項目三配置網(wǎng)絡層安全

項目3配置網(wǎng)絡層安全職業(yè)教育網(wǎng)絡信息安全“十三五”規(guī)劃教材”網(wǎng)絡空間安全”賽項大賽資源轉(zhuǎn)化教材機械工業(yè)出版社

網(wǎng)絡層是OSI參考模型中的第三層，最基本的功能是將數(shù)據(jù)設法從源端經(jīng)過若干個中間節(jié)點傳送到目的端，從而向運輸層提供最基本的端到端的數(shù)據(jù)傳送服務。本項目以交換式以太網(wǎng)技術(shù)為基礎，分析網(wǎng)絡層的不安全因素，有針對性地采用相應的解決思路和操作方法。通過該項目學習，能夠通過ICMP報文的分析來理解ICMP協(xié)議工作過程；能夠采用策略路由、被動接口、分發(fā)列表等技術(shù)實現(xiàn)路由的選擇與控制；能夠使用訪問控制列表ACL配置針對不同的網(wǎng)絡數(shù)據(jù)流實施有效的訪問限制和行為約束，通過NAT技術(shù)實現(xiàn)內(nèi)外網(wǎng)安全互訪功能，實現(xiàn)用戶接入Internet需求；能夠采用IP源防護技術(shù)，合理解決DHCP動態(tài)地址分配環(huán)境下IP源地址欺騙問題。本章導讀Thechapter’sintroduction任務1ICMP協(xié)議任務描述

