《網(wǎng)絡(luò)設(shè)備安裝與調(diào)試（銳捷版）》項(xiàng)目6 配置網(wǎng)絡(luò)安全技術(shù)

項(xiàng)目6：配置網(wǎng)絡(luò)安全技術(shù)《網(wǎng)絡(luò)設(shè)備安裝與調(diào)試》一期建設(shè)完成的北京延慶某中心小學(xué)校園網(wǎng)采用三層架構(gòu)部署，使用高性能的交換機(jī)連接，保障網(wǎng)絡(luò)的穩(wěn)定性，實(shí)現(xiàn)校園網(wǎng)的高速傳輸。為保障中心小學(xué)校園網(wǎng)在使用的過(guò)程中，需要校園網(wǎng)的接入設(shè)備上實(shí)施接入端口安全防范；在核心網(wǎng)絡(luò)中實(shí)施訪問(wèn)控制安全，避免遭受網(wǎng)絡(luò)安全事件發(fā)生，如圖6-1-1所示。項(xiàng)目背景目錄Contents任務(wù)1：配置網(wǎng)絡(luò)設(shè)備登錄安全。任務(wù)2：配置交換機(jī)端口安全。任務(wù)3：配置編號(hào)訪問(wèn)控制列表安全任務(wù)4：配置名稱訪問(wèn)控制列表安全任務(wù)1配置網(wǎng)絡(luò)設(shè)備登錄安全6.1.1配置交換機(jī)控制臺(tái)密碼交換機(jī)和路由器設(shè)備默認(rèn)沒(méi)有控制臺(tái)密碼，用戶可以直接登錄，可通過(guò)以下方式給交換機(jī)設(shè)置密碼。設(shè)置了密碼后，用戶登錄交換機(jī)時(shí)，需要先輸入密碼才能進(jìn)入用戶模式。一般還會(huì)設(shè)置特權(quán)密碼，這樣用戶從用戶模式到特權(quán)模式時(shí)還需要輸入密碼。6.1.2配置路由器控制臺(tái)密碼1．設(shè)置路由器控制臺(tái)密碼目前，銳捷路由器及交換機(jī)設(shè)備使用的操作系統(tǒng)都是RGOS。因此，路由器設(shè)置控制臺(tái)密碼的方法與交換機(jī)基本一致，即在控制臺(tái)模式下配置密碼。2．設(shè)置控制臺(tái)超時(shí)時(shí)間管理員配置設(shè)備時(shí)，如果已經(jīng)登錄到設(shè)備上，若管理員離開(kāi)計(jì)算機(jī)后有外人靠近計(jì)算機(jī)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行配置，則可能會(huì)出現(xiàn)問(wèn)題。因此網(wǎng)絡(luò)中的用戶需要給控制臺(tái)設(shè)置超時(shí)時(shí)間，也就是說(shuō)，在一段時(shí)間沒(méi)有配置網(wǎng)絡(luò)設(shè)備的會(huì)自動(dòng)退出，如果需要配置，則需再次輸入密碼?！揪C合實(shí)訓(xùn)1】：配置控制臺(tái)密碼【綜合實(shí)訓(xùn)1】：配置控制臺(tái)密碼【綜合實(shí)訓(xùn)1】：配置控制臺(tái)密碼目錄Contents任務(wù)1：配置網(wǎng)絡(luò)設(shè)備登錄安全。任務(wù)2：配置交換機(jī)端口安全。任務(wù)3：配置編號(hào)訪問(wèn)控制列表安全任務(wù)4：配置名稱訪問(wèn)控制列表安全任務(wù)2配置交換機(jī)端口安全6.2.1配置交換機(jī)端口安全1．端口安全

