網(wǎng)絡(luò)安全配置

項(xiàng)目五網(wǎng)絡(luò)安全配置任務(wù)1標(biāo)準(zhǔn)ACL訪問控制列表實(shí)驗(yàn)一（編號(hào)方式）任務(wù)2標(biāo)準(zhǔn)ACL訪問控制列表實(shí)驗(yàn)二（命名方式）任務(wù)3擴(kuò)展ACL訪問控制列表實(shí)驗(yàn)一（編號(hào)方式）任務(wù)4擴(kuò)展ACL訪問控制列表實(shí)驗(yàn)二（命名方式）任務(wù)5擴(kuò)展ACL訪問控制列表實(shí)驗(yàn)三（VTY訪問限制）返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第1頁。任務(wù)1標(biāo)準(zhǔn)ACL訪問控制列表實(shí)驗(yàn)一（編號(hào)方式）【學(xué)習(xí)情境】假設(shè)你是某公司的網(wǎng)絡(luò)管理員，公司的銷售部（網(wǎng)段）、經(jīng)理部（網(wǎng)段）、財(cái)務(wù)部（網(wǎng)段）分別屬于3個(gè)不同的網(wǎng)段，為了安全起見，公司領(lǐng)導(dǎo)要求銷售部不能對(duì)財(cái)務(wù)部進(jìn)行訪問，但經(jīng)理部可以對(duì)財(cái)務(wù)部進(jìn)行訪問。要求使用編號(hào)方式進(jìn)行標(biāo)準(zhǔn)ACL的制定和應(yīng)用?！緦W(xué)習(xí)目的】1.了解標(biāo)準(zhǔn)訪問控制列表進(jìn)行網(wǎng)絡(luò)流量的控制原理和方法。2.掌握編號(hào)方式標(biāo)準(zhǔn)訪問控制列表的制定規(guī)則與配置方法，記憶編號(hào)的范圍。下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第2頁。任務(wù)1標(biāo)準(zhǔn)ACL訪問控制列表實(shí)驗(yàn)一（編號(hào)方式）3.掌握網(wǎng)段和主機(jī)在制定規(guī)則時(shí)的命令區(qū)別。4.掌握訪問控制列表的在不同端口上進(jìn)行應(yīng)用的區(qū)別和應(yīng)用原則?！鞠嚓P(guān)設(shè)備】路由器2臺(tái)、V.35線纜1對(duì)、PC3臺(tái)、交叉線3根。【實(shí)驗(yàn)拓?fù)洹客負(fù)淙鐖D5-1-1所示。上一頁下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第3頁。任務(wù)1標(biāo)準(zhǔn)ACL訪問控制列表實(shí)驗(yàn)一（編號(hào)方式）【實(shí)驗(yàn)任務(wù)】1.如圖5-1-1所示搭建網(wǎng)絡(luò)環(huán)境，并對(duì)兩個(gè)路由器關(guān)閉電源，分別擴(kuò)展一個(gè)異步高速串口模塊（WIC-2T）。兩個(gè)路由器之間使用V.35的同步線纜連接，RouterA的S0/1口連接的是DCE端，RouterB的S0/1口連接的是DTE端。配置RouterA和RouterB的S0/1口地址，在RouterA的S0/1口上配置同步時(shí)鐘為64000。配置其他端口及設(shè)備的地址，PC要配置默認(rèn)網(wǎng)關(guān)。2.在RouterA上配置缺省路由為；在RouterB上配置缺省路由為。測(cè)試所有設(shè)備之間的連通性（應(yīng)該全通）。上一頁下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第4頁。任務(wù)1標(biāo)準(zhǔn)ACL訪問控制列表實(shí)驗(yàn)一（編號(hào)方式）3.設(shè)置標(biāo)準(zhǔn)IP訪問控制列表（編號(hào)方式），使得/24網(wǎng)段可以訪問/24網(wǎng)段，但是/24網(wǎng)段不可以訪問/24網(wǎng)段。查看配置和端口的狀態(tài)，并測(cè)試結(jié)果（PC1pingPC3不通，但PC1pingPC2通，PC2pingPC3通）。把PC1的地址改成，pingPC3也不通。4.刪除上述ACL，再重新設(shè)置標(biāo)準(zhǔn)IP訪問控制列表（編號(hào)方式），使得PC2可以訪問PC3，但是PC1不可以訪問PC3。注意與上一步定義ACL規(guī)則時(shí)的區(qū)別，源IP使用主機(jī)方式指定，不是網(wǎng)段。查看配置和端口的狀態(tài)，并測(cè)試結(jié)果。把PC1的地址改成，pingPC3可以通。5.最后把配置以及ping的結(jié)果截圖打包，以“學(xué)號(hào)姓名”為文件名，提交作業(yè)。上一頁下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第5頁。任務(wù)1標(biāo)準(zhǔn)ACL訪問控制列表實(shí)驗(yàn)一（編號(hào)方式）6.使用銳捷設(shè)備（2~3人一組）完成上面的步驟?！緦?shí)驗(yàn)命令】1.在RouterA上配置缺省路由為；在RouterB上配置缺省路由為。R1（config）#iprouteR2（config）#iproute2.設(shè)置標(biāo)準(zhǔn)IP訪問控制列表（編號(hào)方式），使得/24網(wǎng)段可以訪問/24網(wǎng)段，但是/24網(wǎng)段不可以訪問/24網(wǎng)段。源IP使用網(wǎng)段方式指定，注意命令中的反掩碼。上一頁下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第6頁。任務(wù)1標(biāo)準(zhǔn)ACL訪問控制列表實(shí)驗(yàn)一（編號(hào)方式）（1）定義規(guī)則：R2（config）#access-list10deny55R2（config）#access-list10permit55R2（config）#access-list10permitany（2）應(yīng)用端口：R2（config）#interfaceFastEthernet0/0R2（config-if）#ipaccess-group10out3.查看ACL配置和端口的狀態(tài)。R2#showaccess-lists或R2#showipaccess-listsR2#showipinterfaceFastEthernet0/0或R2#showrunning-config上一頁下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第7頁。任務(wù)1標(biāo)準(zhǔn)ACL訪問控制列表實(shí)驗(yàn)一（編號(hào)方式）4.刪除指定的標(biāo)準(zhǔn)ACL（編號(hào)方式）。R2（config）#noaccess-list105.設(shè)置標(biāo)準(zhǔn)IP訪問控制列表（編號(hào)方式），使得PC2可以訪問PC3，但是PC1不可以訪問PC3。定義ACL規(guī)則時(shí)源IP使用主機(jī)方式指定，不是網(wǎng)段，注意host的使用，不需要反掩碼。（1）定義規(guī)則：R2（config）#access-list10denyhostR2（config）#access-list10permithostR2（config）#access-list10permitany（2）應(yīng)用端口：R2（config）#interfacefastethernet0/0上一頁下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第8頁。任務(wù)1標(biāo)準(zhǔn)ACL訪問控制列表實(shí)驗(yàn)一（編號(hào)方式）R2（config）#ipaccess-group10out【注意事項(xiàng)】1.定義規(guī)則時(shí)，每條規(guī)則的順序不同，其結(jié)果大不一樣。所以要注意每條規(guī)則的前后順序，有某條規(guī)則。不符合自己的設(shè)計(jì)或要求時(shí)，要將其先no掉，再重新設(shè)置。2.按從頭到尾、至頂向下的方式進(jìn)行匹配：匹配成功馬上停止，立刻使用該規(guī)則的“允許、拒絕……”3.一切未被允許的就是禁止的：路由器或三層交換機(jī)缺省允許所有的信息流通過；而防火墻缺省封鎖所有的信息流，然后對(duì)希望提供的服務(wù)逐項(xiàng)開放。上一頁下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第9頁。網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第10頁。網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第11頁。