使用工具軟件對ICMP協(xié)議數(shù)據(jù)包進行分析，對各類ICMP報頭各字段進行解析。進一步了解ICMP重定向報文欺騙攻擊，如圖3-1-1所示。任務1ICMP協(xié)議圖3-1-1網(wǎng)絡拓撲圖任務1ICMP協(xié)議任務分析根據(jù)要求設定實驗環(huán)境，搭建基礎網(wǎng)絡，啟用協(xié)議分析軟件對ping數(shù)據(jù)包實行捕獲，并進行分析。任務1ICMP協(xié)議任務實施一、ICMP協(xié)議分析（一）設定實驗環(huán)境按照拓撲圖完成物理連接，配置主機、路由器各端口地址，具體配置如下：RA(config)#interfaceFastEthernet0/0!進入F0/0端口組模式RA(config-if)#ipaddress54!設置端口IP地址為54RA(config)#interfaceFastEthernet0/1!進入F0/2端口組模式RA(config-if)#ipaddress!設置端口IP地址為RB(config)#interfaceFastEthernet0/0!進入F0/0端口組模式RB(config-if)#ipaddress!設置端口IP地址為RB(config)#interfaceFastEthernet0/1!進入F0/1端口組模式RB(config-if)#ipaddress54255.255.0!設置端口IP地址為54任務1ICMP協(xié)議（二）捕獲分析目的端不可達ICMP報文步驟1：在PC1中開啟Wireshark協(xié)議分析軟件進行數(shù)據(jù)包捕獲。步驟2：在PC1中的命令行窗口pingPC2的地址，如圖3-1-2所示。圖3-1-2ping主機ip步驟3：PC1中捕獲到的目的不可達ICMP報文，如圖3-1-3所示。圖3-1-3目的不可達ICMP報文任務1ICMP協(xié)議該報文為目的不可達ICMP報文，從源地址可以看到發(fā)送此目的不可達報文由路由器R1發(fā)出，因為R1路由查找不到目標網(wǎng)段的路徑，因此丟棄PC1發(fā)送的ICMP回顯請求，并發(fā)送目的不可達ICMP報文。ICMP報頭各字段內(nèi)容解析：類型，3--表示此報文為目的不可達ICMP的報文。代碼，1--主機不可達，只能由路由器產(chǎn)生，產(chǎn)生原因為R1路由器不知道目的主機的路由。校驗和，0X2585--校驗和字段為ICMP報文和數(shù)據(jù)部分的校驗和數(shù)據(jù)。保留，0--ICMP目標不可達報文中保留字段全為0。數(shù)據(jù)--數(shù)據(jù)部分分為被丟棄報文的IP報頭的部分。（三）捕獲分析超時ICMP報文步驟1：在路由器R1上配置靜態(tài)路由。R1(config)#iproute！設置網(wǎng)段靜態(tài)路由步驟2：在PC1中開啟Wireshark抓包軟件進行數(shù)據(jù)包捕獲，并設置過濾器只顯示ICMP協(xié)議。任務1ICMP協(xié)議步驟3：在PC1中的命令行窗口pingPC2的IP地址，如圖3-1-4所示。圖3-1-4ping主機ip地址圖3-1-5ICMP報頭任務1ICMP協(xié)議從捕獲到的超時ICMP報文可以看到，發(fā)送報文的源端為路由器R1。ICMP報頭各字段內(nèi)容解析：Tpye（類型），11--表示此報文為ICMP超時報文。Code（代碼），0--說明此報文為生存時間到期ICMP報文，當代碼為1時，說明此報文為分片IP包未能在規(guī)定時間內(nèi)全部到達目的端的超時報文。數(shù)據(jù)部分為被丟棄報文的IP報頭的部分四）捕獲分析回顯請求和應答ICMP報文步驟1：在路由器R2上配置靜態(tài)路由，實現(xiàn)PC1與PC2網(wǎng)絡的互通：R2(config)#iproute步驟2：在PC1中開啟Wireshark抓包軟件進行數(shù)據(jù)包捕獲，并設置過濾器只顯示ICMP協(xié)議。步驟3：在PC1中的命令行窗口中pingPC2的地址，如圖3-1-6所示。圖3-1-6ping主機IP地址任務1ICMP協(xié)議步驟4：在PC1中捕獲到ICMP回顯請求報文，如圖3-1-7所示。圖3-1-7ICMP回顯請求報文任務1ICMP協(xié)議此報文源地址為,目的地址為，為PC1發(fā)送給PC2的ICMP回顯請求報文。ICMP報頭各字段內(nèi)容解析：類型，8--表示此報文為ICMP回顯請求報文。類型，0--ICMP回顯請求和應答報文類型均為0。校驗和--校驗和部分為ICMP報頭及數(shù)據(jù)部分的校驗數(shù)據(jù)。標識符，512--幫助確認ICMP回顯應答報文，即正對此請求的應答報文中的標識符也為512。序列號，8448--幫助確認ICMP會顯應答報文。數(shù)據(jù)--填充數(shù)據(jù)步驟5：捕獲到的ICMP回顯應答報文，如圖3-1-8所示。圖3-1-8ICMP回顯應答報文此報文的源IP地址為,目的IP地址為，為PC2發(fā)送給PC1的ICMP回顯應答報文。ICMP報頭各字段內(nèi)容解析：類型，0--ICMP回顯應答報文類型為0。代碼，0--ICMP回顯報文代碼均為0。任務1ICMP協(xié)議二、ICMP重定向ICMP重定向報文是ICMP控制報文中的一種。在特定情況下，當路由器檢測到一臺機器使用非優(yōu)化路由的時候，它會向該主機發(fā)送一個ICMP重定向報文，請求主機改變路由。路由器也會把初始數(shù)據(jù)報文向它的目的地轉(zhuǎn)發(fā)。攻擊者往往會利用ICMP重定向報文達到欺騙的目的。步驟1:設定實驗環(huán)境配置路由器各端口、PC機IP地址，配置靜態(tài)路由實現(xiàn)基礎網(wǎng)絡互通，如圖3-1-9所示。為了便于抓包進行協(xié)議分析，配置端口映射，具體配置為：。圖3-1-9ICMP重定向?qū)嶒灜h(huán)境任務1ICMP協(xié)議SW(config)#monitorsession1destinationinterfaceFastEthernet0/24!配置端口映射，鏡像端口SW(config)#monitorsession1sourceinterfaceFastEthernet0/1-10both！配置端口映射，被鏡像端口步驟2：使用網(wǎng)絡協(xié)議分析儀采集ICMP重定向數(shù)據(jù)包首先打開網(wǎng)絡協(xié)議分析儀，選擇網(wǎng)卡并點擊開始采集數(shù)據(jù)。在PCA上使用ping-t命令，ping遠端地址。然后登錄到路由器RB，使用shutdown命令關閉路由器的F0/0接口。此時PCA會出現(xiàn)目標主機無法訪問提示信息，過一會PCA又ping通了。最后，停止協(xié)議分析儀采集數(shù)據(jù)包，并找到ICMP重定向報文進行分析。通過以上實驗說明，當路由器RA接口F0/0關閉時，路由器RA無法將PCA的數(shù)據(jù)包發(fā)送給時，則路由順RA向PCA發(fā)送一個ICMP重定向報文，通告PCA去往的路由發(fā)生改變，將其默認網(wǎng)關改變?yōu)?。步驟3：使用網(wǎng)絡協(xié)議分析儀編輯ICMP重定向數(shù)據(jù)使用網(wǎng)絡協(xié)議分析儀的協(xié)議數(shù)據(jù)發(fā)生器編輯ICMP重定向數(shù)據(jù)包，模擬路由器RA發(fā)送ICMP重定向數(shù)據(jù)包，改變PCA去往的路由表項，從面實現(xiàn)ICMP重定向攻擊。任務1ICMP協(xié)議【知識鏈接】1.ICMP協(xié)議IP協(xié)議是一種不可靠無連接的包傳輸，當數(shù)據(jù)包經(jīng)過多個網(wǎng)絡傳輸后，可能出現(xiàn)錯誤、目的主機不響應、包擁塞和包丟失等。為了處一這些問題，在IP層引入了一個子協(xié)議ICMP（internetcontrolMessageProtocol)。該協(xié)議是TCP/IP協(xié)議集中的一個子協(xié)議，屬于網(wǎng)絡層協(xié)議，主要用于在網(wǎng)絡設備之間傳遞控制信息，包括報告錯誤、交換受限控制和狀態(tài)信息等。當遇到IP數(shù)據(jù)無法訪問目標、IP路由器無法按當前的傳輸速率轉(zhuǎn)發(fā)數(shù)據(jù)包等情況時，會自動發(fā)送ICMP消息。ICMP數(shù)據(jù)報文有兩種形式：差錯數(shù)據(jù)報文和查詢數(shù)據(jù)報文。ICMP數(shù)據(jù)報文封裝在IP數(shù)據(jù)報文里傳輸。ICMP報文可以被IP協(xié)議層、傳輸層協(xié)議和用戶進程使用。ICMP與IP一樣，都是不可靠傳輸，ICMP的信息也可能會丟失。為了防止ICMP信息無限制的連續(xù)發(fā)送，對ICMP數(shù)據(jù)報文傳輸中問題不能再使用ICMP傳輸。（1）ICMP報文的封裝ICMP有兩種報文：差錯報文和查詢報文。兩種報文都是封裝在IP報文中進行傳輸?shù)?，具體的封裝格式如圖3-1-10。圖3-1-10ICMP報文封裝任務1ICMP協(xié)議（2）ICMP報文格式ICMP報文格式如圖3-1-11所示。圖3-1-11ICMP報文格式任務1ICMP協(xié)議ICMP類型和代碼字段--8位的類型字段有15個不同的值，它與8位代碼字段共同決定各種類型的ICMP報文。校驗和字段--對ICMP整個報文中每個16bit進行二進制反碼求和。（3）ICMP報文的主要類型ICMP報文可以分為兩大類：差錯報告和查詢報文。差錯報告報文是用于當路由器或主機在處理數(shù)據(jù)過程出現(xiàn)問題的時候進行報告。查詢報文用于幫助網(wǎng)絡管理員從一個網(wǎng)絡設備上得到特定的信息，例如到達某個主機是否可達，中間經(jīng)過哪些路由等等?；诠δ艿牟煌?，ICMP報文分成很多類型，各類ICMP報文如表3-1-1所示。表3-1-1ICMP報文類型種類類型報文差錯報告報文3目的端不可達