網(wǎng)絡(luò)中的交換機(jī)有端口安全功能，利用端口安全這個(gè)特性，可以實(shí)現(xiàn)網(wǎng)絡(luò)接入安全，可以通過(guò)限制允許訪問(wèn)交換機(jī)上某個(gè)端口的MAC地址，以及IP地址（可選），來(lái)實(shí)現(xiàn)嚴(yán)格控制對(duì)該端口的輸入。當(dāng)為安全端口打開(kāi)了端口安全功能，并配置了一些安全地址后，除了源地址為這些安全地址的包外，這個(gè)端口將不轉(zhuǎn)發(fā)其它任何包。6.2.1配置交換機(jī)端口安全如果一個(gè)端口被配置為安全端口，當(dāng)其安全地址的數(shù)目已經(jīng)達(dá)到允許的最大個(gè)數(shù)后，當(dāng)該端口收到一個(gè)源地址，不屬于端口上的安全地址的包時(shí)，一個(gè)安全違例將產(chǎn)生。當(dāng)安全違例產(chǎn)生時(shí)，可以選擇多種方式來(lái)處理違例，如丟棄接收到的數(shù)據(jù)包、發(fā)送違例通知或關(guān)閉相應(yīng)端口等。當(dāng)設(shè)置了安全端口上安全地址的最大個(gè)數(shù)后，可以使用下面幾種方式加滿端口上的安全地址。使用接口配置模式下的命令“switchportport-securitymac-addressmac-address[ip-addressip-address]”，來(lái)手工配置端口的所有安全地址。6.2.1配置交換機(jī)端口安全2．端口安全違例端口安全主要有以下兩種作用。? 限制交換機(jī)端口能接入的最大主機(jī)數(shù)。? 根據(jù)需要針對(duì)端口綁定用戶地址。當(dāng)用戶發(fā)出不符合交換機(jī)端口安全的數(shù)據(jù)時(shí)，交換機(jī)會(huì)進(jìn)行違例處理，方法如下。? Protect：當(dāng)安全地址個(gè)數(shù)滿后，安全端口將丟棄所有新接入的用戶數(shù)據(jù)流。該處理模式為默認(rèn)的對(duì)違例的處理模式。? Restrict：當(dāng)違例產(chǎn)生時(shí)，將發(fā)送一個(gè)Trap通知。? Shutdown：當(dāng)違例產(chǎn)生時(shí)，將關(guān)閉端口并發(fā)送一個(gè)Trap通知。6.2.1配置交換機(jī)端口安全3．配置端口安全（1）開(kāi)啟端口安全。Switch(config-if-FastEthernet0/1)#switchportport-security（2）配置安全策略。其中一個(gè)方式是配置最大安全地址數(shù)。Switch(config-if-FastEthernet0/1)#switchportport-securitymaximumnumber一個(gè)千兆接口上最多支持120個(gè)同時(shí)申明IP地址和MAC地址的安全地址。（3）綁定用戶信息。針對(duì)端口進(jìn)行MAC地址綁定（只綁定并檢查二層源MAC）：Switch(config-if-FastEthernet0/1)#switchportport-securitymac-addressmac-addressvlanvlan-id6.2.1配置交換機(jī)端口安全3．配置端口安全針對(duì)端口綁定IP（只綁定并檢查源IP）：Switch(config-if-FastEthernet0/1)#switchportport-securitybindingip-address針對(duì)端口綁定IP+MAC（綁定并檢查源MAC和源IP）：Switch(config-if-FastEthernet0/1)#switchportport-securitybindingmac-addressvlanvlan-idip-address6.2.1配置交換機(jī)端口安全4.設(shè)置違例方式。Switch(config-if-FastEthernet0/1)#switchportport-securityviolation{protect|restrict|shutdown}如果上述違例方式設(shè)為shutdown且出現(xiàn)違例后，要恢復(fù)端口的操作，即：Switch(config)#errdisablerecovery備注：關(guān)于端口和接口區(qū)別：接口主要為設(shè)備的物理口，例如：Fa0/1或Gi0/1；而端口的表現(xiàn)范圍更加廣泛，不僅僅包括物理接口，還包括虛擬的口，例如：vlan10或loopback0等。6.2.2配置交換機(jī)保護(hù)端口安全在將某些端口設(shè)為保護(hù)口之后，保護(hù)口之間無(wú)法互相通信，保護(hù)口與非保護(hù)口之間已經(jīng)可以正常通信。如圖所示。6.2.2配置交換機(jī)保護(hù)端口安全在接口下將其配置為保護(hù)口：switch(config-if-FastEthernet0/1)#switchportprotected查看信息的命令如下：switch#showinterfacesswitchport

6.2.3配置交換機(jī)鏡像端口安全端口鏡像主要用于監(jiān)控，主要是把交換機(jī)一個(gè)或多個(gè)端口的數(shù)據(jù)鏡像到另一個(gè)端口的方法。也就是說(shuō)，交換機(jī)把某一個(gè)端口接收或發(fā)送的數(shù)據(jù)幀完全相同地復(fù)制給另一個(gè)端口。其中被復(fù)制的端口稱為鏡像源端口，復(fù)制的端口稱為鏡像目的端口。鏡像是將交換機(jī)某個(gè)端口的流量復(fù)制到另一個(gè)端口（鏡像端口），并進(jìn)行監(jiān)測(cè)。