網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第12頁。網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第13頁。網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第14頁。網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第15頁。網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第16頁。網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第17頁。網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第18頁。網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第19頁。網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第20頁。網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第21頁。網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第22頁。任務(wù)1標(biāo)準(zhǔn)ACL訪問控制列表實(shí)驗(yàn)一（編號(hào)方式）4.定義規(guī)則時(shí)選擇的路由器（或三層交換機(jī)）與應(yīng)用規(guī)則時(shí)選擇的端口要以保護(hù)對(duì)象最近為原則，應(yīng)用的時(shí)候是入棧還是出棧要以信息是從路由器（或三層交換機(jī)）流入還是流出為判斷標(biāo)準(zhǔn)?！九渲媒Y(jié)果】1.RouterB#showaccess-lists（源IP使用網(wǎng)段方式指定）：StandardIPaccesslist10deny55permit55permitany2.RouterB#showaccess-lists（源IP使用主機(jī)方式指定）：上一頁下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第23頁。任務(wù)1標(biāo)準(zhǔn)ACL訪問控制列表實(shí)驗(yàn)一（編號(hào)方式）StandardIPaccesslist10denyhost（3match（es））permithost（4match（es））permitany（4match（es））3.RouterB#showrunning-config：Buildingconfiguration...Currentconfiguration：607bytesversion12.2noservicepassword-encryptionhostnameRouterB上一頁下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第24頁。任務(wù)1標(biāo)準(zhǔn)ACL訪問控制列表實(shí)驗(yàn)一（編號(hào)方式）ipsshversion1interfaceFastEthernet0/0ipaddressipaccess-group10outduplexautospeedautointerfaceFastEthernet0/1noipaddressduplexautospeedauto上一頁下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第25頁。任務(wù)1標(biāo)準(zhǔn)ACL訪問控制列表實(shí)驗(yàn)一（編號(hào)方式）shutdowninterfaceSerial0/0noipaddressshutdowninterfaceSerial0/1ipaddressipclasslessiprouteaccess-list10denyhostaccess-list10permithost上一頁下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第26頁。任務(wù)1標(biāo)準(zhǔn)ACL訪問控制列表實(shí)驗(yàn)一（編號(hào)方式）access-list10permitanynocdprunlinecon0linevty04loginend【技術(shù)原理】1.IPAccess-List：IP訪問控制列表，簡稱IPACL。就是對(duì)經(jīng)過網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包根據(jù)一定的規(guī)則進(jìn)行數(shù)據(jù)包的過濾。上一頁下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第27頁。任務(wù)1標(biāo)準(zhǔn)ACL訪問控制列表實(shí)驗(yàn)一（編號(hào)方式）2.訪問列表的組成。（1）定義訪問列表的步驟：第一步，定義規(guī)則（哪些數(shù)據(jù)允許通過，哪些數(shù)據(jù)不允許通過）；第二步，將規(guī)則應(yīng)用在路由器（或交換機(jī)）的接口上。（2）訪問控制列表的分類：標(biāo)準(zhǔn)訪問控制列表、擴(kuò)展訪問控制列表。（3）訪問控制列表規(guī)則元素：源IP、目的IP、源端口、目的端口、協(xié)議。3.IPACL的基本準(zhǔn)則。（1）一切未被允許的就是禁止的；（2）路由器或三層交換機(jī)缺省允許所有的信息流通過;而防火墻缺省封鎖所有的信息流，然后對(duì)希望提供的服務(wù)逐項(xiàng)開放；上一頁下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第28頁。任務(wù)1標(biāo)準(zhǔn)ACL訪問控制列表實(shí)驗(yàn)一（編號(hào)方式）（3）按規(guī)則鏈來進(jìn)行匹配；（4）使用源地址、目的地址、源端口、目的端口、協(xié)議、時(shí)間段進(jìn)行匹配；（5）按從頭到尾、至頂向下的方式匹配，匹配成功馬上停止；（6）立刻使用該規(guī)則的“允許、拒絕……”。4.ACL按照其使用的范圍分類，可以分為安全ACL和QoSACL。對(duì)數(shù)據(jù)流進(jìn)行過濾可以限制網(wǎng)絡(luò)中的通信數(shù)據(jù)類型及限制網(wǎng)絡(luò)的使用者或使用設(shè)備。安全ACL在數(shù)據(jù)流通過交換機(jī)時(shí)對(duì)其進(jìn)行分類過濾，并對(duì)從指定接口輸入的數(shù)據(jù)流進(jìn)行檢查，根據(jù)匹配條件（conditions）決定是允許其通過（permit）還是丟棄（deny）。上一頁下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第29頁。任務(wù)1標(biāo)準(zhǔn)ACL訪問控制列表實(shí)驗(yàn)一（編號(hào)方式）在安全ACL允許數(shù)據(jù)流通過之后，你還可以通過QoS策略對(duì)符合QoSACL匹配條件的數(shù)據(jù)流進(jìn)行優(yōu)先級(jí)策略處理?？偟膩碚f，安全ACL用于控制哪些數(shù)據(jù)流允許從交換機(jī)通過，QoS策略在這些允許通過的數(shù)據(jù)流中再根據(jù)QoSACL進(jìn)行優(yōu)先級(jí)分類和處理。5.創(chuàng)建編號(hào)方式標(biāo)準(zhǔn)IP訪問列表。標(biāo)準(zhǔn)訪問列表使得路由器通過對(duì)源IP地址的識(shí)別來控制來自某個(gè)或某一網(wǎng)段的主機(jī)的數(shù)據(jù)包的過濾。在全局配置模式下，標(biāo)準(zhǔn)IP訪問列表的命令格式為：Access-listnumberdeny|permitsource-ip-addreswildcard-mask上一頁下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第30頁。任務(wù)1標(biāo)準(zhǔn)ACL訪問控制列表實(shí)驗(yàn)一（編號(hào)方式）其中，number為列表號(hào)，取值1～99；deny|permit為“允許或拒絕”，必選其一；source-ip-address為源IP地址或網(wǎng)絡(luò)地址；wildcard-mask為通配符掩碼。該命令的含義為：定義某號(hào)訪問列表，允許（或拒絕）來自由IP地址和通配符掩碼確定的某個(gè)或某網(wǎng)段的主機(jī)的數(shù)據(jù)通過路由器。上一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第31頁。