OSPF路由協(xié)議，使能全網(wǎng)互通。（6）在路由器擴(kuò)展創(chuàng)建ACL，組號(hào)為105，配置允許財(cái)務(wù)部訪問(wèn)生產(chǎn)部，但生產(chǎn)部不能訪問(wèn)財(cái)務(wù)部，完成后將ACL綁定到F0/0的入口處。（7）配置完成后對(duì)實(shí)驗(yàn)進(jìn)行驗(yàn)證測(cè)試。任務(wù)一 ACL限制網(wǎng)絡(luò)訪問(wèn)任務(wù)一任務(wù)二任務(wù)三任務(wù)四網(wǎng)絡(luò)設(shè)備安裝與調(diào)試單元七任務(wù)描述：某網(wǎng)吧基于安全原因，防止病毒、黑客入侵或攻擊網(wǎng)吧服務(wù)器，網(wǎng)管人員在路由器配置了限制訪問(wèn)端口的ACL，只允許開(kāi)放網(wǎng)頁(yè)、DNS、Mail等端口。以下實(shí)驗(yàn)將模擬上述情況在路由器上配置限制訪問(wèn)端口的ACL。任務(wù)二 ACL限制服務(wù)端口防攻擊任務(wù)二所需設(shè)備： 1臺(tái)路由器，2臺(tái)計(jì)算機(jī)，2條網(wǎng)線。任務(wù)一任

16、務(wù)三任務(wù)四網(wǎng)絡(luò)設(shè)備安裝與調(diào)試單元七任務(wù)實(shí)現(xiàn)：步驟1：按圖拓?fù)鋱D所示，制作圖中所需的網(wǎng)線，并按照拓?fù)鋱D連接。步驟2：配置路由器端口IP地址。Router(config)#interface fastethernet 0/0Router(config-if)#ip address 54 Router(config-if)#exitRouter(config)#interface fastethernet 0/1Router(config-if)#ip address 54 Router(config-if)#exit步驟3：創(chuàng)建ACL，命名為dkdeny，添加過(guò)濾規(guī)則。Router(config)

17、#ip access-list extended dkdenyRouter(config-ext-nacl)# permit tcp 55 host 00 eq www ！允許該網(wǎng)段訪問(wèn)服務(wù)器的www服務(wù)（80端口）。 任務(wù)二 ACL限制服務(wù)端口防攻擊任務(wù)二任務(wù)一任務(wù)三任務(wù)四網(wǎng)絡(luò)設(shè)備安裝與調(diào)試單元七Router(config-ext-nacl)# permit tcp 55 host 00 eq domain ！允許該網(wǎng)段訪問(wèn)服務(wù)器的DNS服務(wù)（53端口）。Router(config-ext-nacl)# permit tcp 55 host 00 eq smtp ！允許該網(wǎng)段訪問(wèn)服務(wù)器的SM

18、TP服務(wù)（25端口）。Router(config-ext-nacl)# permit tcp 55 host 00 eq pop3 ！允許該網(wǎng)段訪問(wèn)服務(wù)器的POP3服務(wù)（110端口）。Router(config-ext-nacl)# deny tcp any host 00！禁止其他機(jī)器通過(guò)tcp端口訪問(wèn)服務(wù)器Router(config-ext-nacl)# permit ip any any ！允許其他通過(guò)步驟4：綁定ACL。Router(config)# interface fastethernet0/0Router(config-if)# ip access-group dkdeny i