6.2.3配置交換機(jī)鏡像端口安全交換機(jī)的鏡像技術(shù)是將交換機(jī)某個(gè)端口的數(shù)據(jù)流量，復(fù)制到另一個(gè)端口（鏡像端口）進(jìn)行監(jiān)測(cè)的安全防范技術(shù)。大多數(shù)交換機(jī)支持鏡像技術(shù)，稱為Mirroring或Spanning，默認(rèn)情況下交換機(jī)上的這種功能是被屏蔽的。通過(guò)配置交換機(jī)端口鏡像，允許管理人員設(shè)置監(jiān)視管理端口，監(jiān)視被監(jiān)視的端口的數(shù)據(jù)流量，將復(fù)制到鏡像端口的數(shù)據(jù)通過(guò)PC上安裝的網(wǎng)絡(luò)分析軟件進(jìn)行查看。通過(guò)對(duì)捕獲到的數(shù)據(jù)進(jìn)行分析，可以實(shí)時(shí)查看被監(jiān)視端口的情況。如圖6-2-3所示場(chǎng)景。

6.2.3配置交換機(jī)鏡像端口安全大多數(shù)交換機(jī)支持鏡像技術(shù)，這可以方便地對(duì)交換機(jī)進(jìn)行故障診斷。通過(guò)分析故障交換機(jī)的數(shù)據(jù)包信息，了解故障的原因。這種通過(guò)一臺(tái)交換機(jī)監(jiān)控同網(wǎng)絡(luò)中另一臺(tái)的過(guò)程，稱之為“Mirroring”或“Spanning”。如圖所示場(chǎng)景。6.2.3配置交換機(jī)鏡像端口安全大多數(shù)交換機(jī)支持鏡像技術(shù)，這可以方便地對(duì)交換機(jī)進(jìn)行故障診斷。通過(guò)分析故障交換機(jī)的數(shù)據(jù)包信息，了解故障的原因。這種通過(guò)一臺(tái)交換機(jī)監(jiān)控同網(wǎng)絡(luò)中另一臺(tái)的過(guò)程，稱之為“Mirroring”或“Spanning”。如圖所示場(chǎng)景。（1）配置源端口。switch(config)#monitorsessionsessionsourceinterfacexx（2）配置鏡像目的端口。switch(config)#monitorsessionsessiondestinationinterfacexxswitch

【綜合實(shí)訓(xùn)2】：配置交換機(jī)端口安全網(wǎng)絡(luò)場(chǎng)景如圖所示，兩個(gè)房間的用戶接到Switch的Fa0/1和Fa0/2口，其中一個(gè)房間由于用戶過(guò)多，所以使用Hub進(jìn)行連接。正常情況下，PC1和PC2可以通信。為保證網(wǎng)絡(luò)安全，要求Fa0/1下不能超過(guò)10個(gè)用戶，特別要求在Fa0/2下必須使用PC2連接且PC2的IP地址為，MAC地址為00-1b-b3-02-12-18。如果出現(xiàn)問(wèn)題，則將接口直接關(guān)閉?！揪C合實(shí)訓(xùn)2】：配置交換機(jī)端口安全1．配置Ruijie#configRuijie(config)#hostnameswitchswitch(config)#intfa0/1switch(config-if-FastEthernet0/1)#switchportport-security！開(kāi)啟端口安全功能switch(config-if-FastEthernet0/1)#switchportport-securitymaximum10！端口下最多學(xué)習(xí)10個(gè)MAC地址switch(config-if-FastEthernet

0/1)#switchport

port-security

violationshutdown

！出現(xiàn)問(wèn)題時(shí)，將接口關(guān)閉switch(config-if-FastEthernet0/1)#exit【綜合實(shí)訓(xùn)2】：配置交換機(jī)端口安全switch(config)#intfa0/2switch(config-if-FastEthernet0/2)#switchportport-security！開(kāi)啟端口安全switch(config-if-FastEthernet0/2)#switchportport-securitybinding001b.b302.1218vlan1！端口綁定上網(wǎng)用戶的MAC地址、IP地址、VLAN等switch(config-if-FastEthernet0/2)#switchportport-securityviolationshutdown