任務(wù)2標(biāo)準(zhǔn)ACL訪問控制列表實(shí)驗(yàn)二（命名方式）【學(xué)習(xí)情境】假設(shè)你是某公司的網(wǎng)絡(luò)管理員，公司的銷售部（網(wǎng)段）、經(jīng)理部（網(wǎng)段）、財(cái)務(wù)部（網(wǎng)段）分別屬于3個(gè)不同的網(wǎng)段，為了安全起見，公司領(lǐng)導(dǎo)要求銷售部不能對(duì)財(cái)務(wù)部進(jìn)行訪問，但經(jīng)理部可以對(duì)財(cái)務(wù)部進(jìn)行訪問。要求使用命名方式進(jìn)行標(biāo)準(zhǔn)ACL的制定和應(yīng)用?！緦W(xué)習(xí)目的】1.掌握命名方式標(biāo)準(zhǔn)訪問控制列表的制定規(guī)則與配置方法。2.掌握三層交換機(jī)在標(biāo)準(zhǔn)訪問控制列表的應(yīng)用。下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第32頁。任務(wù)2標(biāo)準(zhǔn)ACL訪問控制列表實(shí)驗(yàn)二（命名方式）【相關(guān)設(shè)備】三層交換機(jī)1臺(tái)、PC3臺(tái)、直連線3根?！緦?shí)驗(yàn)拓?fù)洹客負(fù)淙鐖D5-2-1所示?！緦?shí)驗(yàn)任務(wù)】1.如圖5-2-1所示搭建網(wǎng)絡(luò)環(huán)境，開啟三層交換機(jī)的路由功能和對(duì)應(yīng)的端口路由功能并配置地址，配置PC地址和默認(rèn)網(wǎng)關(guān)。測(cè)試所有設(shè)備之間的連通性（應(yīng)該全通）。上一頁下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第33頁。任務(wù)2標(biāo)準(zhǔn)ACL訪問控制列表實(shí)驗(yàn)二（命名方式）2.設(shè)置標(biāo)準(zhǔn)IP訪問控制列表（命名方式），使得/24網(wǎng)段可以訪問/24網(wǎng)段，但是/24網(wǎng)段不可以訪問/24網(wǎng)段。查看配置和端口的狀態(tài)，并測(cè)試結(jié)果（PC1pingPC3不通，但PC1pingPC2通）。把PC1的地址改成，pingPC3也不通。3.刪除上述ACL，再重新設(shè)置標(biāo)準(zhǔn)IP訪問控制列表（命名方式），使得PC2可以訪問PC3，但是PC1不可以訪問PC3。注意與上一步定義ACL規(guī)則時(shí)的區(qū)別，源IP使用主機(jī)方式指定，不是網(wǎng)段。查看配置和端口的狀態(tài)，并測(cè)試結(jié)果。把PC1的地址改成，pingPC3可以通。4.最后把配置以及ping的結(jié)果截圖打包，以“學(xué)號(hào)姓名”為文件名，提交作業(yè)。上一頁下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第34頁。任務(wù)2標(biāo)準(zhǔn)ACL訪問控制列表實(shí)驗(yàn)二（命名方式）5.使用銳捷設(shè)備（2~3人一組）完成上面的步驟。【實(shí)驗(yàn)命令】1.設(shè)置標(biāo)準(zhǔn)IP訪問控制列表（命名方式），使得/24網(wǎng)段可以訪問/24網(wǎng)段，但是/24網(wǎng)段不可以訪問/24網(wǎng)段。源IP使用網(wǎng)段方式指定，注意命令中的反掩碼。（1）定義規(guī)則：SWA（config）#ipaccess-liststandardaaaSWA（config-std-nacl）#deny55SWA（config-std-nacl）#permit55SWA（config-std-nacl）#permitany上一頁下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第35頁。任務(wù)2標(biāo)準(zhǔn)ACL訪問控制列表實(shí)驗(yàn)二（命名方式）（2）應(yīng)用端口：SWA（config）#interfaceFastEthernet0/3SWA（config-if）#ipaccess-groupaaaout3.刪除指定的標(biāo)準(zhǔn)ACL（命名方式）。R2（config）#noipaccess-liststandardaaa4.設(shè)置標(biāo)準(zhǔn)IP訪問控制列表（命名方式），使得PC2可以訪問PC3，但是PC1不可以訪問PC3。定義ACL規(guī)則時(shí)源IP使用主機(jī)方式指定，不是網(wǎng)段，注意host的使用，不需要反掩碼。（1）定義規(guī)則：SWA（config）#ipaccess-liststandardaaa上一頁下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第36頁。任務(wù)2標(biāo)準(zhǔn)ACL訪問控制列表實(shí)驗(yàn)二（命名方式）SWA（config-std-nacl）#denyhostSWA（config-std-nacl）#permithostSWA（config-std-nacl）#permitany（2）應(yīng)用端口：SWA（config）#interfaceFastEthernet0/3SWA（config-if）#ipaccess-groupaaaout【注意事項(xiàng)】1.注意在三層交換上對(duì)端口設(shè)置地址，要先noswitch開啟端口路由。2.注意標(biāo)準(zhǔn)ACL的編號(hào)方式與命名方式的命令有什么不同。注意網(wǎng)段與主機(jī)的命令有什么不同。上一頁下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第37頁。任務(wù)2標(biāo)準(zhǔn)ACL訪問控制列表實(shí)驗(yàn)二（命名方式）【配置結(jié)果】1.SWA#showaccess-lists：StandardIPaccesslistaaadeny55permit55permitany2.SWA#showaccess-lists：StandardIPaccesslistaaadenyhostpermithost上一頁下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第38頁。任務(wù)2標(biāo)準(zhǔn)ACL訪問控制列表實(shí)驗(yàn)二（命名方式）permitany3.SWA#showrunning-config：Buildingconfiguration...Currentconfiguration：1382bytesversion12.2noservicepassword-encryptionhostnameSwitchAipsshversion1port-channelload-balancesrc-macinterfaceFastEthernet0/1上一頁下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第39頁。任務(wù)2標(biāo)準(zhǔn)ACL訪問控制列表實(shí)驗(yàn)二（命名方式）noswitchportipaddressduplexautospeedautointerfaceFastEthernet0/2noswitchportipaddressduplexautospeedautointerfaceFastEthernet0/3上一頁下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第40頁。任務(wù)2標(biāo)準(zhǔn)ACL訪問控制列表實(shí)驗(yàn)二（命名方式）noswitchportipaddressipaccess-groupaaaoutduplexautospeedautointerfaceFastEthernet0/4interfaceFastEthernet0/5interfaceFastEthernet0/6interfaceFastEthernet0/7interfaceFastEthernet0/8上一頁下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第41頁。任務(wù)2標(biāo)準(zhǔn)ACL訪問控制列表實(shí)驗(yàn)二（命名方式）interfaceFastEthernet0/9interfaceFastEthernet0/10interfaceFastEthernet0/11interfaceFastEthernet0/12interfaceFastEthernet0/13interfaceFastEthernet0/14interfaceFastEthernet0/15interfaceFastEthernet0/16interfaceFastEthernet0/17interfaceFastEthernet0/18interfaceFastEthernet0/19上一頁下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第42頁。