19、n ！將ACL綁定在端口的入口處任務(wù)二 ACL限制服務(wù)端口防攻擊任務(wù)二任務(wù)一任務(wù)三任務(wù)四網(wǎng)絡(luò)設(shè)備安裝與調(diào)試單元七驗(yàn)證配置：學(xué)生可通過(guò)訪問(wèn)服務(wù)器的www、dns、smtp、pop3、ftp服務(wù)測(cè)試ACL是否配置正確，如圖所示，訪問(wèn)服務(wù)器的www服務(wù)，從PC機(jī)的IE瀏覽器輸入00,如果瀏覽器能正常與服務(wù)器通信并打開(kāi)了網(wǎng)頁(yè)，則表示ACL配置正確。 任務(wù)二 ACL限制服務(wù)端口防攻擊任務(wù)二任務(wù)一任務(wù)三任務(wù)四網(wǎng)絡(luò)設(shè)備安裝與調(diào)試單元七如圖所示，在配置基于端口的ACL后，試圖FTP服務(wù)00，結(jié)果不能連接，則表明ACL配置正確。任務(wù)二 ACL限制服務(wù)端口防攻擊任務(wù)二任務(wù)一任務(wù)三任務(wù)四知識(shí)點(diǎn)撥：1.訪問(wèn)控制列表的

20、作用（1）內(nèi)網(wǎng)部署安全策略，保證內(nèi)網(wǎng)安全權(quán)限的資源訪問(wèn)。（2）內(nèi)網(wǎng)訪問(wèn)外網(wǎng)時(shí)，進(jìn)行安全數(shù)據(jù)過(guò)濾。（3）防止常見(jiàn)病毒、木馬、攻擊對(duì)用戶(hù)的破壞。網(wǎng)絡(luò)設(shè)備安裝與調(diào)試單元七2.訪問(wèn)控制列表基本上分為標(biāo)準(zhǔn)的訪問(wèn)控制列表和擴(kuò)展的控制列表：（1）標(biāo)準(zhǔn)的訪問(wèn)控制列表只能基于源IP進(jìn)行過(guò)濾，在標(biāo)準(zhǔn)訪問(wèn)列表配置模式下，指定一個(gè)或多個(gè)允許或不允許條件。這決定該包通過(guò)還是不通過(guò)。（2）擴(kuò)展的訪問(wèn)控制列表可以同時(shí)基于源和目的IP地址，還有源端口和目的端口等多種條件來(lái)進(jìn)行過(guò)濾。在擴(kuò)展訪問(wèn)列表配置模式下，也可以指定一個(gè)或多個(gè)允許或不允許條件。這決定該包通過(guò)還是不通過(guò)。（3）在初始建立訪問(wèn)列表后，任何后續(xù)的增加部分都放入表的

21、尾部。換句話說(shuō)，你不能從指定的訪問(wèn)列表選擇增加訪問(wèn)列表命令。但是，你可以使用no permit和no deny命令從名字訪問(wèn)列表中刪除項(xiàng)。任務(wù)二 ACL限制服務(wù)端口防攻擊任務(wù)二任務(wù)一任務(wù)三任務(wù)四網(wǎng)絡(luò)設(shè)備安裝與調(diào)試單元七3.配置基于端口的ACL時(shí)，要禁止某個(gè)端口時(shí)必須要知道該端口屬于哪個(gè)協(xié)議，而ACL能禁止的協(xié)議有icmp、tcp、udp等。4.基于端口的ACL格式說(shuō)明列子：permit tcp 55 host 00 eq pop3意思：允許該網(wǎng)段訪問(wèn)00主機(jī)中TCP協(xié)議的pop3（110端口）。其中，例子里面的permit代表允許的意思，tcp代表協(xié)議種類(lèi)，eq代表定義端口，pop3代表協(xié)議或

22、端口號(hào)（可以自行打端口號(hào)）。任務(wù)二 ACL限制服務(wù)端口防攻擊任務(wù)二任務(wù)一任務(wù)三任務(wù)四網(wǎng)絡(luò)設(shè)備安裝與調(diào)試單元七拓展訓(xùn)練：一參照?qǐng)D所示拓?fù)?，按下面要求?duì)路由器進(jìn)行配置，要求如下：1.設(shè)置PC機(jī)IP地址，制作2條網(wǎng)線，按照拓?fù)鋱D進(jìn)行連接。2.按照拓?fù)鋱D配置路由器各端口IP地址。3.創(chuàng)建ACL，命名為duankou，配置允許該網(wǎng)段訪問(wèn)服務(wù)器TCP協(xié)議的80、110、53、8080、23、21、20端口，其余端口一律禁止。4.在服務(wù)器中分別創(chuàng)建FTP站點(diǎn)、網(wǎng)站服務(wù)器、郵箱服務(wù)等，創(chuàng)建完畢使用任意一臺(tái)客戶(hù)端連接這些服務(wù)。若這些服務(wù)都能正常訪問(wèn)，則表示ACL配置正確。任務(wù)二 ACL限制服務(wù)端口防攻擊任務(wù)二任