！出現(xiàn)問(wèn)題時(shí)，將接口關(guān)閉switch(config-if-FastEthernet0/2)#exit【綜合實(shí)訓(xùn)2】：配置交換機(jī)端口安全2．驗(yàn)證（1）在交換機(jī)Fa0/1口下連接超過(guò)10臺(tái)PC，則超出限制的PC無(wú)法連接到網(wǎng)絡(luò)。（2）將Fa0/2口下的PC換成其它PC或修改該P(yáng)C的IP地址，則該P(yáng)C無(wú)法連接到網(wǎng)絡(luò)。（3）如果出現(xiàn)PC數(shù)量超過(guò)限制數(shù)量或修改地址的情況，則該接口被關(guān)閉。【綜合實(shí)訓(xùn)3】：配置交換機(jī)保護(hù)端口網(wǎng)絡(luò)場(chǎng)景如圖所示，PC1和PC2連接在交換機(jī)的Fa0/1和Fa0/2口，Server連接在Gi0/25口。要求兩臺(tái)PC都能訪問(wèn)服務(wù)器但兩臺(tái)PC不能互訪?！揪C合實(shí)訓(xùn)3】：配置交換機(jī)保護(hù)端口1．配置交換機(jī)Ruijie#configRuijie(config)#hostnameswitchswitch(config)#intrangefa0/1-2switch(config-if-range)#switchportprotected！Fa0/1和Fa0/2口配置為保護(hù)端口switch(config-if-range)#exit【綜合實(shí)訓(xùn)3】：配置交換機(jī)保護(hù)端口2．驗(yàn)證（1）PC1和PC2不能通信，但PC可以和服務(wù)器通信。（2）查看信息，如圖所示?！揪C合實(shí)訓(xùn)】：配置交換機(jī)端口鏡像網(wǎng)絡(luò)場(chǎng)景如圖所示，PC1和PC2連接在交換機(jī)的Fa0/1和Fa0/2口，Server連接在Gi0/25口。其中PC2為管理員，目前要求管理員可以看到PC1的所有上網(wǎng)信息?！揪C合實(shí)訓(xùn)】：配置交換機(jī)端口鏡像1．配置端口鏡像Ruijie#configRuijie(config)#hostnameswitchswitch(config)#monitorsession1sourceinterfa0/1！設(shè)置鏡像源端口switch(config)#monitorsession1destintfa0/2switch！設(shè)置鏡像目的端口備注：若鏡像目的端口加“switch”參數(shù)，則在查看其它端口數(shù)據(jù)的過(guò)程中其也可以上網(wǎng)?！揪C合實(shí)訓(xùn)】：配置交換機(jī)端口鏡像2．驗(yàn)證在PC2上開(kāi)啟抓包軟件，在PC1上訪問(wèn)服務(wù)器，則PC1的數(shù)據(jù)PC2也能收到。目錄Contents任務(wù)1：配置網(wǎng)絡(luò)設(shè)備登錄安全。任務(wù)2：配置交換機(jī)端口安全。任務(wù)3：配置編號(hào)訪問(wèn)控制列表安全任務(wù)4：配置名稱訪問(wèn)控制列表安全任務(wù)3配置編號(hào)訪問(wèn)控制列表安全6.3.1配置標(biāo)準(zhǔn)訪問(wèn)控制列表訪問(wèn)控制列表提供了一種機(jī)制，它可以控制和過(guò)濾通過(guò)路由器或交換機(jī)的不同接口，去往不同方向的信息流。這種機(jī)制允許用戶使用訪問(wèn)控制列表來(lái)管理信息流，以制定內(nèi)部網(wǎng)絡(luò)的相關(guān)策略。通過(guò)ACL可以限制網(wǎng)絡(luò)中的通信數(shù)據(jù)類型及網(wǎng)絡(luò)的使用者。ACL在數(shù)據(jù)流通過(guò)路由器或交換機(jī)時(shí)對(duì)其進(jìn)行分類過(guò)濾，并對(duì)從指定接口輸入的數(shù)據(jù)流進(jìn)行檢查，根據(jù)匹配條件決定是允許（Permit）其通過(guò)還是丟棄（Deny）。6.3.1配置標(biāo)準(zhǔn)訪問(wèn)控制列表2．訪問(wèn)控制列表ACL最直接的功能便是包過(guò)濾。通過(guò)訪問(wèn)控制列表可以在路由器、三層交換機(jī)上進(jìn)行網(wǎng)絡(luò)安全屬性配置，可以實(shí)現(xiàn)對(duì)進(jìn)入到路由器、三層交換機(jī)的輸入數(shù)據(jù)流的過(guò)濾。過(guò)濾輸入數(shù)據(jù)流的定義可以基于網(wǎng)絡(luò)地址、TCP/UDP的應(yīng)用等。IPACL安全技術(shù)簡(jiǎn)單地說(shuō)就是數(shù)據(jù)包過(guò)濾技術(shù)。網(wǎng)絡(luò)管理人員通過(guò)配置網(wǎng)絡(luò)設(shè)備，來(lái)實(shí)施對(duì)網(wǎng)絡(luò)中通過(guò)的數(shù)據(jù)包的過(guò)濾，從而實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)資源的安全訪問(wèn)控制。IPACL安全實(shí)施的內(nèi)容是編制一張規(guī)則檢查表，這張表中包含了很多簡(jiǎn)單指令規(guī)則，告訴設(shè)備哪些數(shù)據(jù)包可以接收，哪些數(shù)據(jù)包需要被拒絕。6.3.1配置標(biāo)準(zhǔn)訪問(wèn)控制列表3．ACL的類型

