項(xiàng)目9、利用訪問列表進(jìn)行網(wǎng)絡(luò)管理

項(xiàng)目九、利用訪問列表進(jìn)行網(wǎng)絡(luò)管理(一)利用IP標(biāo)準(zhǔn)訪問列表進(jìn)行網(wǎng)絡(luò)流量的控制【項(xiàng)目名稱】編號(hào)的標(biāo)準(zhǔn)IP訪問列表?！卷?xiàng)目教學(xué)目的】掌握路由器上編號(hào)的標(biāo)準(zhǔn)IP訪問列表規(guī)則及配置?！卷?xiàng)目背景描述】假如你是某公司的網(wǎng)絡(luò)管理員，公司的經(jīng)理部、財(cái)務(wù)部門和銷售部門分別屬不同的3個(gè)網(wǎng)段，三部門之間利用路由器進(jìn)行信息傳遞，為了安全起見，公司領(lǐng)導(dǎo)要求銷售部門不能對(duì)財(cái)務(wù)部門進(jìn)行訪問，但經(jīng)理部可以對(duì)財(cái)務(wù)部門進(jìn)行訪問。PC1代表經(jīng)理部的主機(jī)，PC2代表銷售部門的主機(jī)、PC3代表財(cái)務(wù)部門的主機(jī)?！局R(shí)鏈接】1、IPACL（IP訪問控制列表或IP訪問列表）是實(shí)現(xiàn)對(duì)流經(jīng)路由器或交換機(jī)的數(shù)據(jù)包根據(jù)一定的規(guī)則進(jìn)行過濾，從而提高網(wǎng)絡(luò)可管理性和安全性。2、IPACL分為兩種：標(biāo)準(zhǔn)IP訪問列表和擴(kuò)展IP訪問列表。標(biāo)準(zhǔn)IP訪問列表——根據(jù)數(shù)據(jù)包的源IP地址定義規(guī)則，進(jìn)行數(shù)據(jù)包的過濾。擴(kuò)展IP訪問列表——根據(jù)數(shù)據(jù)包的源IP、目的IP、源端口、目的端口、協(xié)議來定義規(guī)則，從而對(duì)數(shù)據(jù)包進(jìn)行過濾。3、IPACL基于接口進(jìn)行規(guī)則的應(yīng)用，分為：入棧應(yīng)用和出棧應(yīng)用。入棧應(yīng)用是指由外部經(jīng)該接口時(shí)路由器進(jìn)行數(shù)據(jù)包的過濾。出棧應(yīng)用是指路由器從該接口向外轉(zhuǎn)發(fā)數(shù)據(jù)時(shí)進(jìn)行數(shù)據(jù)包的過濾。4、IPACL的配置有兩種方式：按照編號(hào)的訪問列表，按照命名的訪問列表。5、標(biāo)準(zhǔn)IP訪問列表編號(hào)范圍是1~99、1300~1999；擴(kuò)展IP訪問列表編號(hào)范圍是100~199、2000~2699?！卷?xiàng)目技能要求】學(xué)會(huì)實(shí)現(xiàn)網(wǎng)段間互相訪問的安全控制?！就瓿身?xiàng)目所需設(shè)備】R1762路由器（兩臺(tái)）、V.35線纜（1條）、直連線或交叉線（3條）【項(xiàng)目拓?fù)洹俊卷?xiàng)目實(shí)施步驟】1、基本配置：Ra基本配置Red-Giant>enable14(password:b402)Red-Giant#configureterminalRed-Giant(config)#hostnameRaRa(config)#interfacefastEthernet0/1Ra(config-if)#ipRa(config-if)#noshutdownRa(config-if)#interfaceFastEthernet1/1RaRa(config-if)#noshutdownRa(config-if)#interfaceserial1/2RaRa(config-if)#clockrate64000Ra(config-if)#noshutdownRa(config-if)#end2、測試命令：showipinterfacebrief。Ra#showipintbrief!觀察接口狀態(tài)InterfaceIP-Addressress(Pri)OK?Statusserial1/0noaddressYESDOWNFastEthernet0/1FastEthernet1/1Null0noaddressYESUP3、Rb基本配置Red-Giant>enableRed-Giant#configureterminalRed-Giant(config)#hostnameRbRb(config)#interfacefastEthernet0/1Rb(config-if)#ipaddress172.16.4Rb(config-if)#noshutdownRb(config-if)#exitRb(config-if)#interfaceserial1/2Rb(config-if)#ipaddressRb(config-if)#noshutdownRb(config-if)#end4、測試命令：showipinterfacebrief。