23、務(wù)一任務(wù)三任務(wù)四網(wǎng)絡(luò)設(shè)備安裝與調(diào)試單元七任務(wù)描述:某校園為防止學(xué)生沉迷網(wǎng)絡(luò)，深夜還在上網(wǎng)，嚴(yán)重影響學(xué)習(xí)，學(xué)校為了防止這現(xiàn)象繼續(xù)下去，網(wǎng)絡(luò)管理員在校內(nèi)的路由器上配置了一個(gè)ACL，定義晚上的00:00到凌晨7:00這段時(shí)間內(nèi)不能于外部網(wǎng)絡(luò)通信。以下實(shí)驗(yàn)將模擬上述情況在路由器上配置ACL限制上網(wǎng)時(shí)間的功能。任務(wù)三 配置IP地址任務(wù)三所需設(shè)備：1臺(tái)路由器，1臺(tái)二層交換機(jī)，3臺(tái)計(jì)算機(jī)，4條網(wǎng)線。任務(wù)一任務(wù)二任務(wù)四網(wǎng)絡(luò)設(shè)備安裝與調(diào)試單元七任務(wù)實(shí)現(xiàn):步驟1：按圖拓?fù)鋱D所示，制作圖中所需的網(wǎng)線，并按照拓?fù)鋱D連接。步驟2：按照拓?fù)浣Y(jié)構(gòu)圖，設(shè)置好計(jì)算機(jī)的IP地址。步驟3：按照以下命令，在路由器配置各端口地址。Ro

24、uter(config)#interface fastethernet 0/1Router(config-if)#ip address Router(config-if)#exitRouter(config)#interface fastethernet 0/0Router(config-if)#ip address 54 Router(config-if)#exit步驟4：定義時(shí)間列表并配置ACL。Router(config)# time-range no-time ！創(chuàng)建時(shí)間列表，名為no-timeRouter(config-time-range)# periodic weekdays 0

25、:00 to 6:59 ！定義時(shí)間段為凌晨0點(diǎn)至7點(diǎn)任務(wù)三 配置IP地址任務(wù)三任務(wù)一任務(wù)二任務(wù)四網(wǎng)絡(luò)設(shè)備安裝與調(diào)試單元七Router(config)# exitRouter(config)# ip access-list extended jinzhi ！創(chuàng)建擴(kuò)展ACL，名為jinzhiRouter(config-ext-nacl)# deny ip any host time-range no-time ！禁止所有計(jì)算機(jī)在每天凌晨0點(diǎn)至7點(diǎn)的時(shí)間段與外部通信。 Router(config)# exitRouter(config-ext-nacl)# exit步驟5：綁定ACL。Router(

26、config)# interface fastethernet0/1Router(config-if)# ip access-group jinzhi in ！將ACL綁定在端口的入口處任務(wù)三 配置IP地址任務(wù)三小貼士 time-range 的實(shí)現(xiàn)依賴(lài)于系統(tǒng)時(shí)鐘，如果你要使用這個(gè)功能，必須保證系統(tǒng)有一個(gè)可靠的時(shí)鐘。任務(wù)一任務(wù)二任務(wù)四網(wǎng)絡(luò)設(shè)備安裝與調(diào)試單元七驗(yàn)證配置:驗(yàn)證配置有時(shí)間列表的ACL，可以將路由器的系統(tǒng)時(shí)間調(diào)制到ACL所允許或禁止的時(shí)間段內(nèi)進(jìn)行驗(yàn)證。步驟1：把路由器的系統(tǒng)時(shí)間設(shè)置到ACL所禁止訪問(wèn)網(wǎng)頁(yè)的時(shí)間范圍內(nèi)。如圖所示，使用任意一臺(tái)學(xué)生電腦訪問(wèn)外部網(wǎng)絡(luò)，若在該時(shí)段內(nèi)不能連接外部網(wǎng)絡(luò)