任務(wù)2標(biāo)準(zhǔn)ACL訪問控制列表實(shí)驗(yàn)二（命名方式）interfaceFastEthernet0/20interfaceFastEthernet0/21interfaceFastEthernet0/22interfaceFastEthernet0/23interfaceFastEthernet0/24interfaceGigabitEthernet0/1interfaceGigabitEthernet0/2interfaceVlan1noipaddressshutdown上一頁下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第43頁。任務(wù)2標(biāo)準(zhǔn)ACL訪問控制列表實(shí)驗(yàn)二（命名方式）ipclasslessipaccess-liststandardaaadenyhostpermithostpermitanylinecon0linevty04loginend上一頁下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第44頁。任務(wù)2標(biāo)準(zhǔn)ACL訪問控制列表實(shí)驗(yàn)二（命名方式）【技術(shù)原理】1.創(chuàng)建命名方式StandardIPACL的命令格式。IPaccess-liststandard{name}deny{sourcesource-wildcard|hostsource|any}orpermit{sourcesource-wildcard|hostsource|any}用數(shù)字或名字來定義一條StandardIPACL并進(jìn)入access-list配置模式。在access-list配置模式，聲明一個(gè)或多個(gè)的允許通過（permit）或丟棄（deny）的條件以用于交換機(jī)決定報(bào)文是轉(zhuǎn)發(fā)還是丟棄。上一頁下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第45頁。任務(wù)2標(biāo)準(zhǔn)ACL訪問控制列表實(shí)驗(yàn)二（命名方式）hostsource代表一臺(tái)源主機(jī)，其source-wildcard為。any代表任意主機(jī)，即source為，source-wild為55。2.通配符掩碼。通配符掩碼的作用與子網(wǎng)掩碼類似，與IP地址一起使用，以確定某個(gè)主機(jī)或某網(wǎng)段（或子網(wǎng)或超網(wǎng)）的所有主機(jī)。通配符掩碼也是32b的二進(jìn)制數(shù)，與子網(wǎng)掩碼相反，它的高位是連續(xù)的0，低位是連續(xù)的1。它也常用點(diǎn)分十進(jìn)制來表示。IP地址與通配符掩碼的作用規(guī)則是：32b的IP地址與32b的通配符掩碼逐位進(jìn)行比較，通配符為0的位要求IP地址的對(duì)應(yīng)位必須匹配，通配符為1的位所對(duì)應(yīng)的IP地址的位不必匹配，可為0或1。例如：上一頁下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第46頁。任務(wù)2標(biāo)準(zhǔn)ACL訪問控制列表實(shí)驗(yàn)二（命名方式）IP地址|11000000101010000000000100000000通配符掩碼55|00000000000000000000000011111111該通配符掩碼的前24b為0，對(duì)應(yīng)的IP地址位必須匹配，即必須保持原數(shù)值不變。該通配符掩碼的后8b為1，對(duì)應(yīng)的IP地址位不必匹配，即IP地址的最后8b的值可以任取，就是說，可在00000000～11111111取值。換句話說，55代表的就是IP地址.1～54共254個(gè)。又如：IP地址6|10000000001000000000010000010000通配符掩碼5|00000000000000000000000000001111上一頁下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第47頁。任務(wù)2標(biāo)準(zhǔn)ACL訪問控制列表實(shí)驗(yàn)二（命名方式）該通配符掩碼的前28b為0，要求匹配，后4b為1，不必匹配。即是說，對(duì)應(yīng)的IP地址前28b的值固定不變，后4b的值可以改變。這樣，該IP地址的前24b用點(diǎn)分十進(jìn)制表示仍為128.32.4，最后8b則為00010000～00011111，即16～31。即5代表的是IP地址6～1共16個(gè)。上一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第48頁。任務(wù)3擴(kuò)展ACL訪問控制列表實(shí)驗(yàn)一（編號(hào)方式）【學(xué)習(xí)情境】假設(shè)你是某公司的網(wǎng)絡(luò)管理員，公司的網(wǎng)段劃分如下：銷售部網(wǎng)段、經(jīng)理部網(wǎng)段、內(nèi)網(wǎng)WWW和FTP服務(wù)器網(wǎng)段，為了安全起見，公司領(lǐng)導(dǎo)要求禁止銷售部/24網(wǎng)段訪問內(nèi)網(wǎng)服務(wù)器的WWW和FTP，但經(jīng)理部不受限制。要求使用編號(hào)方式進(jìn)行擴(kuò)展ACL的制定和應(yīng)用。【學(xué)習(xí)目的】1.了解擴(kuò)展訪問控制列表進(jìn)行網(wǎng)絡(luò)流量的控制原理和方法。2.掌握編號(hào)方式擴(kuò)展訪問控制列表的制定規(guī)則與配置方法。3.掌握網(wǎng)段和主機(jī)在制定規(guī)則時(shí)的命令區(qū)別。4.掌握訪問控制列表在不同端口上進(jìn)行應(yīng)用的區(qū)別和應(yīng)用原則。下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第49頁。任務(wù)3擴(kuò)展ACL訪問控制列表實(shí)驗(yàn)一（編號(hào)方式）【相關(guān)設(shè)備】路由器2臺(tái)、V.35線纜1對(duì)、PC2臺(tái)、交叉線3根、服務(wù)器1臺(tái)?！緦?shí)驗(yàn)拓?fù)洹客負(fù)淙鐖D5-3-1所示?！緦?shí)驗(yàn)任務(wù)】1.如圖5-3-1所示搭建網(wǎng)絡(luò)環(huán)境，并對(duì)兩個(gè)路由器關(guān)閉電源，分別擴(kuò)展一個(gè)異步高速串口模塊（WIC-2T）。兩個(gè)路由器之間使用V.35的同步線纜連接，RouterA的S0/1口連接的是DCE端，RouterB的S0/1口連接的是DTE端。配置RouterA和RouterB的S0/1口地址，在RouterA的S0/1口上配置同步時(shí)鐘為64000。配置其他端口及設(shè)備的地址，PC要配置默認(rèn)網(wǎng)關(guān)。上一頁下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第50頁。任務(wù)3擴(kuò)展ACL訪問控制列表實(shí)驗(yàn)一（編號(hào)方式）2.查看服務(wù)器的WWW設(shè)置（圖5-3-2），查看服務(wù)器的FTP設(shè)置（圖5-3-3），可以進(jìn)行個(gè)性化的修改和設(shè)置。3.在RouterA上配置缺省路由為；在RouterB上配置缺省路由為。測(cè)試所有設(shè)備之間的連通性（應(yīng)該全通），在PC1和PC2上測(cè)試遠(yuǎn)程訪問服務(wù)器的WWW服務(wù)，在PC1和PC2上測(cè)試遠(yuǎn)程訪問服務(wù)器的WWW服務(wù)（圖5-3-4）FTP服務(wù)（圖5-3-5），要都能訪問成功，這是實(shí)驗(yàn)的基礎(chǔ)。4.設(shè)置擴(kuò)展IP訪問控制列表（編號(hào)方式），禁止/24網(wǎng)段訪問/24網(wǎng)段的80和21端口，其他不受影響。查看配置和端口的狀態(tài)，并測(cè)試結(jié)果（PC1不能再對(duì)服務(wù)器進(jìn)行WWW和FTP訪問，PC1ping服務(wù)器通，但PC2可以對(duì)服務(wù)器進(jìn)行WWW和FTP訪問，PC2ping服務(wù)器通）。把PC1的地址改成，PC1仍然不對(duì)服務(wù)器進(jìn)行WWW和FTP訪問，PC1ping服務(wù)器通。上一頁下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第51頁。