最為常見(jiàn)的IPACL使用編號(hào)來(lái)進(jìn)行區(qū)分，一般可以分為兩類：標(biāo)準(zhǔn)訪問(wèn)控制列表（StandardACL）和擴(kuò)展訪問(wèn)控制列表（ExtendedACL）。在規(guī)則中使用不同的編號(hào)區(qū)別它們，其中標(biāo)準(zhǔn)訪問(wèn)控制列表的編號(hào)取值范圍為1～99；擴(kuò)展訪問(wèn)控制列表的編號(hào)取值范圍為100～199。6.3.1配置標(biāo)準(zhǔn)訪問(wèn)控制列表4．ACL組成一個(gè)ACL由一系列的表項(xiàng)組成，ACL中的每個(gè)表項(xiàng)稱之為存取控制項(xiàng)（AccessControlEntry，ACE），主要的動(dòng)作為允許和拒絕；主要的應(yīng)用方法是入棧（In）應(yīng)用和出棧（Out）應(yīng)用，如圖所示。6.3.1配置標(biāo)準(zhǔn)訪問(wèn)控制列表5．部署標(biāo)準(zhǔn)ACL標(biāo)準(zhǔn)ACL，只檢查收到的IP數(shù)據(jù)包中的源IP地址信息，以控制網(wǎng)絡(luò)中數(shù)據(jù)包的流向。在安全設(shè)施的過(guò)程中，如果要阻止來(lái)自某一特定網(wǎng)絡(luò)中的所有通信流，或者允許來(lái)自某一特定網(wǎng)絡(luò)的所有通信流，可以使用標(biāo)準(zhǔn)訪問(wèn)控制列表來(lái)實(shí)現(xiàn)。

在編制標(biāo)準(zhǔn)IPACL規(guī)則時(shí)，使用編號(hào)1～99，區(qū)別同一設(shè)備不同的IPACL列表?xiàng)l數(shù)。6.3.1配置標(biāo)準(zhǔn)訪問(wèn)控制列表5．部署標(biāo)準(zhǔn)ACL在編制標(biāo)準(zhǔn)IPACL規(guī)則時(shí)，使用編號(hào)1～99，區(qū)別同一設(shè)備不同的IPACL列表?xiàng)l數(shù)。（1）配置標(biāo)準(zhǔn)ACL。ruijie(config)#access-listnumber{deny|permit}

源地址（2）將ACL應(yīng)用到接口。ruijie(config)#interfaceinterface-idruijie(config-if-FastEthernet0/1)#ipaccess-groupnumber{int|out}6.3.2配置擴(kuò)展訪問(wèn)控制列表基于編號(hào)的擴(kuò)展訪問(wèn)控制列表的重要特征如下：通過(guò)編號(hào)100～199來(lái)區(qū)別不同的IPACL；不僅檢查數(shù)據(jù)包源IP地址，還檢查數(shù)據(jù)包中目的IP地址、源端口、目的端口、建立連接和IP優(yōu)先級(jí)等特征信息。數(shù)據(jù)包在通過(guò)網(wǎng)絡(luò)設(shè)備時(shí)，設(shè)備解析IP數(shù)據(jù)包中的多種類型信息特征，對(duì)匹配成功的數(shù)據(jù)包采取拒絕或允許操作。6.3.2配置擴(kuò)展訪問(wèn)控制列表和標(biāo)準(zhǔn)ACL相比，擴(kuò)展ACL也存在一些缺點(diǎn)：配置管理難度加大，考慮不周容易限制正常訪問(wèn)；擴(kuò)展ACL會(huì)消耗路由器更多的CPU資源。所以，中低檔路由器進(jìn)行網(wǎng)絡(luò)連接時(shí)，應(yīng)盡量減少擴(kuò)展ACL條數(shù)，以提高工作效率。6.3.2配置擴(kuò)展訪問(wèn)控制列表（1）配置ACL。ruijie(config)#access-listnumber{deny|permit}