4源端抑制

11超時

12參數(shù)問題

5改變路由查詢報文8或0回送請求或回答

13或14時間戳請求或回答

17或18地址掩碼請求或回答

10或19路由器查詢和通告任務1ICMP協(xié)議2.目的端不可達當路由器在發(fā)送數(shù)據(jù)的時候無法送達目的地，或者目的主機無法將數(shù)據(jù)交付相應程序時就丟棄這個數(shù)據(jù)包，并想源主機發(fā)送一個目的端不可達報文。目的端不可達報文格式如圖3-1-12所示。圖3-1-12目的端不可達報文格式任務1ICMP協(xié)議在目的端不可達ICMP報文中，不同的代碼值表示了不同的目的端不可達的原因：代碼0--網(wǎng)絡不可達，這類報文只能有路由器產(chǎn)生。代碼1--主機不可達，只能由路由器產(chǎn)生。代碼2--協(xié)議不可達，原因可能為目標主機的相關協(xié)議未開啟，此類報文只能由主機產(chǎn)生。代碼3--端口不可達，數(shù)據(jù)報要交付的應用程序未運行。代碼4--需要進行分段，但此數(shù)據(jù)的不分段字段被置位，導致數(shù)據(jù)無法送至目的端。代碼5--源路由選擇不能完成，數(shù)據(jù)中源路由選項定義的一個或多個路由器無法通過。代碼6--目的網(wǎng)絡未知，路由器不知道目的網(wǎng)絡的存在。代碼7--目的主機未知，路由器不知道目的主機的存在。代碼8--源主機是孤立的。代碼9--從管理上禁止與目的網(wǎng)絡通信。代碼10--從管理上禁止與目的主機通信。代碼11--對指明的服務類型，網(wǎng)絡不可達。代碼12--對指明的服務類型，主機不可達。代碼13--主機不可達，由于管理機構(gòu)在主要處配置了過濾器。代碼14--主機不可達，由于主機的優(yōu)先級被破壞。代碼15--主機不可達，由于其優(yōu)先級被刪除。任務1ICMP協(xié)議5.改變路由ICMP報文當主機連接到多個路由器的時候，它發(fā)送一個數(shù)據(jù)包到另一個網(wǎng)絡，通常主機的做法是將其交給自己的默認路由，但是其實這個數(shù)據(jù)報本應當發(fā)給另一個路由器，這時收到此報文的路由器會將數(shù)據(jù)報轉(zhuǎn)發(fā)給正確的路由器，并想主要發(fā)送一個改變路由ICMP報文，此后主機再發(fā)送數(shù)據(jù)報的時候會發(fā)給正確的路由器。改變路由報文格式如圖3-1-14所示。圖3-1-14改變路ICMP報文格式任務1ICMP協(xié)議6.回顯請求和回答回顯請求和回答是為查詢網(wǎng)絡連通性而設計的ICMP查詢報文?；仫@請求和回答報文可以用來確定在源端和目的端時候可以實現(xiàn)IP級的通信。主機或路由器發(fā)送一個回顯請求給另一個主機或路由器，收到回顯請求的主機或路由器創(chuàng)建回顯應答ICMP報文，發(fā)送給源端，源端收到回顯應答報文后要以判斷且的主機是否可達。ICMP回顯請求及應答報文格式如圖3-1-15所示。圖3-1-15ICMP回顯請求及應答報文格式類型為8時為回顯請求報文，類型為0時為回顯應答報文。任務1ICMP協(xié)議8.時間戳請求和回答兩臺設備之間可以使用時間戳請求和時間戳回答報文確定IP數(shù)據(jù)報在這兩個機器之間往返所需時間，可以用于兩臺設備的時鐘的同步。ICMP時間戳的報文格式如圖3-1-16所示。圖3-1-16ICMP時間戳請求和時間戳回答報文格式

源端創(chuàng)建時間戳請求報文，源端在報文離開源端時在原始時間戳填入自己時鐘顯示的時間，其他兩個時產(chǎn)戳中填入0。目的端收到時間戳請求后創(chuàng)建時間戳應答報文，其中，原始時間戳與發(fā)送端相同，接受時間戳填入自己接收到時間戳請求報文的時間，發(fā)送時間戳填入目的端在發(fā)送時間戳應答報文的時間。由此要吧計算出從源端到目的端發(fā)送時間=接收時間戳的值-原始時間戳的值，接收時間=返回時間-發(fā)送時間戳的值，往返時間=發(fā)送時間+接收時間。當準確的單向時間要以確定，時間戳請求和回答報文可以用來同步雙方機器的時鐘。任務2IP路由選擇與控制任務描述華達公司設有總公司和分公司，通過RIP動態(tài)路由協(xié)議實現(xiàn)互聯(lián)互通，并通過雙線路接入互聯(lián)網(wǎng)，網(wǎng)絡拓撲圖如圖3-2-1所示?，F(xiàn)要求/16網(wǎng)段用戶通過ISP1接入互聯(lián)網(wǎng)，/16網(wǎng)段用戶通過ISP2接入互聯(lián)網(wǎng)；要求分公司網(wǎng)絡相對獨立，總公司用戶不能訪問分公司資源，分公司用戶可以訪問總公司資源；隨著業(yè)務狀態(tài)變化，做相應調(diào)整，要求分公司僅/24網(wǎng)段不能被總公司訪問，其它網(wǎng)段仍需互聯(lián)互通。請網(wǎng)絡管理員根據(jù)上述要求完成配置。任務二