Rb#showipintbrief!觀察接口狀態(tài)InterfaceIP-Addressress(Pri)OK?StatusUPserial1/0noaddressYESDOWNFastEthernet0/1UPFastEthernet1/1noaddressYESDOWNNull0noaddressYESUP5、配置靜態(tài)路由Ra(config)#iprouteserial1/2Rb(config)#iprouteserial1/2Rb(config)#iprouteserial1/26、測試命令：showiproute。Ra#showiproute!查看路由表信息Codes:C-connected,S-static,R-RIPO-OSPF,IA-OSPFinterareaN1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2E1-OSPFexternaltype1,E2-OSPFexternaltype2*-candidatedefaultGatewayoflastresortisnosetC/24isdirectlyconnected,FastEthernet0/1C/24isdirectlyconnected,FastEthernet1/1C/24isdirectlyconnected,serial1/2S/24isdirectlyconnected,serial1/0Rb#showiprouteCodes:C-connected,S-static,R-RIPO-OSPF,IA-OSPFinterareaN1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2E1-OSPFexternaltype1,E2-OSPFexternaltype2*-candidatedefaultGatewayoflastresortisnosetS/24isdirectlyconnected,serial1/2S/24isdirectlyconnected,serial1/2C/24isdirectlyconnected,serial1/2C/24isdirectlyconnected,FastEthernet0/17、配置標(biāo)準(zhǔn)IP訪問控制列表。Ra(config)#access-list10deny.255!拒絕來自網(wǎng)段的流量通過Ra(config)#access-list10permitany!允許所有網(wǎng)段的流量通過8、驗(yàn)證測試：Ra#showaccess-lists10StandardIPaccesslist1includes2items:deny,wildcardbits.255permit,wildcardbits.255把訪問控制列表在接口下應(yīng)用。Ra(config)#interfacefastEthernet0/1Ra(config-if)#ipaccess-group1in9、驗(yàn)證測試：Ra#showipinterfacefastEthernet0/1FastEthernet0/1IPinterfacestateis:UPIPinterfacetypeis:BROADCASTIPinterfaceMTUis:1500IPaddressis:/24(primary)IPaddressnegotiateis:OFFForwarddirect-boardcastis:ONICMPmaskreplyis:ONSendICMPredirectis:ONSendICMPunreachabledis:ONDHCPrelayis:OFFFastswitchis:ONRoutehorizontal-splitis:ONHelpaddressis:.0ProxyARPis:ONOutgoingaccesslistis10.!查看訪問列表在接口上的應(yīng)用Inboundaccesslistisnotset.10、驗(yàn)證測試：網(wǎng)段內(nèi)的主機(jī)不能ping通網(wǎng)段內(nèi)的主機(jī)；但網(wǎng)段內(nèi)的主機(jī)能ping通網(wǎng)段內(nèi)的主機(jī)?！咀⒁馐马?xiàng)】1、注意在訪問控制列表的網(wǎng)絡(luò)掩碼是反掩碼。