27、則表明ACL配置正確。以下是設(shè)置路由器系統(tǒng)時(shí)間的命令:Router(config)# clock set 01:00:00 10 15 2010 ！設(shè)置路由器系統(tǒng)時(shí)間為凌晨1點(diǎn)。任務(wù)三 配置IP地址任務(wù)三任務(wù)一任務(wù)二任務(wù)四網(wǎng)絡(luò)設(shè)備安裝與調(diào)試單元七步驟3：把路由器的系統(tǒng)時(shí)間設(shè)置到ACL所允許訪問(wèn)網(wǎng)頁(yè)的時(shí)間范圍內(nèi)。如圖所示，使用任意一臺(tái)學(xué)生電腦訪問(wèn)外部網(wǎng)絡(luò)，若在該時(shí)段內(nèi)能ping通外部網(wǎng)絡(luò)則表明AC正確。以下是設(shè)置路由器系統(tǒng)時(shí)間的命令:Switch(config)# clock set 09:00:00 10 15 2010 ！設(shè)置路由器系統(tǒng)時(shí)間為早上9點(diǎn)。任務(wù)三 配置IP地址任務(wù)三小貼士 全局配

28、置模式下可以使用no time-range time-range-name來(lái)刪除指定的time-range。任務(wù)一任務(wù)二任務(wù)四網(wǎng)絡(luò)設(shè)備安裝與調(diào)試單元七知識(shí)點(diǎn)撥:1.訪問(wèn)列表規(guī)則的引用路由器應(yīng)用訪問(wèn)列表對(duì)流經(jīng)接口的數(shù)據(jù)包進(jìn)行控制（1）入口應(yīng)用（in） 經(jīng)某接口進(jìn)入設(shè)備內(nèi)部的數(shù)據(jù)包進(jìn)行安全規(guī)則過(guò)濾。（2）出口應(yīng)用（out） 設(shè)備從某接口向外發(fā)送數(shù)據(jù)包時(shí)進(jìn)行安全規(guī)則過(guò)來(lái)。2.一個(gè)接口在一個(gè)方向只能應(yīng)用一組訪問(wèn)控制列表。3.定義訪問(wèn)控制列表的步驟第一步，定義規(guī)則（哪些數(shù)據(jù)允許通過(guò)，哪些數(shù)據(jù)不允許通過(guò)）第二步，將規(guī)則應(yīng)用在路由器（或交換機(jī)）的接口上。任務(wù)三 配置IP地址任務(wù)三任務(wù)一任務(wù)二任務(wù)四網(wǎng)絡(luò)設(shè)備安

29、裝與調(diào)試單元七拓展訓(xùn)練:1參照?qǐng)D所示拓?fù)?，按下面要求?duì)路由器進(jìn)行配置，要求如下：（1）制作4條網(wǎng)線，按照拓?fù)鋱D進(jìn)行連接,并設(shè)置好PC機(jī)的IP地址。（2）創(chuàng)建時(shí)間列表，命名為time1定義時(shí)間是每周的一、三、五的9：00-16：30。（3）創(chuàng)建擴(kuò)展ACL，命名為timeacl，配置禁止PC機(jī)在每周的一、三、五的9：00-16：30訪問(wèn)外部網(wǎng)絡(luò)，其余時(shí)間允許訪問(wèn)。任務(wù)三 配置IP地址任務(wù)三任務(wù)一任務(wù)二任務(wù)四網(wǎng)絡(luò)設(shè)備安裝與調(diào)試單元七（4）綁定ACL在F0/0端口的入口處。（5）配置完成后對(duì)實(shí)驗(yàn)進(jìn)行驗(yàn)證測(cè)試。任務(wù)三 配置IP地址任務(wù)三任務(wù)一任務(wù)二任務(wù)四網(wǎng)絡(luò)設(shè)備安裝與調(diào)試單元七任務(wù)實(shí)現(xiàn)：步驟1：按圖拓?fù)?/p>