協(xié)議源地址[eq源端口]目的地址[eq目的端口]（2）調(diào)用。ruijie(config)#interfaceinterface-idruijie(config-if-FastEthernet0/1)#ipaccess-groupnumber{int|out}6.3.3配置時(shí)間訪問(wèn)控制列表基于時(shí)間的IPACL，對(duì)于編號(hào)IPACL和名稱IPACL均適用。實(shí)現(xiàn)所配置的ACL只在一個(gè)特定的時(shí)間段內(nèi)生效，如在辦公時(shí)間（9:00～18:00）只允許訪問(wèn)Web網(wǎng)頁(yè)，其它應(yīng)用則被禁止。除了辦公時(shí)間外，任何網(wǎng)絡(luò)應(yīng)用都可以使用。這時(shí)需要配置基于時(shí)間的ACL，再將時(shí)間信息調(diào)用到相關(guān)ACE條目上。6.3.3配置時(shí)間訪問(wèn)控制列表創(chuàng)建基于時(shí)間的IPACL，需要依據(jù)兩個(gè)要點(diǎn)：使用參數(shù)time-range定義一個(gè)時(shí)間段；編制編號(hào)IPACL或者名稱IPACL，再將IPACL規(guī)則和時(shí)間段結(jié)合起來(lái)應(yīng)用。ACL需要和時(shí)間段結(jié)合起來(lái)應(yīng)用，即基于時(shí)間的ACL。事實(shí)上，基于時(shí)間的ACL只是在ACL規(guī)則后，使用time-range選項(xiàng)為此規(guī)則指定一個(gè)時(shí)間段，只有在此時(shí)間范圍內(nèi)，此規(guī)則才會(huì)生效，各類ACL規(guī)則均可以使用時(shí)間段。時(shí)間段可分為三種類型：絕對(duì)（Absolute）時(shí)間段、周期（periodic）時(shí)間段和混合時(shí)間段。6.3.3配置時(shí)間訪問(wèn)控制列表絕對(duì)時(shí)間段：表示一個(gè)時(shí)間范圍，即從某時(shí)刻開(kāi)始到某時(shí)刻結(jié)束，如1月5日早晨8點(diǎn)到3月6日早晨8點(diǎn)。周期時(shí)間段：表示一個(gè)時(shí)間周期，如每天早晨8點(diǎn)到晚上6點(diǎn)，或每周一到每周五的早晨8點(diǎn)到晚上6點(diǎn)?；旌蠒r(shí)間段：可以將絕對(duì)時(shí)間段與周期時(shí)間段結(jié)合起來(lái)，稱為混合時(shí)間段，如1月5日到3月6日每周一至周五早晨8點(diǎn)到晚上6點(diǎn)。6.3.3配置時(shí)間訪問(wèn)控制列表（1）正確配置設(shè)備時(shí)間。ruijie#clocksetXX:XX:XXmouthdayyear（2）定義時(shí)間段。ruijie(config)#time-rangenameruijie(config-time-range)#periodic時(shí)間段（3）為ACL中特定ACE關(guān)聯(lián)定義好的時(shí)間段。ruijie(config)#access-listnumber{deny|permit}

條件time-rangename【綜合實(shí)訓(xùn)4】：配置編號(hào)標(biāo)準(zhǔn)訪問(wèn)控制列表網(wǎng)絡(luò)場(chǎng)景