2、標(biāo)準(zhǔn)控制列表要應(yīng)用在盡量靠近目的地址的端口上設(shè)置。(二)利用IP擴(kuò)展訪問列表實(shí)現(xiàn)服務(wù)的訪問限制【項(xiàng)目名稱】命名的擴(kuò)展IP訪問列表?！卷?xiàng)目教學(xué)目的】掌握在交換機(jī)上命名的擴(kuò)展IP訪問列表規(guī)則及配置?！卷?xiàng)目背景描述】你是我們學(xué)校的網(wǎng)絡(luò)管理員，在S3550-24交換機(jī)上連著學(xué)校的WWW和FTP的服務(wù)器，另外還連接著學(xué)生宿舍樓和教工宿舍樓，學(xué)校規(guī)定學(xué)生只能對(duì)服務(wù)器進(jìn)行WWW訪問，不能進(jìn)行FTP訪問，則對(duì)教工沒有此限制?！局R(shí)鏈接】1、IPACL（IP訪問控制列表或IP訪問列表）是實(shí)現(xiàn)對(duì)流經(jīng)路由器或交換機(jī)的數(shù)據(jù)包根據(jù)一定的規(guī)則進(jìn)行過濾，從而提高網(wǎng)絡(luò)可管理性和安全性。2、IPACL分為兩種：標(biāo)準(zhǔn)IP訪問列表和擴(kuò)展IP訪問列表。標(biāo)準(zhǔn)IP訪問列表——根據(jù)數(shù)據(jù)包的源IP地址定義規(guī)則，進(jìn)行數(shù)據(jù)包的過濾。擴(kuò)展IP訪問列表——根據(jù)數(shù)據(jù)包的源IP、目的IP、源端口、目的端口、協(xié)議來定義規(guī)則，從而對(duì)數(shù)據(jù)包進(jìn)行過濾。3、IPACL基于接口進(jìn)行規(guī)則的應(yīng)用，分為：入棧應(yīng)用和出棧應(yīng)用。入棧應(yīng)用是指由外部經(jīng)該接口時(shí)路由器進(jìn)行數(shù)據(jù)包的過濾。出棧應(yīng)用是指路由器從該接口向外轉(zhuǎn)發(fā)數(shù)據(jù)時(shí)進(jìn)行數(shù)據(jù)包的過濾。4、IPACL的配置有兩種方式：按照編號(hào)的訪問列表，按照命名的訪問列表。5、標(biāo)準(zhǔn)IP訪問列表編號(hào)范圍是1~99、1300~1999；擴(kuò)展IP訪問列表編號(hào)范圍是100~199、2000~2699?！卷?xiàng)目技能要求】學(xué)會(huì)實(shí)現(xiàn)網(wǎng)段間互相訪問的安全控制?！就瓿身?xiàng)目所需設(shè)備】S3550交換機(jī)（1臺(tái)）、PC（3臺(tái))、直連線（3條）【項(xiàng)目拓?fù)洹俊卷?xiàng)目實(shí)施步驟】1、基本配置：3550-24(config)#vlan103550-24(config)#vlan203550-24(config)#vlan303550-24(config)#interfacefastethernet0/13550-24(config-if)#switchportmodeaccess3550-24(config-if)#switchportaccessvlan103550-24(config)#interfacefastethernet0/23550-24(config-if)#switchportmodeaccess3550-24(config-if)#switchportaccessvlan203550-24(config)#interfacefastethernet0/33550-24(config-if)#switchportmodeaccess3550-24(config-if)#switchportaccessvlan303550-24(config)#interfacevlan103550-24(config-if)#noshutdown3550-24(config-if)#interfacevlan203550-24(config-if)#noshutdown3550-24(config-if)#interfacevlan303550-24(config-if)#noshutdown2、配置命名擴(kuò)展IP訪問控制列表：3550-24(config)#access-list101denytcp.255hosteqFTP!禁止FTP服務(wù)3550-24(config)#access-list101permitipanyany!允許其它服務(wù)3、驗(yàn)證命令：3550-24#showaccess-lists101ExtendedIP