30、圖所示，制作圖中所需的網(wǎng)線，并按照拓?fù)鋱D連接。步驟2：在路由器Router中配置端口地址。Ruijie(config)#hostname RouterRouter(config)#interface fastethernet 0/0Router(config-if)#ip address Router(config)#interface fastethernet 0/1Router(config-if)#ip address 54 Router(config-if)#exit步驟3：?jiǎn)?dòng)VPN功能，創(chuàng)建并配置L2TP VPN。Router(config)#vpdn enable ！啟用VPN功

31、能Router(config)#username ruijie password 0 ruijie！創(chuàng)建VPN用戶(hù)名和密碼，是為了對(duì)試圖遠(yuǎn)程L2TP接入本地的客戶(hù)端進(jìn)行用戶(hù)身份驗(yàn)證Router(config)#ip local pool l2tp 00 00 ！創(chuàng)建分配給予客戶(hù)端的地址池任務(wù)四 電腦通過(guò)VPN撥號(hào)接入網(wǎng)絡(luò)任務(wù)四任務(wù)一任務(wù)二任務(wù)三網(wǎng)絡(luò)設(shè)備安裝與調(diào)試單元七Router(config)#interface virtual-template 1 ！創(chuàng)建virtual-template 1Router(config)#ip unnumbered fastethernet 0/0 ！配置F

32、0/0端口作為撥入端口Router(config-if)#peer default ip address pool l2tp！綁定分配給予客戶(hù)端的地址池Router(config)#vpdn-group 1 ！創(chuàng)建vpdn-group組Router(config-vpdn)#accept-dialin ！允許接受遠(yuǎn)程客戶(hù)端撥入Router(config-vpdn-acc-in)#protocol l2tp ！設(shè)置隧道協(xié)議為L(zhǎng)2TP協(xié)議Router(config-vpdn-acc-in)#virtual-template 1 ！關(guān)聯(lián)virtual-template 1Router(config-

33、vpdn-acc-in)#exitRouter(config-vpdn)#exit步驟4：在PC機(jī)上修改注冊(cè)表，更改完成后必須重新啟動(dòng)PC機(jī)。注冊(cè)表路徑：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRasManParameters新建DWORD值，命名為ProhibitIPSec，并設(shè)置為十六進(jìn)制，數(shù)值為1。任務(wù)四 電腦通過(guò)VPN撥號(hào)接入網(wǎng)絡(luò)任務(wù)四任務(wù)一任務(wù)二任務(wù)三網(wǎng)絡(luò)設(shè)備安裝與調(diào)試單元七小貼士 為什么要修改注冊(cè)表？由于WinXP/2K默認(rèn)的L2TP+IPSec是需要“證書(shū)”來(lái)支持的，當(dāng)然，這個(gè)功能在本教材使用的路由器上面還不支持，也就是說(shuō)

34、：默認(rèn)情況下Windows和BDCOM router還無(wú)法進(jìn)行L2TP+IPSec的連接。所以在Windows系統(tǒng)下使用L2TP撥號(hào)時(shí)需要修改注冊(cè)表方可正常撥號(hào)。步驟5：依次打開(kāi)“開(kāi)始設(shè)置網(wǎng)絡(luò)連接”，如圖7-4-2所示，選擇“創(chuàng)建一個(gè)新的連接”。任務(wù)四 電腦通過(guò)VPN撥號(hào)接入網(wǎng)絡(luò)任務(wù)四任務(wù)一任務(wù)二任務(wù)三網(wǎng)絡(luò)設(shè)備安裝與調(diào)試單元七步驟6：如圖所示，選擇“下一步”。任務(wù)四 電腦通過(guò)VPN撥號(hào)接入網(wǎng)絡(luò)任務(wù)四任務(wù)一任務(wù)二任務(wù)三網(wǎng)絡(luò)設(shè)備安裝與調(diào)試單元七步驟7：如圖所示，選擇“連接到我的工作場(chǎng)所的網(wǎng)絡(luò)”。任務(wù)四 電腦通過(guò)VPN撥號(hào)接入網(wǎng)絡(luò)任務(wù)四任務(wù)一任務(wù)二任務(wù)三網(wǎng)絡(luò)設(shè)備安裝與調(diào)試單元七步驟9：如圖所示，這里