如圖所示，PCA連接在路由器的Fa0/1口，PCB連接在路由器的Fa0/2口。PCA的IP地址為/24，PCB的IP地址是/24。路由器Fa0/1口IP地址為54/24，充當(dāng)PCA的網(wǎng)關(guān)；路由器Fa0/2口IP地址為54/24，充當(dāng)PCB的網(wǎng)關(guān)。正常情況下，兩臺(tái)PC可以通信，要求PCA和PCB不能通信，但PCA換成同網(wǎng)段其它設(shè)備時(shí)可以和PCB通信?！揪C合實(shí)訓(xùn)4】：配置編號(hào)標(biāo)準(zhǔn)訪問(wèn)控制列表1．配置交換機(jī)的IP地址Ruijie#configRuijie(config)#hostnamerouterrouter(config)#intfa0/1router(config-if-FastEthernet0/1)#ipaddress54router(config-if-FastEthernet0/1)#exitrouter(config)#intfa0/2router(config-if-FastEthernet0/2)#ipaddress54router(config-if-FastEthernet0/2)#exitrouter(config)#【綜合實(shí)訓(xùn)4】：配置編號(hào)標(biāo)準(zhǔn)訪問(wèn)控制列表2．配置編號(hào)標(biāo)準(zhǔn)訪問(wèn)控制列表router(config)#access-list1denyhost！該表不允許源地址為的數(shù)據(jù)通過(guò)router(config)#access-list1permit55

！但允許/24其它地址數(shù)據(jù)通過(guò)備注：該ACL可以配置多條規(guī)則，但標(biāo)號(hào)要相同?！揪C合實(shí)訓(xùn)4】：配置編號(hào)標(biāo)準(zhǔn)訪問(wèn)控制列表3．部署ACLrouter(config)#intfa0/1router(config-if-FastEthernet0/1)#ipaccess-group1in！將訪問(wèn)控制列表用到F0/1口的入方向router(config-if-FastEthernet0/1)#exit備注：可調(diào)用到Fa0/2的out方向。4．驗(yàn)證PC1不能Ping通PC2，但將PC1的IP地址變?yōu)楹罂梢院蚉C2通信?！揪C合實(shí)訓(xùn)5】：配置標(biāo)準(zhǔn)訪問(wèn)控制列表網(wǎng)絡(luò)場(chǎng)景如圖所示，PC1、PC2和PC3連接在交換機(jī)Fa0/1、Fa0/2和Fa0/3口上。其中，PC1的IP地址為/24，PC2的IP地址為/24，PC3的IP地址為/24。保證PC1和PC3不能通信，PC2和PC3可以通信，PC1和PC2可以通信?！揪C合實(shí)訓(xùn)5】：配置標(biāo)準(zhǔn)訪問(wèn)控制列表1．配置訪問(wèn)控制列表Ruijie(config)#hostnameswitchswitch(config)#access-list101denyiphosthostswitch(config)#access-list101permitiphosthostswitch(config)#備注：可簡(jiǎn)化配置，即配置“permitiphosthost”實(shí)現(xiàn)該功能?！揪C合實(shí)訓(xùn)5】：配置標(biāo)準(zhǔn)訪問(wèn)控制列表2．應(yīng)用到Fa0/1的in方向switch(config)#intfa0/1switch(config-if-FastEthernet0/1)#ipaccess-group101in3．驗(yàn)證PC1不能和PC3通信、PC1可以和PC2通信、PC2可以和PC3通信?！揪C合實(shí)訓(xùn)6】：配置時(shí)間訪問(wèn)控制列表網(wǎng)絡(luò)場(chǎng)景如圖所示，PC1、PC2連接在交換機(jī)Fa0/1、Fa0/2口上。PC1的IP地址為/24，PC2的IP地址為/24。每天上午9:00～12:00兩個(gè)用戶可以通信，其它時(shí)間不能通信?！揪C合實(shí)訓(xùn)6】：配置時(shí)間訪問(wèn)控制列表1．配置計(jì)算機(jī)的IP地址按圖配置PC的IP地址。2．配置時(shí)間段Ruijie#configRuijie(config)#hostnameswitchswitch(config)#time-rangedingxiligongxuexiaoswitch(config-time-range)#periodicweekdays9:00to12:00switch(config-time-range)#exit【綜合實(shí)訓(xùn)6】：配置時(shí)間訪問(wèn)控制列表3．配置訪問(wèn)控制列表switch(config)#access-list1permithosttime-rangedingxiligongxuexiao4．應(yīng)用到F0/1的in方向switch(config)#intfa0/1switch(config-if-FastEthernet0/1)#ipaccess-group1in備注：需要先保證時(shí)間正確。4．驗(yàn)證在規(guī)定時(shí)間內(nèi)PC1可以Ping通PC2。目錄Contents任務(wù)1：配置網(wǎng)絡(luò)設(shè)備登錄安全。任務(wù)2：配置交換機(jī)端口安全。任務(wù)3：配置編號(hào)訪問(wèn)控制列表安全任務(wù)4：配置名稱訪問(wèn)控制列表安全任務(wù)4配置名稱訪問(wèn)控制列表安全6.4.1配置標(biāo)準(zhǔn)名稱訪問(wèn)控制列表安全1．概述基于編號(hào)的ACL是訪問(wèn)控制列表發(fā)展早期應(yīng)用最為廣泛的技術(shù)之一。其中，標(biāo)準(zhǔn)的IPACL使用數(shù)字編號(hào)1～99和1300～1999；擴(kuò)展IPACL使用數(shù)字編號(hào)100～199和2000～2699。但使用編號(hào)IPACL不容易識(shí)別，數(shù)字編號(hào)不容易區(qū)分，有耗盡的可能，特別是基于編號(hào)的IPACL在修改上非常不方便。近些年來(lái)，隨著設(shè)備的性能改善以及技術(shù)的進(jìn)步，基于名稱的IPACL應(yīng)運(yùn)而生，基于名稱的IPACL在技術(shù)開(kāi)發(fā)上避免了以上基于編號(hào)的IPACL在應(yīng)用上的不足。6.4.1配置標(biāo)準(zhǔn)名稱訪問(wèn)控制列表安全2．基于名稱的訪問(wèn)控制列表規(guī)則基于名稱的IPACL在規(guī)則編輯上使用了一組字符串，來(lái)標(biāo)識(shí)編制完成的安全規(guī)則，具有“見(jiàn)名識(shí)意”的效果，方便了網(wǎng)絡(luò)管理人員管理。除了命名，以及在編寫規(guī)則的語(yǔ)法上稍有不同外，其它諸如檢查的元素、默認(rèn)的規(guī)則等都與編號(hào)的訪問(wèn)控制列表相同。6.4.1配置標(biāo)準(zhǔn)名稱訪問(wèn)控制列表安全3．配置方案創(chuàng)建名稱IPACL與編號(hào)IPACL的語(yǔ)法命令不同，名稱IPACL使用ipaccess-list命令開(kāi)頭。在配置標(biāo)準(zhǔn)ACL時(shí)，可使用編號(hào)來(lái)命名ACL。為了表明ACL的作用，也可以用字母表示ACL。使用字母表示ACL時(shí)寫法如下。ruijie(config)#ipaccess-liststandardname