任務(wù)3擴(kuò)展ACL訪問控制列表實(shí)驗(yàn)一（編號(hào)方式）5.刪除上述擴(kuò)展ACL，再重新設(shè)置擴(kuò)展IP訪問控制列表（編號(hào)方式），禁止PC1主機(jī)訪問/24的80和21端口，其他不受影響。查看配置和端口的狀態(tài)，并測(cè)試結(jié)果（PC1不能再對(duì)服務(wù)器進(jìn)行WWW和FTP訪問，PC1ping服務(wù)器通，但PC2可以對(duì)服務(wù)器進(jìn)行WWW和FTP訪問，PC2ping服務(wù)器通）。把PC1的地址改成，PC1可以對(duì)服務(wù)器進(jìn)行WWW和FTP訪問，PC1pingSwitchB通。6.最后把配置以及ping的結(jié)果截圖打包，以“學(xué)號(hào)姓名”為文件名，提交作業(yè)?！緦?shí)驗(yàn)命令】1.設(shè)置擴(kuò)展IP訪問控制列表（編號(hào)方式），禁止/24網(wǎng)段訪問/24網(wǎng)段的80和21端口，其他不受影響。上一頁下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第52頁。任務(wù)3擴(kuò)展ACL訪問控制列表實(shí)驗(yàn)一（編號(hào)方式）（1）定義規(guī)則：RouterB（config）#access-list101denytcp5555eqwwwRouterB（config）#access-list101denytcp5555eqftpRouterB（config）#access-list101permitipanyany（2）應(yīng)用端口：R2（config）#interfaceFastethernet0/0R2（config-if）#ipaccess-group101out注意：此實(shí)驗(yàn)也可以在RouterA上定義規(guī)則，在RouterA的F0/0口進(jìn)行入棧應(yīng)用。上一頁下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第53頁。任務(wù)3擴(kuò)展ACL訪問控制列表實(shí)驗(yàn)一（編號(hào)方式）3.重新設(shè)置擴(kuò)展IP訪問控制列表（編號(hào)方式），禁止PC1主機(jī)訪問/24的80和21端口，其他不受影響。（1）定義規(guī)則：RouterB（config）#access-list101denytcphosthosteq80RouterB（config）#access-list101denytcphosthosteq21RouterB（config）#access-list101permitipanyany（2）應(yīng)用端口：RouterB（config）#interfaceFastEthernet0/0RouterB（config-if）#ipaccess-group101out上一頁下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第54頁。任務(wù)3擴(kuò)展ACL訪問控制列表實(shí)驗(yàn)一（編號(hào)方式）【注意事項(xiàng)】定義規(guī)則時(shí)，每條規(guī)則的順序不同，其結(jié)果大不一樣。所以要注意每條規(guī)則的前后順序，有某條規(guī)則不符合自己的設(shè)計(jì)或要求時(shí)，要將其先no掉，再重新設(shè)置。1.按從頭到尾、至頂向下的方式進(jìn)行匹配：匹配成功馬上停止，立刻使用該規(guī)則的“允許、拒絕、……”。2.一切未被允許的就是禁止的：路由器或三層交換機(jī)缺省允許所有的信息流通過；而防火墻缺省封鎖所有的信息流，然后對(duì)希望提供的服務(wù)逐項(xiàng)開放。3.定義規(guī)則時(shí)選擇的路由器（或三層交換機(jī)）與應(yīng)用規(guī)則時(shí)選擇的端口要以保護(hù)對(duì)象最近為原則，應(yīng)用的時(shí)候是入棧還是出棧要以信息是從路由器（或三層交換機(jī)）流入還是流出為判斷標(biāo)準(zhǔn)。上一頁下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第55頁。任務(wù)3擴(kuò)展ACL訪問控制列表實(shí)驗(yàn)一（編號(hào)方式）4.按規(guī)則鏈來進(jìn)行匹配：使用源地址、目的地址、源端口、目的端口、協(xié)議、時(shí)間段進(jìn)行匹配。注意：如果報(bào)文在與指定接口上的ACL的所有ACE進(jìn)行逐條比較后，沒有任意ACE的匹配條件匹配該報(bào)文，則該報(bào)文將被丟棄。也就是說，任意一條ACL的最后都隱含了一條denyanyany的ACE表項(xiàng)?！九渲媒Y(jié)果】1.RouterA#showiproute：Codes：C-connected，S-static，I-IGRP，R-RIP，M-mobile，B-BGPD-EIGRP，EX-EIGRPexternal，O-OSPF，IA-OSPFinterarea上一頁下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第56頁。任務(wù)3擴(kuò)展ACL訪問控制列表實(shí)驗(yàn)一（編號(hào)方式）N1-OSPFNSSAexternaltype1，N2-OSPFNSSAexternaltype2E1-OSPFexternaltype1，E2-OSPFexternaltype2，E-EGPi-IS-IS，L1-IS-ISlevel-1，L2-IS-ISlevel-2，ia-IS-ISinterarea*-candidatedefault，U-per-userstaticroute，o-ODRP-periodicdownloadedstaticrouteGatewayoflastresortistonetwork/24issubnetted，3subnetsCisdirectlyconnected，F(xiàn)astEthernet0/0Cisdirectlyconnected，F(xiàn)astEthernet0/1Cisdirectlyconnected，Serial0/1上一頁下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第57頁。任務(wù)3擴(kuò)展ACL訪問控制列表實(shí)驗(yàn)一（編號(hào)方式）S*/0［1/0］via2.RouterB#showiprout：RouterB#showiprouteCodes：C-connected，S-static，I-IGRP，R-RIP，M-mobile，B-BGPD-EIGRP，EX-EIGRPexternal，O-OSPF，IA-OSPFinterareaN1-OSPFNSSAexternaltype1，N2-OSPFNSSAexternaltype2E1-OSPFexternaltype1，E2-OSPFexternaltype2，E-EGPi-IS-IS，L1-IS-ISlevel-1，L2-IS-ISlevel-2，ia-IS-ISinterarea上一頁下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第58頁。任務(wù)3擴(kuò)展ACL訪問控制列表實(shí)驗(yàn)一（編號(hào)方式）*-candidatedefault，U-per-userstaticroute，o-ODRP-periodicdownloadedstaticrouteGatewayoflastresortistonetwork/24issubnetted，2subnetsCisdirectlyconnected，Serial0/1Cisdirectlyconnected，F(xiàn)astEthernet0/0S*/0［1/0］via3.RouterB#showaccess-lists：ExtendedIPaccesslist101denytcp5555eqwww上一頁下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第59頁。任務(wù)3擴(kuò)展ACL訪問控制列表實(shí)驗(yàn)一（編號(hào)方式）denytcp5555eqftppermitipanyany4.RouterB#showaccess-lists：ExtendedIPaccesslist101denytcphosthosteq80denytcphosthosteq21permitipanyany5.RouterB#showrunning-config：Buildingconfiguration...Currentconfiguration：596bytesversion12.2上一頁下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第60頁。