IP路由選擇與控制圖3-2-1網(wǎng)絡拓撲圖任務2IP路由選擇與控制任務分析采用策略路由技術(shù)來實現(xiàn)不同網(wǎng)段內(nèi)網(wǎng)用戶從不同線路接入互聯(lián)網(wǎng)；采用被動接口技術(shù)限制總公司與分公司之間的互聯(lián)，促使該接口不能發(fā)送分公司的路由更新；采用分發(fā)列表技術(shù)將訪問控制列表用于路由選擇更新，限制該訪問控制列表所定義的地址段不能發(fā)送路由更新。任務2IP路由選擇與控制一、策略路由配置現(xiàn)要求企業(yè)網(wǎng)絡/16網(wǎng)段用戶通過ISP1接入互聯(lián)網(wǎng)，/16網(wǎng)段用戶通過ISP2接入互聯(lián)網(wǎng)，即根據(jù)不同的IP源地址選擇不同的路由。在網(wǎng)絡原有路由的基礎上，在路由器HD_RA上配置策略路由，實現(xiàn)雙線路接入互聯(lián)網(wǎng)。具體配置如下：HD_RA(config)#access-list10permitip55!定義編號為10的地址段,HD_RA(config)#access-list10permitip55!定義編號為20的地址段HD_RA(config)#route-maprjpermit10!配置策略路由，編號為10HD_RA(config-route-map)#matchipaddress10!匹配地址段10HD_RA(config-route-map)#setipnext-hop!設置下一跳地址為HD_RA(config-route-map)#route-maprjpermit20!配置策略路由，編號為20HD_RA(config-route-map)#matchipaddress20!匹配地址段20HD_RA(config-route-map)#setipnext-hop!設置下一跳地址為HD_RA(config-route-map)#route-maprjpermit30!配置策略路由，編號為30HD_RA(config-route-map)#setinterfacenull0HD_RA(config-route-map)#exitHD_RA(config)#interfacefastethernetf0/4!進入fastEther0/4端口模式HD_RA(config-if)#ippolicyroute-maprj!在端口上應用策略路由rj配置后路由器對入站的數(shù)據(jù)包實現(xiàn)策略路由，根據(jù)不同的數(shù)據(jù)源選擇不同的路徑?！救蝿諏崿F(xiàn)】任務2IP路由選擇與控制二、被動接口配置現(xiàn)要求分公司網(wǎng)絡相對獨立，總公司用戶不能訪問分公司資源。網(wǎng)絡管理員可在分公司的路由器HD_RB的RIP協(xié)議中配置被動接口（passive-interface），不發(fā)送路由更新報文，但是還可以接收路由更新報文，實現(xiàn)對分公司路由信息的過濾，具體配置如下：HD_RB（config)#routerrip!進入RIP路由模式HD_RB(config-rip)#passive-interfacefastEhternet0/0!將路由器F0/0端口設為被動端口認真對比前后的路由表，將會發(fā)現(xiàn)分公司的/16地址段的路由條目不存在了，說明已達到了預期的效果。網(wǎng)絡管理員也可以使用ping命令來驗證總、分公司的互通情況來分析是否達到預期的效果。任務2IP路由選擇與控制三、分發(fā)列表配置如果要求分公司僅網(wǎng)段不希望被總公司訪問，其它網(wǎng)段仍需互聯(lián)互通，則可采用分發(fā)列表來實現(xiàn)，具體配置如下：HD_RB（config）#access-list10permit55!定義/24地址段HD_RB（config）#routerrip!進入RIP路由模式HD_RB（config-router）#nopassive-interfacefastEhternet0/0!關閉被動接口HD_RB(config-router)#distribute-list10outFastEthernet0/0!啟用分發(fā)列表配置完成后請觀察路由表的變化，或使用ping命令驗證效要。任務2IP路由選擇與控制【知識鏈接】1.策略路由策略路由是一種比基于目標網(wǎng)絡進行路由更加靈活的數(shù)據(jù)包路由轉(zhuǎn)發(fā)機制。路由器將通過路由圖決定如何對需要路由的數(shù)據(jù)包進行處理，路由圖決定了一個數(shù)據(jù)包的下一跳轉(zhuǎn)發(fā)路由器。通過使用基于策略的路由選擇，能夠根據(jù)數(shù)據(jù)包的源地址、目的地址、源端口、目的端口和協(xié)議類型讓報文選擇不同的路徑。策略路由是一種入站機制，用于入站報文，對入站報文進行檢測與判別。目前策略路由大體上分為三種：根據(jù)路由的目的地址實施策略路由，稱之為目的地址路由；根據(jù)路由源地址實施策略路由，稱之為源地址路由；根據(jù)報文大小來實施策略路由，稱之為基于報文大小的策略路由。任務2IP路由選擇與控制1）策略路由命令解析1）route-map命令該命令用于定義路由圖，格式為：route-mapname[permit|deny][sequence-number]name--Route-map的名稱，擁有相同樂稱的route-map子句將組成一個route-mappermit--如果報文符合該子句中的匹配條件，同報文將被進行策略路由deny--發(fā)果報文符合該子句的匹配條件，同報文將不進行策略路由，進行正常的轉(zhuǎn)發(fā)sequence-number--該route-map子句的編號，如果不指定同系統(tǒng)會自動賦予一個編號，route-map中的各子句按照編號的順序執(zhí)行2）match命令該命令用于設置過濾規(guī)則，格式為：matchipaddress{access-list-number|name}[...access-list-number|name]access-list-number--標準訪問控制列表或擴展訪問控制列表的編號或名稱，用于匹配入站報文。如果指定了多個訪問列表，則與任一個列表匹配就算匹配。min--最小報文長度（三層報文的長度）max--最大報文長度（三層報文的長度）3）set命令Set相關命令如下：setipnext-hopip-address[...ip-address]設置策略下一跳setinterface設置策略路由出口setipdefaultnext-hop設置策略路由默認下一跳setdefaultinterface設置策略路由默認出口setiptos設置報文IP頭中的TOSsetipprecedence設置報文IP頭中的優(yōu)先級4）應用配置策略路由ippolicyroute-maproute-map任務2IP路由選擇與控制（2）策略路由配置示例1）基于源地址的策略路由該示例網(wǎng)絡拓撲圖如圖3-2-2所示，要求實現(xiàn)/16地址段用戶接入ISPA，/16地址段用戶接和ISPB，具體配置如下：RouterA(config)#access-list1permitip55RouterA(config)#access-list2permitip55RouterA(config)#route-mapruiiepermit10RouterA(config-route-map)#matchipaddress10RouterA(config-route-map)#setipnext-hopRouterA(config-route-map)#route-mapruiiepermit20RouterA(config-route-map)#matchipaddress20RouterA(config-route-map)#setipnext-hopRouterA(config-route-map)#route-mapruiiepermit30RouterA(config-route-map)#setinterfacenull0RouterA(config)#interfacefastEthernet1/0RouterA(config-if)#ippolicyroute-mapruiie