35、可以輸入連接到VPN服務(wù)器的名稱(chēng)，也選擇為空不填。任務(wù)四 電腦通過(guò)VPN撥號(hào)接入網(wǎng)絡(luò)任務(wù)四任務(wù)一任務(wù)二任務(wù)三網(wǎng)絡(luò)設(shè)備安裝與調(diào)試單元七步驟10：如圖所示，輸入連接VPN服務(wù)器的IP地址。任務(wù)四 電腦通過(guò)VPN撥號(hào)接入網(wǎng)絡(luò)任務(wù)四任務(wù)一任務(wù)二任務(wù)三網(wǎng)絡(luò)設(shè)備安裝與調(diào)試單元七步驟11：如圖所示，選擇“完成”。任務(wù)四 電腦通過(guò)VPN撥號(hào)接入網(wǎng)絡(luò)任務(wù)四任務(wù)一任務(wù)二任務(wù)三網(wǎng)絡(luò)設(shè)備安裝與調(diào)試單元七步驟12：如圖所示，選擇“屬性”更改撥號(hào)參數(shù)。任務(wù)四 電腦通過(guò)VPN撥號(hào)接入網(wǎng)絡(luò)任務(wù)四任務(wù)一任務(wù)二任務(wù)三網(wǎng)絡(luò)設(shè)備安裝與調(diào)試單元七步驟13：如圖所示，打開(kāi)“安全”選項(xiàng)卡，選擇“高級(jí)（自定義設(shè)置）”，點(diǎn)擊“設(shè)置”。任務(wù)四

36、電腦通過(guò)VPN撥號(hào)接入網(wǎng)絡(luò)任務(wù)四任務(wù)一任務(wù)二任務(wù)三網(wǎng)絡(luò)設(shè)備安裝與調(diào)試單元七步驟14：如圖所示，在數(shù)據(jù)加密的下列菜單里選擇“可選加密”，然后選擇“確定”。任務(wù)四 電腦通過(guò)VPN撥號(hào)接入網(wǎng)絡(luò)任務(wù)四任務(wù)一任務(wù)二任務(wù)三網(wǎng)絡(luò)設(shè)備安裝與調(diào)試單元七步驟15：如圖所示，輸入撥號(hào)用戶(hù)名和密碼，然后選擇“連接”。任務(wù)四 電腦通過(guò)VPN撥號(hào)接入網(wǎng)絡(luò)任務(wù)四任務(wù)一任務(wù)二任務(wù)三網(wǎng)絡(luò)設(shè)備安裝與調(diào)試單元七步驟16：如圖所示，已成功撥入VPN服務(wù)器并獲取服務(wù)器分配的地址信息。任務(wù)四 電腦通過(guò)VPN撥號(hào)接入網(wǎng)絡(luò)任務(wù)四任務(wù)一任務(wù)二任務(wù)三網(wǎng)絡(luò)設(shè)備安裝與調(diào)試單元七小貼士 L2TP 使用以下兩種信息類(lèi)型，即控制信息和數(shù)據(jù)信息?？刂菩畔⒂?/p>