任務(wù)3擴(kuò)展ACL訪問控制列表實(shí)驗(yàn)一（編號(hào)方式）noservicepassword-encryptionhostnameRouterBipsshversion1interfaceFastEthernet0/0ipaddressipaccess-group101outduplexautospeedautointerfaceFastEthernet0/1noipaddressduplexauto上一頁下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第61頁。任務(wù)3擴(kuò)展ACL訪問控制列表實(shí)驗(yàn)一（編號(hào)方式）speedautointerfaceSerial0/0noipaddressshutdowninterfaceSerial0/1ipaddressipclasslessiprouteaccess-list101denytcphosthosteq80access-list101denytcphosthosteq21上一頁下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第62頁。任務(wù)3擴(kuò)展ACL訪問控制列表實(shí)驗(yàn)一（編號(hào)方式）access-list101permitipanyanylinecon0linevty04loginEnd【技術(shù)原理】1.創(chuàng)建編號(hào)方式的擴(kuò)展IP訪問列表。擴(kuò)展訪問列表除了能與標(biāo)準(zhǔn)訪問列表一樣基于源IP地址對(duì)數(shù)據(jù)包進(jìn)行過濾外，還可以基于目標(biāo)IP地址，基于網(wǎng)絡(luò)層、傳輸層和應(yīng)用層協(xié)議或者端口號(hào)對(duì)數(shù)據(jù)包進(jìn)行控制。在全局配置模式下，命令格式為：上一頁下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第63頁。任務(wù)3擴(kuò)展ACL訪問控制列表實(shí)驗(yàn)一（編號(hào)方式）access-listnumberdeny|permitprotocol|protocol-keywordsource-ipwildcardmaskdestination-ipwildcardmask［otherparameters］一條控制列表可以包含一系列檢查條件。即可以用同一標(biāo)識(shí)號(hào)碼定義一系列accesslist語句，路由器將從最先定義的條件開始依次檢查，如數(shù)據(jù)包滿足某個(gè)語句的條件，則執(zhí)行該語句；如果數(shù)據(jù)包不滿足規(guī)則中的所有條件，路由器默認(rèn)禁止該數(shù)據(jù)包通過，即丟掉該數(shù)據(jù)包。也可以認(rèn)為，路由器在訪問列表最后默認(rèn)一條禁止所有數(shù)據(jù)包通過的語句。2.常用的協(xié)議及其端口號(hào)，如表5-3-1所示。上一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第64頁。任務(wù)4擴(kuò)展ACL訪問控制列表實(shí)驗(yàn)二（命名方式）【學(xué)習(xí)情境】假設(shè)你是某公司的網(wǎng)絡(luò)管理員，公司的網(wǎng)段劃分如下：銷售部網(wǎng)段、經(jīng)理部網(wǎng)段、內(nèi)網(wǎng)WWW和FTP服務(wù)器網(wǎng)段，為了安全起見，公司領(lǐng)導(dǎo)要求禁止銷售部/24網(wǎng)段訪問內(nèi)網(wǎng)WWW和FTP服務(wù)器的Telnet端口，但經(jīng)理部不受限制。要求使用命名方式進(jìn)行擴(kuò)展ACL的制定和應(yīng)用?！緦W(xué)習(xí)目的】1.掌握命名方式擴(kuò)展訪問控制列表的制定規(guī)則與配置方法。2.鞏固三層交換機(jī)的端口路由功能和在三層交換機(jī)上進(jìn)行擴(kuò)展ACL的應(yīng)用。下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第65頁。任務(wù)4擴(kuò)展ACL訪問控制列表實(shí)驗(yàn)二（命名方式）【相關(guān)設(shè)備】三層交換機(jī)1臺(tái)、二層交換機(jī)1臺(tái)（模擬外網(wǎng)服務(wù)器）、直連線3根?！緦?shí)驗(yàn)拓?fù)洹客負(fù)淙鐖D5-4-1所示。【實(shí)驗(yàn)任務(wù)】1.如圖5-4-1所示搭建網(wǎng)絡(luò)環(huán)境，開啟三層交換機(jī)的路由功能和對(duì)應(yīng)的端口路由功能并配置地址，配置PC、SWB的地址和默認(rèn)網(wǎng)關(guān)，設(shè)置SWB的遠(yuǎn)程登錄密碼為wjxvtc。測(cè)試所有設(shè)備之間的連通性（應(yīng)該全通）。在PC1和PC2遠(yuǎn)程登錄SWB，測(cè)試telnet命令及連通性。上一頁下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第66頁。任務(wù)4擴(kuò)展ACL訪問控制列表實(shí)驗(yàn)二（命名方式）2.設(shè)置擴(kuò)展IP訪問控制列表（命名方式），禁止/24網(wǎng)段訪問/24網(wǎng)段的Telnet端口，其他不受影響。查看配置和端口的狀態(tài)，并測(cè)試結(jié)果（PC1telnetSWB不通，PC1pingSWB通，但PC2telnetSWB通，PC2pingSWB通）。把PC1的地址改成，PC1telnetSWB仍然不通，PC1pingSWB通。3.刪除上述擴(kuò)展ACL，再重新設(shè)置擴(kuò)展IP訪問控制列表（命名方式），禁止PC1主機(jī)訪問/24的Telnet端口，其他不受影響。查看配置和端口的狀態(tài)，并測(cè)試結(jié)果（PC1telnetSWB不通，PC1pingSWB通，但PC2telnetSWB通，PC2pingSWB通）。把PC1的地址改成，PC1telnetSWB通，PC1pingSWB通。上一頁下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第67頁。任務(wù)4擴(kuò)展ACL訪問控制列表實(shí)驗(yàn)二（命名方式）4.最后把配置以及ping的結(jié)果截圖打包，以“學(xué)號(hào)姓名”為文件名，提交作業(yè)。5.使用銳捷設(shè)備（2~3人一組）完成上面的步驟，將SWB改成一臺(tái)PC?！緦?shí)驗(yàn)命令】1.設(shè)置擴(kuò)展IP訪問控制列表（命名方式），禁止/24網(wǎng)段訪問/24網(wǎng)段的Telnet端口，其他不受影響。（1）定義規(guī)則：SWA（config）#ipaccess-listextendedaaaSWA（config-ext-nacl）#denytcp55上一頁下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第68頁。任務(wù)4擴(kuò)展ACL訪問控制列表實(shí)驗(yàn)二（命名方式）55eqtelnetSWA（config-ext-nacl）#permitipanyany（2）應(yīng)用端口：SWA（config）#interfaceFastEthernet0/3SWA（config-if）#ipaccess-groupaaaout2.重新設(shè)置擴(kuò)展IP訪問控制列表（命名方式），禁止PC1主機(jī)訪問/24的Telnet端口，其他不受影響。（1）定義規(guī)則：SWA（config）#ipaccess-listextendedaaaSWA（config-ext-nacl）#denytcphosthosteqtelnet上一頁下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第69頁。任務(wù)4擴(kuò)展ACL訪問控制列表實(shí)驗(yàn)二（命名方式）SWA（config-ext-nacl）#permitipanyany（2）應(yīng)用端口：SWA（config）#interfaceFastEthernet0/3SWA（config-if）#ipaccess-groupaaaout【注意事項(xiàng)】1.測(cè)試結(jié)果應(yīng)該如圖5-4-2所示：PC1pingSWB通，但是PC1telnetSWB不通。2.PC2pingSWB通，PC2telnetSWB也通，如圖5-4-3。上一頁下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第70頁。