圖3-2-2基于源地址的策略路由網(wǎng)絡拓撲圖任務2IP路由選擇與控制2）基于目標地址的策略路由該示例網(wǎng)絡拓撲圖如圖3-2-3所示，要求實現(xiàn)訪問地址段走線路1（雙絞線），要求實現(xiàn)訪問地址段走線路2（同異步串口線），具體配置如下：RouterA(config)#interfacefastEthernet1/0RouterA(config-if)#ippolicyroute-mapnet1RouterA(config)#route-mapnet1permit10RouterA(config-route-map)#matchipaddress100RouterA(config-route-map)#setipnext-hopRouterA(config)#route-mapnetpermit20RouterA(config-route-map)#mathchipaddress110RouterA(config-route-map)#setipnext-hopRouterA(config)#route-mapnet1permit30RouterA(config-route-map)#setinterfaceNull0RouterA(config)#ipaccess-list100permitipany192.l68.10.055RouterA(config)#ipaccess-list110permitipany55圖3-2-3基于目的地址的策略路由網(wǎng)絡拓撲圖任務2IP路由選擇與控制2.被動接口與單播更新被動接口將阻止通過該接口發(fā)送指定協(xié)議的路由選擇更新。被動接口不參與路由進程中，在OSPF路由域中，該接口將不發(fā)送OSPF的HELLO報文，所以該接口就不可能有鄰居的存在，也不會交換路由。RIP路由器接口配置了passive-interface后，不發(fā)送路由更新報文，但是還可以接收路由更新報文，而且RIP可以通過定義鄰居的方式只給指定的鄰居發(fā)送更新報文。使用這種方法可以很好的控制路由更新的流向，避免不必要的鏈路資源的浪費。（1）被動接口命令解析Passive-interfacetypenumber[default]Typenumber--指定不發(fā)送路由選擇更新（對于鏈路狀態(tài)路由選擇協(xié)議是建立鄰接關系）的接口類型和接口號。Default--將路由器所有接口的默認狀態(tài)設備為被動狀態(tài)。（2）被動接口配置示例如圖3-2-4所示，在路由器RB上配置被動接口，F(xiàn)0/1端口不發(fā)送路由更新，配置如下：RB（config)#routerripRB(config-router)#passive-interfacefastEthernet0/1圖3-2-4被動接口配置網(wǎng)絡拓撲圖任務2IP路由選擇與控制（3）單播更新配置示例如圖3-2-5所示，在路由器RA上配置單播更新，配置如下：RA(config)#routerripRA(config-router)#passive-interfacefastEthernet0/0RA(config-router)#neighbor圖3-2-5單播更新配置網(wǎng)絡拓撲圖任務2IP路由選擇與控制3.分發(fā)列表分發(fā)列表可以用來控制路由列新，它需要用到訪問控制列表。一般情況下，訪問控制列表并不能控制由路由器自己生成的數(shù)據(jù)流，但是如果將訪問控制列表應用到分發(fā)列表，同時可以用來允許、拒絕路由選擇更新。分發(fā)列表能夠?qū)⒃L問控制列表用于路由選擇更新。分發(fā)列表有三種應用方式，分別是入站接口、出站接口和路由重分發(fā)。（1）分發(fā)列表命令解析Distribute-list{access-list-name|gatewayip-prefix-list|prefixip-prefix-list[gatewayip-prefix-list]}{in|out}[interface-id|protocol-type]Gateway--只能過濾進來報文的源地址ip和掩碼，所以它不能應用于out選項，它不是對報文中的路由信息進行過濾。Prefix--可以對進來或出去的報文中的路由信息的目的地址ip和掩碼進行過濾，所以它過濾完后還可以跟gateway對報文源地址再進行過濾。對OSPF該命令除了滿足上述規(guī)則外，它對輸出的路由（out選項）沒有接口過濾配置，只能配置協(xié)議過濾。如果沒有指定任何接口和協(xié)議則表示對所有接口和協(xié)議都生效。任務2IP路由選擇與控制2）分發(fā)列表配置示例如圖3-2-6所示，在路由器RA上配置單播更新，配置如下：RA(config)#access-list10permit55RA(config)#routerripRA(config-router)#version2RA(config-router)#networkRA(config-router)#networkRA(config-router)#networkRA(config-router)#noauto-summaryRA(config-router)#distribute-list10inFastEthernet0/0圖3-2-6分發(fā)列表配置網(wǎng)絡拓撲圖任務3NAT地址轉(zhuǎn)換任務描述華達公司企業(yè)網(wǎng)需要接入互聯(lián)網(wǎng)，要求企業(yè)內(nèi)部用戶能夠訪問Internet資源，并能有效控制訪問范圍，保障內(nèi)網(wǎng)的安全性。與之同時外網(wǎng)用戶能夠分別使用/29、/29兩個IP地址訪問內(nèi)網(wǎng)Web、FTP服務器。該網(wǎng)絡拓撲如圖3-3-1所示。通過NAT地址轉(zhuǎn)換技術(shù)使企業(yè)可使用較少的互聯(lián)網(wǎng)有效IP地址就能獲得互聯(lián)網(wǎng)接入的能力，有效地緩解了地址不足的問題，同時提供了一定的安全性。任務三NAT地址轉(zhuǎn)換圖3-3-1NAT地址轉(zhuǎn)換網(wǎng)絡拓撲圖任務3NAT地址轉(zhuǎn)換任務分析企業(yè)網(wǎng)用戶能夠訪問外網(wǎng)資源，需要在三層交換機SW3-1和路由器R1上配置缺省路由，在R1上進行NAT地址轉(zhuǎn)換，即將內(nèi)部私用地址轉(zhuǎn)換為公網(wǎng)地址；設定哪些用戶可以訪問外網(wǎng)資源，哪些用戶不能訪問Internet資源，可通過訪問控制列表定義數(shù)據(jù)流；外網(wǎng)用戶訪問企業(yè)內(nèi)網(wǎng)服務器資源，可通過端口映射配置將內(nèi)網(wǎng)服務器地址和端口映射到R1服務器外網(wǎng)端口所約定的IP地址段和端口上。任務3NAT地址轉(zhuǎn)換任務實施一、路由檢測與設置檢查內(nèi)網(wǎng)的三層交換機SW3-1和路由器R1相應的路由配置，結(jié)果如圖3-3-2和3-3-3所示。SW3-1#showiproute!查看交換機路由表R1#shiproute!查看路由器路由表圖3-3-2交換機SW3-1路由表圖3-3-3查看路由器路由配置任務3NAT地址轉(zhuǎn)換觀察各路由設備是否配置指向外部的缺省路由，結(jié)果如圖3-3-4所示，如果沒有該路由，則需要在每臺路由設備上配置一條缺省路由。在三層交換機上配置缺省路由，如圖3-3-5所示：SW3-1(config)#iprouteFastEthernet0/22!設置缺省路由或SW3-1(config)#iproute!設置缺省路由在路由器上配置缺省路由：R1(config)#iprouteEthernet0/2!設置缺省路由或R1(config)#iproute!設置缺省路由圖3-3-4查看路由器R1上所配置的缺省路由圖3-3-5查看交換機SW3-1上所配置的缺省路由任務3NAT地址轉(zhuǎn)換步驟2：打開windows防火墻的“高級設置”并設置。（1）在服務器中，單擊“開始”→“管理工具”→“高級安全windows防火墻”命令，打開“高級安全windows防火墻”窗口。圖5-3-2高級防火墻窗口任務3NAT地址轉(zhuǎn)換二、NAT地址轉(zhuǎn)換步驟一：配置外部端口R1(config)#interfaceEthernet0/2R1(config-if)#ipnatoutside！配置外部端口步驟二：配置內(nèi)部端口R1(config)#interfaceEthernet0/0R1(config-if)#ipnatinside！配置內(nèi)部端口R1(config-if)#exitR1(config)#interfaceEthernet0/1R1(config-if)#ipnatinside！配置內(nèi)部端口R1(config-if)#exit步驟三：定義內(nèi)部網(wǎng)絡中允許訪問Internet的訪問列表R1(config)#access-list1permitany！允許所有網(wǎng)段的用戶訪問外網(wǎng)步驟四：實現(xiàn)網(wǎng)絡地址轉(zhuǎn)換LH_R_1(config)#ipnatinsidesourcelist1interfaceEthernet0/2overload！將規(guī)則1定義的地址映射在端口e/2上