37、于隧道和呼叫的建立、維持和清除。數(shù)據(jù)信息用于封裝隧道所攜帶的 PPP 幀?？刂菩畔⒗?L2TP 中的一個(gè)可靠控制通道來(lái)確保發(fā)送。當(dāng)發(fā)生包丟失時(shí)，不轉(zhuǎn)發(fā)數(shù)據(jù)信息。任務(wù)四 電腦通過(guò)VPN撥號(hào)接入網(wǎng)絡(luò)任務(wù)四任務(wù)一任務(wù)二任務(wù)三網(wǎng)絡(luò)設(shè)備安裝與調(diào)試單元七驗(yàn)證配置：（1）客戶(hù)端撥入VPN服務(wù)器時(shí)必須測(cè)試本機(jī)與VPN服務(wù)器是否能正常通信，可通過(guò)ping命令進(jìn)行對(duì)服務(wù)器測(cè)試通信是否正常（2）若L2TP撥號(hào)不成功，請(qǐng)先檢查本機(jī)系統(tǒng)是否已修改注冊(cè)表并重新啟動(dòng)電腦。（3）如圖所示，客戶(hù)端撥號(hào)成功后使用ping命令ping公司內(nèi)部PC，若能ping通則表明VPN配置正確。任務(wù)四 電腦通過(guò)VPN撥號(hào)接入網(wǎng)絡(luò)任務(wù)四任務(wù)一

38、任務(wù)二任務(wù)三網(wǎng)絡(luò)設(shè)備安裝與調(diào)試單元七知識(shí)點(diǎn)撥：1. L2TP協(xié)議是由IETF起草，微軟、Ascend、Cisco、3COM等公司參予制定的二層隧道協(xié)議它結(jié)合了PPTP和L2F兩種二層隧道協(xié)議的優(yōu)點(diǎn)，為眾多公司所接受，已經(jīng)成為IETF有關(guān)二層通道協(xié)議的工業(yè)標(biāo)準(zhǔn)，基于微軟的點(diǎn)對(duì)點(diǎn)隧道協(xié)議 (PPTP)和思科二層轉(zhuǎn)發(fā)協(xié)議(L2F)之上的，被一個(gè)因特網(wǎng)服務(wù)提供商和公司使用使這個(gè)虛擬私有網(wǎng)絡(luò)的操作能夠通過(guò)因特網(wǎng)。2. L2TP的主要特性有：（1）L2TP適合單個(gè)或少數(shù)用戶(hù)接入企業(yè)的情況，其點(diǎn)到網(wǎng)連接的特性是其承載協(xié)議PPP所約定的。（2）由于L2TP對(duì)私有網(wǎng)的數(shù)據(jù)包進(jìn)行了封裝因此在Internet上傳輸

39、數(shù)據(jù)時(shí)對(duì)數(shù)據(jù)包的網(wǎng)絡(luò)地址是透明的，并支持接入用戶(hù)的內(nèi)部動(dòng)態(tài)地址分配；任務(wù)四 電腦通過(guò)VPN撥號(hào)接入網(wǎng)絡(luò)任務(wù)四任務(wù)一任務(wù)二任務(wù)三網(wǎng)絡(luò)設(shè)備安裝與調(diào)試單元七（3）與PPP模塊配合，支持本地和遠(yuǎn)端的AAA功能（認(rèn)證、授權(quán)和記費(fèi)）對(duì)用戶(hù)的接入也可根據(jù)需要采用全用戶(hù)名，用戶(hù)域名和用戶(hù)撥入的特殊服務(wù)號(hào)碼來(lái)識(shí)別是否為VPN用戶(hù)。（4）對(duì)數(shù)據(jù)報(bào)文的安全性可采用IPSEC協(xié)議采用該協(xié)議即可以在用戶(hù)發(fā)往Internet之前對(duì)數(shù)據(jù)報(bào)文加密即用戶(hù)控制方式也可采用在VPN端系統(tǒng)LAC側(cè)加密即服務(wù)提供商控制方式。（5）對(duì)于撥號(hào)用戶(hù)可以配置相應(yīng)的VPN撥號(hào)軟件，發(fā)起由用戶(hù)直接對(duì)企業(yè)私有網(wǎng)的連接，這樣用戶(hù)在上網(wǎng)時(shí)可以靈活選擇是否需要VPN服務(wù)。3. L2TP連接的維護(hù)以及PPP數(shù)據(jù)的傳送都是通過(guò)L2TP消息的交換來(lái)完成的，這些消息再通過(guò)UDP的1701端口承載于TCP/IP之上。任務(wù)四 電腦通過(guò)VP