！創(chuàng)建IP的標(biāo)準(zhǔn)訪問(wèn)控制列表ruijie(config-acl)#{deny|permit}

源地址

！在列表中配置ACE6.4.1配置標(biāo)準(zhǔn)名稱訪問(wèn)控制列表安全3．配置方案創(chuàng)建名稱IPACL與編號(hào)IPACL的語(yǔ)法命令不同，名稱IPACL使用ipaccess-list命令開(kāi)頭。在配置標(biāo)準(zhǔn)ACL時(shí)，可使用編號(hào)來(lái)命名ACL。為了表明ACL的作用，也可以用字母表示ACL。使用字母表示ACL時(shí)寫法如下。ruijie(config)#ipaccess-liststandardname

！創(chuàng)建IP的標(biāo)準(zhǔn)訪問(wèn)控制列表ruijie(config-acl)#{deny|permit}

源地址

！在列表中配置ACE6.4.1配置標(biāo)準(zhǔn)名稱訪問(wèn)控制列表安全3．配置方案創(chuàng)建名稱IPACL與編號(hào)IPACL命令不同，名稱IPACL使用ipaccess-list開(kāi)頭。配置標(biāo)準(zhǔn)ACL時(shí)，可使用編號(hào)來(lái)命名ACL。為了表明ACL作用，也可以用字母表示ACL。在接口模式中，應(yīng)用名稱IPACL與應(yīng)用編號(hào)IPACL的方法和命令一樣，只是此處將編號(hào)替換為名稱“name”了。Router(config)#ipaccess-groupname{in|out}！name表示ACL名稱，與之前創(chuàng)建的ACL名稱要保持一致6.4.2配置擴(kuò)展名稱訪問(wèn)控制列表安全使用“ipaccess-listextended”命令建立命名的擴(kuò)展ACL，后面跟ACL名稱，執(zhí)行該命令時(shí)，進(jìn)入子配置模式，輸入permit或deny語(yǔ)句，其語(yǔ)法和編號(hào)的ACL相同，并且支持相同的選項(xiàng)。如果使用字母表示ACL，其寫法如下。ruijie(config)#ipaccess-listextendedname

！創(chuàng)建IP擴(kuò)展訪問(wèn)控制列表ruijie(config-acl)#{deny|permit}

協(xié)議源地址[