任務3NAT地址轉(zhuǎn)換步驟五：驗證結(jié)果分別在SW1-1和SW2-1的F0/2端口接入PC機，配置相對應的IP地址，ping外網(wǎng)主機，若能ping通，則說明內(nèi)網(wǎng)用戶能夠正常訪問外網(wǎng)資源，如圖3-3-6所示。也可以使用shipnat命令來查看NAT地址轉(zhuǎn)換狀態(tài)，如圖3-3-7所示。圖3-3-6ping外網(wǎng)主機圖3-3-7NAT地址轉(zhuǎn)換狀態(tài)任務3NAT地址轉(zhuǎn)換三、限制用戶訪問外網(wǎng)從管理需求和安全方面考慮，企業(yè)不一定希望內(nèi)網(wǎng)用戶都能訪問互聯(lián)網(wǎng)。網(wǎng)絡管理員可以根據(jù)實際要求限制部分內(nèi)網(wǎng)用戶訪問互聯(lián)網(wǎng)，比如不允許銷售部用戶訪問互聯(lián)網(wǎng)，其它部門用戶均可訪問。將access-list1permitany修改為：R1(config)#access-list1deny！禁止網(wǎng)段的用戶訪問外網(wǎng)R1(config)#access-list1permitany！允許所有網(wǎng)段的用戶訪問外網(wǎng)選擇一臺銷售部PC機ping外網(wǎng)主機，若不能ping通，則說明該內(nèi)網(wǎng)用戶被限制訪問外網(wǎng)資源。任務3NAT地址轉(zhuǎn)換四、網(wǎng)絡端口地址轉(zhuǎn)換內(nèi)網(wǎng)服務器IP地址為，它的80端口（www服務）映射到公網(wǎng)地址的80端口上，它的21端口（FTP服務）映射到公網(wǎng)地址的21端口上。R1(config)#ipnatinsidesourcestatictcp8080！將內(nèi)網(wǎng)地址的80端口映射到公網(wǎng)地址的80端口上R1(config)#ipnatinsidesourcestatictcp2121！將內(nèi)網(wǎng)地址的21端口映射到公網(wǎng)地址的21端口上配置完成后，在外網(wǎng)PC機的瀏覽器地址欄中輸入“”訪問內(nèi)網(wǎng)服務器的www服務，在外網(wǎng)PC上使用FTP命令訪問內(nèi)網(wǎng)服務器的FTP服務，驗證端口映射效果。任務3NAT地址轉(zhuǎn)換【知識鏈接】1.NAT技術(shù)NAT英文全稱是“NetworkAddressTranslation”，中文意思是“網(wǎng)絡地址轉(zhuǎn)換”，它是一個IETF(InternetEngineeringTaskForce,Internet工程任務組)標準，允許一個整體機構(gòu)以一個公用IP（InternetProtocol）地址出現(xiàn)在Internet上。它是一種把內(nèi)部私有網(wǎng)絡地址（IP地址）翻譯成合法網(wǎng)絡IP地址的技術(shù)。NAT的典型應用是將使用私有IP地址（RFC1918）的園區(qū)、企業(yè)網(wǎng)絡連接到Internet。通過該技術(shù)路由器將私有地址轉(zhuǎn)換為公有地址使數(shù)據(jù)包能夠發(fā)到因特網(wǎng)上，同時從因特網(wǎng)上接收數(shù)據(jù)包時，將公用地址轉(zhuǎn)換為私有地址。注冊IP地址空間將要耗盡，而internet的規(guī)模仍在持續(xù)增長，隨著internet的增長，骨干互聯(lián)網(wǎng)路由選擇表中的IP路由數(shù)據(jù)也在增加，這引發(fā)了路由選擇算法的擴展問題。NAT是一種節(jié)約大型網(wǎng)絡中注冊IP地址并簡化IP尋址管理任務的機制，它作為一種能解決IPv4地址短缺問題，并能通過隔離內(nèi)外網(wǎng)絡來提高內(nèi)網(wǎng)安全性的技術(shù)方案，在很多國家都有很廣泛的使用。根據(jù)不同的需求，NAT轉(zhuǎn)換分為多種不同類型。（1）靜態(tài)NAT：按照一一對應的方式將每個內(nèi)部IP地址轉(zhuǎn)換為一個外部IP地址，這種方式經(jīng)常用于企業(yè)網(wǎng)的內(nèi)部設備需要能夠被外部網(wǎng)絡訪問到時。（2）動態(tài)NAT：將一個內(nèi)部IP地址轉(zhuǎn)換為一組外部IP地址（地址池）中的一個IP地址。（3）超載（Overloading）NAT：動態(tài)NAT的一種實現(xiàn)形式，利用不同端口號將多個內(nèi)部IP地址轉(zhuǎn)換為一個外部IP地址，也稱為PAT、NAPT或端口復用NAT。任務3NAT地址轉(zhuǎn)換2.NAT配置（1）動態(tài)地址轉(zhuǎn)換動態(tài)地址轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡的私有IP地址轉(zhuǎn)換為公用IP地址時，IP地址是不確定的，是隨機的，所有被授權(quán)訪問Internet的私有IP地址可隨機轉(zhuǎn)換為任何指定的合法IP地址。1）動態(tài)NAT配置命令格式指定內(nèi)部接口和外部接口：ipnat{inside|outside}定義IP訪問控制列表：access-listaccess-list-number{permit|deny}定義一個地址池：ipnatpoolpool-namestart-ipend-ip{netmasknetmask|prefix-lengthprefix-length}配置動態(tài)轉(zhuǎn)換條目：ipnatinsidesourcelistaccess-list-number{interfaceinterface|poolpool-name}配置多路復用動態(tài)轉(zhuǎn)換條目：ipnatinsidesourcelistaccess-list-number{interfaceinterface|poolpool-name}overload配置多路復用動態(tài)地址轉(zhuǎn)換時，必須使用overload關鍵字，這樣路由器才會將源端口也進行轉(zhuǎn)換，已達到地址超載的目的。如果不指定overload，路由器將執(zhí)行動態(tài)NAT轉(zhuǎn)換。任務3NAT地址轉(zhuǎn)換2）動態(tài)NAT配置示例按照圖3-3-8所示的網(wǎng)絡拓撲結(jié)構(gòu)配置動態(tài)NAT：RA(config)#interfacefastEthernet0/0RA(config-if)#ipnatinside！定義內(nèi)部端口RA(config-if)#interfacefastEthernet0/1RA(config-if)#ipnatoutside！定義外部端口RA(config-if)#exitRA(config)#access-list10permit55!定義IP訪問控制列表RA(config)#ipnatpoolap00netmask!定義地址池RA(config)#ipnatinsidesourcelist10poolapoverload!配置動態(tài)轉(zhuǎn)換條目任務3NAT地址轉(zhuǎn)換（2）配置靜態(tài)內(nèi)部源地址轉(zhuǎn)換按照一一對應的方式將每個內(nèi)部IP地址轉(zhuǎn)換為一個外部IP地址，多用于企業(yè)網(wǎng)內(nèi)部服務器需要能夠被外部網(wǎng)絡訪問時。1）配置靜態(tài)內(nèi)部源地址轉(zhuǎn)換命令格式指定內(nèi)部接口和外部接口：ipnat{inside|outside}配置靜態(tài)轉(zhuǎn)換條目：ipnatinsidesourcestaticlocal-ip{interfaceinterface|global-ip}2）靜態(tài)內(nèi)部源地址轉(zhuǎn)換配置示例按照圖3-30所示的網(wǎng)絡拓撲結(jié)構(gòu)配置靜態(tài)內(nèi)部源地址轉(zhuǎn)換：RA(config)#interfacefastEthernet0/0RA(config-if)#ipnatinside！定義內(nèi)部端口RA(config-if)#interfacefastEthernet0/1RA(config-if)#ipnatoutside！定義外部端口RA(config-if)#exitRA(config)#ipnatinsidesourcestatic0！配置靜態(tài)源地址轉(zhuǎn)換條目任務3NAT地址轉(zhuǎn)換（3）配置靜態(tài)端口地址轉(zhuǎn)換靜態(tài)端口地址轉(zhuǎn)換將中小型的網(wǎng)絡隱藏在一個合法的IP地址后面。它與動態(tài)地址NAT不同，它將內(nèi)部連接映射到外部網(wǎng)絡中的一個單獨的IP地址上，同時在該地址上加上一個由NAT設備選定的TCP端口號。1）配置靜態(tài)端口地址轉(zhuǎn)換命令格式指定內(nèi)部接口和外部接口：ipnat{inside|outside}配置靜態(tài)端口地址轉(zhuǎn)換條目：ipnatinsidesourcestatic{tcp|udp}local-iplocal-port{interfaceinterface|global-ip}global-port2）靜態(tài)端口地址轉(zhuǎn)換配置示例RA(config)#interfacefastEthernet0/0RA(config-if)#ipnatinside！定義內(nèi)部端口RA(config-if)#interfacefastEthernet0/1RA(config-if)#ipnatoutside！定義外部端口RA(config-if)#exitRA(config)#ipnatinsidesourcestatictcp80080！配置靜態(tài)端口地址轉(zhuǎn)換條目圖3-3-8NAT地址轉(zhuǎn)換網(wǎng)絡拓撲圖任務4IPSG：IP源地址欺騙任務四IPSG：IP源地址欺騙任務描述目前，公司內(nèi)網(wǎng)已經(jīng)架設了DHCP服務器并且通過DHCPSnoop技術(shù)有效防止了用戶私架DHCP服務器以及惡意用戶通過非法手段對DHCP服務器進行泛洪攻擊。但網(wǎng)絡管理員發(fā)現(xiàn)有個別用戶存在手動私設IP的情況，導致網(wǎng)絡內(nèi)IP地址混亂，IP地址被盜用等情況，如圖3-4-1?，F(xiàn)要求管理員采用相應的安全策略優(yōu)化公司網(wǎng)絡環(huán)境，合理解決IP源地址欺騙等問題。圖3-4-1網(wǎng)絡拓撲圖任務4IPSG：IP源地址欺騙任務分析在接入層交換機配置DHCPSnoop的基礎上增加IP源防護配置。任務實施一、IP源地址欺騙在PC2上將IP地址由原先的自動獲取手動改為/24，并保持與網(wǎng)關的連通性測試，如圖3-4-2所示，發(fā)現(xiàn)在丟失幾個數(shù)據(jù)包之后很快又能重新連通。這樣網(wǎng)絡內(nèi)合法用戶的IP地址很容易被非法主機仿冒，也容易造成亂改IP地址情況。任務4IPSG：IP源地址欺騙圖3-4-2二、IP源防護（IPSourceGuard）技術(shù)IPSG是一種基于IP/MAC的端口流量過濾技術(shù)，它可以防止局域網(wǎng)內(nèi)的IP地址欺騙攻擊，能夠確保網(wǎng)絡中終端設備的IP地址不會被劫持，而且還能確保非授權(quán)設備不能通過自己指定IP地址的方式來訪問網(wǎng)絡或攻擊網(wǎng)絡。在IPSG配置前必須先配置ipdhcpsnooping。具體配置如下：HK_SW2_1(config)#ipdhcpsnooping!開啟dchpsnooping功能HK_SW2_1(config)#interfacerangefastEthernet0/1-2HK_SW2_1(config-if-range)#ipverifysource!開啟端口上源IP報文檢測功能通過以上配置在接入層交換機的F0/1和F0/2號口上開啟了IPSourceGuard功能，此時可以在交換機上查看到IPSourceGuard綁定表，如圖3-4-3所示，F(xiàn)0/2口已自動與的IP地址綁定，其他IP地址的數(shù)據(jù)都會被拒絕通過。圖3-4-3查看IPSourceGuard綁定表任務4IPSG：IP源地址欺騙再次在PC2上將自動獲取IP地址手動改為/24，并保持與網(wǎng)關的連通性測試，如圖3-4-4所示，發(fā)現(xiàn)在丟失幾個數(shù)據(jù)包之后出現(xiàn)連接超時不能再重新連通。從而有效地解決了內(nèi)部網(wǎng)絡中私設IP地址等IP源地址欺騙問題。圖3-4-4任務4IPSG：IP源地址欺騙另外，還可以開啟源IP+MAC的報文檢測，使端口同時與DHCP分配的IP地址和PC機的MAC地址綁定，這樣IPSG就會以源IP地址和源MAC地址為條件進行雙重過濾，如圖3-4-5所示。圖3-4-5任務4IPSG：IP源地址欺騙【知識鏈接】1.IP源地址欺騙是一種基于IP/MAC的端口流量過濾技術(shù)，它可以防止局域網(wǎng)內(nèi)的IP地址欺騙攻擊。IPSG能夠確保第2層網(wǎng)絡中終端設備的IP地址不會被劫持，而且還能確保非授權(quán)設備不能通過自己指定IP地址的方式來訪問網(wǎng)絡或攻擊網(wǎng)絡導致網(wǎng)絡崩潰及癱瘓。交換機內(nèi)部有一個IP源綁定表（IPSourceBindingTable）作為每個端口接受到的數(shù)據(jù)包的檢測標準，只有在兩種情況下，交換機會轉(zhuǎn)發(fā)數(shù)據(jù)：所接收到的IP包滿足IP源綁定表中Port/IP/MAC的對應關系；所接收到的是DHCP數(shù)據(jù)包，其余數(shù)據(jù)包將被交換機做丟棄處理。IP源綁定表可以由用戶在交換機上靜態(tài)添加，或者由交換機從DHCP監(jiān)聽綁定表（DHCPSnoopingBindingTable）自動學習獲得。靜態(tài)配置是一種簡單而固定的方式，但靈活性很差，因此Cisco建議用戶最好結(jié)合DHCPSnooping技術(shù)使用IPSourceGuard，由DHCP監(jiān)聽綁定表生成IP源綁定表。任務4IPSG：IP源地址欺騙任務5