任務(wù)4擴(kuò)展ACL訪問控制列表實(shí)驗(yàn)二（命名方式）【配置結(jié)果】1.SWA#showiproute：Codes：C-connected，S-static，I-IGRP，R-RIP，M-mobile，B-BGPD-EIGRP，EX-EIGRPexternal，O-OSPF，IA-OSPFinterareaN1-OSPFNSSAexternaltype1，N2-OSPFNSSAexternaltype2E1-OSPFexternaltype1，E2-OSPFexternaltype2，E-EGPi-IS-IS，L1-IS-ISlevel-1，L2-IS-ISlevel-2，ia-IS-ISinterarea*-candidatedefault，U-per-userstaticroute，o-ODR上一頁下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第71頁。任務(wù)4擴(kuò)展ACL訪問控制列表實(shí)驗(yàn)二（命名方式）P-periodicdownloadedstaticrouteGatewayoflastresortisnotset/24issubnetted，3subnetsCisdirectlyconnected，F(xiàn)astEthernet0/1Cisdirectlyconnected，F(xiàn)astEthernet0/2Cisdirectlyconnected，F(xiàn)astEthernet0/32.SWA#showaccess-lists：ExtendedIPaccesslistaaadenytcp5555eqtelnet（11match（es））permitipanyany（15match（es））上一頁下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第72頁。任務(wù)4擴(kuò)展ACL訪問控制列表實(shí)驗(yàn)二（命名方式）3.SWA#showaccess-lists：ExtendedIPaccesslistaaadenytcphosthosteqtelnet（11match（es））permitipanyany（15match（es））4.SWA#showrunning-config：Buildingconfiguration...Currentconfiguration：1369bytesversion12.2noservicepassword-encryptionhostnameSwitchA上一頁下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第73頁。任務(wù)4擴(kuò)展ACL訪問控制列表實(shí)驗(yàn)二（命名方式）iproutingipsshversion1port-channelload-balancesrc-macinterfaceFastEthernet0/1noswitchportipaddressduplexautospeedautointerfaceFastEthernet0/2noswitchport上一頁下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第74頁。任務(wù)4擴(kuò)展ACL訪問控制列表實(shí)驗(yàn)二（命名方式）ipaddressduplexautospeedautointerfaceFastEthernet0/3noswitchportipaddressipaccess-groupaq1111outduplexautospeedautointerfaceFastEthernet0/4上一頁下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第75頁。任務(wù)4擴(kuò)展ACL訪問控制列表實(shí)驗(yàn)二（命名方式）interfaceFastEthernet0/5interfaceFastEthernet0/6interfaceFastEthernet0/7interfaceFastEthernet0/8interfaceFastEthernet0/9interfaceFastEthernet0/10interfaceFastEthernet0/11interfaceFastEthernet0/12interfaceFastEthernet0/13interfaceFastEthernet0/14上一頁下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第76頁。任務(wù)4擴(kuò)展ACL訪問控制列表實(shí)驗(yàn)二（命名方式）interfaceFastEthernet0/15interfaceFastEthernet0/16interfaceFastEthernet0/17interfaceFastEthernet0/18interfaceFastEthernet0/19interfaceFastEthernet0/20interfaceFastEthernet0/21interfaceFastEthernet0/22interfaceFastEthernet0/23interfaceFastEthernet0/24上一頁下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第77頁。任務(wù)4擴(kuò)展ACL訪問控制列表實(shí)驗(yàn)二（命名方式）interfaceGigabitEthernet0/1interfaceGigabitEthernet0/2interfaceVlan1noipaddressshutdownipclasslessipaccess-listextendedaq1111denytcphosthosteqtelnetpermitipanyanylinecon0上一頁下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第78頁。任務(wù)4擴(kuò)展ACL訪問控制列表實(shí)驗(yàn)二（命名方式）linevty04loginEnd【技術(shù)原理】1.創(chuàng)建命名方式的擴(kuò)展IP訪問控制列表。IPaccess-listextended{name}{deny|permit}protocol{sourcesource-wildcard|hostsource|any}［operatorport］{destinationdestination-wildcard|hostdestination|any}［operatorport］用數(shù)字或名字來定義一條ExtendedIPACL并進(jìn)入access-list配置模式。上一頁下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第79頁。任務(wù)4擴(kuò)展ACL訪問控制列表實(shí)驗(yàn)二（命名方式）在access-list配置模式，聲明一個(gè)或多個(gè)的允許通過（permit）或丟棄（deny）的條件以用于交換機(jī)決定匹配條件的報(bào)文是轉(zhuǎn)發(fā)還是丟棄。以如下方式定義TCP或UDP的目的或源端口：（1）操作符（opreator）只能為eq。（2）如果操作符在sourcesource-wildcard之后，則報(bào)文的源端口匹配指定值時(shí)條件生效。（3）如果操作符在destinationdestination-wildcard之后，則報(bào)文的目的端口匹配指定值時(shí)條件生效。（4）Port為10進(jìn)制值，它代表TCP或UDP的端口號(hào)。值范圍為0~65535。（5）protocol可以為IP、TCP、UDP、IGMP、ICMP協(xié)議。上一頁下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第80頁。任務(wù)4擴(kuò)展ACL訪問控制列表實(shí)驗(yàn)二（命名方式）2.補(bǔ)充創(chuàng)建MACExtendedACL案例。配置MACExtendedACL的過程，與配置IP擴(kuò)展ACL的配置過程是類似的。下例顯示如何創(chuàng)建及顯示一條MACExtendedACL，以名字MACext來命名之。該MAC擴(kuò)展ACL拒絕所有符合指定源MAC地址的aarp報(bào)文。Switch（config）#MACaccess-listextendedMACextSwitch（config-ext-MACl）#denyhost00d0.f800.0000anyaarpSwitch（config-ext-MACl）#permitanyany上一頁下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第81頁。任務(wù)4擴(kuò)展ACL訪問控制列表實(shí)驗(yàn)二（命名方式）Switch（config-ext-MACl）#endSwitch#showaccess-listsMACextExtendedMACaccesslistMACextdenyhost00d0.f800.0000anyaarppermitanyany上一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第82頁。