訪問控制列表任務描述華達公司鑒于各部門工作的信息安全需要，要求市場部不能訪問服務器Server，其它部門可以訪問；要求銷售部、市場部不能對財務部進行訪問，其他部門可以對財務部進行訪問；要求財務部禁止訪問服務器Server的FTP服務，能訪問WWW等其它服務，其他部門則沒有此限制；不允許戰(zhàn)略部用戶雙休日訪問服務器Server，其它時間可以訪問。網(wǎng)絡拓撲如圖3-5-1所示。任務五訪問控制列表圖3-5-1訪問控制列表配置網(wǎng)絡拓撲圖【任務分析】市場部不能訪問服務器Server，即禁止VLAN20用戶訪問，可采用基于源地址的標準訪問控制列表來限制VLAN20用戶訪問，并應用在R1的E0/1端口的出口方向；銷售部、市場部不能訪問財務部，即VLAN10、VLAN20不能訪問VLAN50，可采用基于源地址、目標地址的擴展訪問控制列表來限制VLAN10、VLAN20用戶訪問，并三層交換機SW3-1上應用；財務部禁止訪問服務器FTP服務，能訪問WWW等服務，可采用基于源地址、源端口、目標地址、目標端口的擴展訪問控制列表來限制VLAN60用戶對的FTP服務訪問；不允許戰(zhàn)略部用戶雙休日訪問服務器Server，可采用基于時間的訪問控制列表，只允許周一至周五訪問服務器。任務5