任務(wù)5擴(kuò)展ACL訪問控制列表實(shí)驗(yàn)三（VTY訪問限制）【學(xué)習(xí)情境】假設(shè)你是某公司的網(wǎng)絡(luò)管理員，公司的網(wǎng)段劃分如下：銷售部網(wǎng)段、經(jīng)理部網(wǎng)段、內(nèi)網(wǎng)WWW和FTP服務(wù)器網(wǎng)段，為了安全起見，公司領(lǐng)導(dǎo)要求禁止銷售部/24網(wǎng)段訪問內(nèi)網(wǎng)WWW和FTP服務(wù)器的Telnet端口，但經(jīng)理部不受限制。要求使用編號(hào)方式在三層交換機(jī)的VTY上進(jìn)行標(biāo)準(zhǔn)ACL的應(yīng)用，增強(qiáng)遠(yuǎn)程登錄的安全性?！緦W(xué)習(xí)目的】1.掌握命名方式擴(kuò)展訪問控制列表的制定規(guī)則與配置方法。2.鞏固三層交換機(jī)的SVI路由功能和在三層交換機(jī)的VTY上進(jìn)行擴(kuò)展ACL的應(yīng)用。下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第83頁。任務(wù)5擴(kuò)展ACL訪問控制列表實(shí)驗(yàn)三（VTY訪問限制）【相關(guān)設(shè)備】三層交換機(jī)1臺(tái)、二層交換機(jī)1臺(tái)（模擬外網(wǎng)服務(wù)器）、直連線3根?！緦?shí)驗(yàn)拓?fù)洹客負(fù)淙鐖D5-5-1所示?！緦?shí)驗(yàn)任務(wù)】1.如圖5-5-1所示搭建網(wǎng)絡(luò)環(huán)境，對(duì)三層交換機(jī)建立相應(yīng)的VLAN，加入對(duì)應(yīng)端口并配置SVI地址，形成路由。2.配置PC、SWB的地址和默認(rèn)網(wǎng)關(guān)，設(shè)置SWB的遠(yuǎn)程登錄密碼為wjxvtc。測(cè)試所有設(shè)備之間的連通性（應(yīng)該全通）。在PC1和PC2遠(yuǎn)程登錄SWB，測(cè)試telnet命令及連通性。上一頁下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第84頁。任務(wù)5擴(kuò)展ACL訪問控制列表實(shí)驗(yàn)三（VTY訪問限制）3.設(shè)置擴(kuò)展IP訪問控制列表（命名方式），禁止/24網(wǎng)段訪問/24網(wǎng)段的Telnet端口，其他不受影響。查看配置和端口的狀態(tài)，并測(cè)試結(jié)果（PC1telnetSWB不通，PC1pingSWB通，但PC2telnetSWB通，PC2pingSWB通）。把PC1的地址改成，PC1telnetSWB仍然不通，PC1pingSWB通。4.對(duì)三層交換機(jī)SWA配置遠(yuǎn)程登錄密碼為wjxvtc，特權(quán)密碼為abcdef（加密方式）。5.設(shè)置標(biāo)準(zhǔn)IP訪問控制列表（編號(hào)方式），只允許PC1可以對(duì)三層交換機(jī)SWA進(jìn)行遠(yuǎn)程登錄。測(cè)試結(jié)果（PC1可以telnetSWA，PC2不能telnetSWA）。6.最后把配置以及ping的結(jié)果截圖打包，以“學(xué)號(hào)姓名”為文件名，提交作業(yè)。上一頁下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第85頁。任務(wù)5擴(kuò)展ACL訪問控制列表實(shí)驗(yàn)三（VTY訪問限制）7.使用銳捷設(shè)備（2~3人一組）完成上面的步驟，將SWB改成一臺(tái)PC?！緦?shí)驗(yàn)命令】1.對(duì)三層交換機(jī)SWA配置遠(yuǎn)程登錄密碼為wjxvtc，特權(quán)密碼為abcdef（加密方式）。SWA（config）#linevty015SWA（config-line）#passwordwjxvtcSWA（config-line）#loginSWA（config-line）#exitSWA（config）#enablesecretabcdef上一頁下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第86頁。任務(wù)5擴(kuò)展ACL訪問控制列表實(shí)驗(yàn)三（VTY訪問限制）2.設(shè)置標(biāo)準(zhǔn)IP訪問控制列表（編號(hào)方式），只允許PC1可以對(duì)三層交換機(jī)SWA進(jìn)行遠(yuǎn)程登錄。（1）定義規(guī)則：SWA（config）#access-list9permithostSWA（config）#access-list9denyany（2）應(yīng)用端口：SWA（config）#linevty015SWA（config-line）#access-class9in上一頁下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第87頁。任務(wù)5擴(kuò)展ACL訪問控制列表實(shí)驗(yàn)三（VTY訪問限制）【注意事項(xiàng)】1.比較在三層交換機(jī)上進(jìn)行VLAN地址設(shè)置和進(jìn)行端口地址設(shè)置的區(qū)別和相同點(diǎn)。2.注意在三層交換機(jī)VTY上進(jìn)行標(biāo)準(zhǔn)ACL應(yīng)用的access-class9in命令?！九渲媒Y(jié)果】1.SWA#showiproute：Codes：C-connected，S-static，I-IGRP，R-RIP，M-mobile，B-BGPD-EIGRP，EX-EIGRPexternal，O-OSPF，IA-OSPFinterarea上一頁下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第88頁。任務(wù)5擴(kuò)展ACL訪問控制列表實(shí)驗(yàn)三（VTY訪問限制）N1-OSPFNSSAexternaltype1，N2-OSPFNSSAexternaltype2E1-OSPFexternaltype1，E2-OSPFexternaltype2，E-EGPi-IS-IS，L1-IS-ISlevel-1，L2-IS-ISlevel-2，ia-IS-ISinterarea*-candidatedefault，U-per-userstaticroute，o-ODRP-periodicdownloadedstaticrouteGatewayoflastresortisnotset/24issubnetted，3subnetsCisdirectlyconnected，Vlan10Cisdirectlyconnected，Vlan20Cisdirectlyconnected，Vlan30上一頁下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第89頁。任務(wù)5擴(kuò)展ACL訪問控制列表實(shí)驗(yàn)三（VTY訪問限制）2.SWB#showrunning-config：Buildingconfiguration...Currentconfiguration：1053bytesversion12.1noservicepassword-encryptionhostnameSwitchBenablesecret5＄1＄mERr＄OAZJyntnash.EflFFzcMJ1interfaceFastEthernet0/1interfaceFastEthernet0/2interfaceFastEthernet0/3interfaceFastEthernet0/4上一頁下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第90頁。任務(wù)5擴(kuò)展ACL訪問控制列表實(shí)驗(yàn)三（VTY訪問限制）interfaceFastEthernet0/5interfaceFastEthernet0/6interfaceFastEthernet0/7interfaceFastEthernet0/8interfaceFastEthernet0/9interfaceFastEthernet0/10interfaceFastEthernet0/11interfaceFastEthernet0/12interfaceFastEthernet0/13interfaceFastEthernet0/14interfaceFastEthernet0/15上一頁下一頁返回網(wǎng)絡(luò)安全配置全文共119頁，當(dāng)前為第91頁。任務(wù)5擴(kuò)展ACL訪問控制列表實(shí)驗(yàn)三（VTY訪問限制）interfaceFastEther