訪問控制列表一、限制部門訪問服務器要求市場部不能訪問服務器Server，可采用基于源地址的標準訪問控制列表來實現(xiàn)，具體配置如下：R1(config)#access-list10deny55！禁止市場部訪問R1(config)#access-list10permitany！允許任意網(wǎng)段訪問R1(config)#interfaceEthernet0/1R1(config-if)#ipaccess-group10out！端口出口方向應用規(guī)則10二、限制部門間訪問要求銷售部、市場部不能對財務部進行訪問，可采用基于源地址、目標地址的擴展訪問控制列表來實現(xiàn)，具體配置如下：SW3-1(config)#access-list100denyip5555！禁止銷售部訪問財務部SW3-1(config)#Access-list100denyip5555！禁止市場部訪問財務部SW3-1(config)#Access-list100permitipanyany！其他部門訪問財務部不限制SW3-1(config)#interfacevlan40SW3-1(config-if)#ipaccess-group100out！在VLAN40的出口方向應用規(guī)則100任務5

訪問控制列表三、限制訪問服務器相關服務要求財務部禁止訪問服務器Server的FTP服務，可采用基于源地址、源端口、目標地址、目標端口的擴展訪問控制列表來實現(xiàn)，具體配置如下：SW3-1(config)#access-list101denytcp55hosteq20！拒絕財務部用戶訪問服務器上的FTP服務SW3-1(config)#access-list101denytcp55hosteq21！拒絕財務部用戶訪問服務器上的FTP服務SW3-1(config)#access-list101permitipanyany！允許任意訪問SW3-1(config)#interfacevlan500SW3-1(config-if)#ipaccess-group101in！在VLAN500的入口方向應用規(guī)則101四、時間訪問限制不允許戰(zhàn)略部用戶雙休日訪問服務器Server，可采用基于時間的訪問控制列表，具體配置如下：SW3-1(config)#time-rangetime1!定義time1時間段SW3-1(config-time-range)#periodicweekend00:00to23:59!設置雙休日周期時間SW3-1(config-time-range)#exitSW3-1(config)#access-list102denyip55hosttime-rangetime1！拒絕戰(zhàn)略部用戶某時間段訪問服務器SW3-1(config)#access-list102permitipanyany！允許任意訪問SW3-1(config)#interfacevlan300SW3-1(config-if)#ipaccess-group102in！在VLAN300的入口方向應用規(guī)則102任務5

訪問控制列表五、驗證結(jié)果在市場部接入PC機，配置相關IP后ping服務器地址；在其它部門中接入PC機，配置相關IP后ping服務器地址。若前者不通，后者通，則說明實施成功。在銷售部和市場部接入PC機，配置相關IP后ping財務部所接入的PC機（如）；在其它部門中接入PC機，配置相關IP后ping財務部所接入的PC機；若前者不通，后者通，則說明實施成功。在財務部接入PC機，配置相關IP后使用FTP命令訪問服務器的FTP服務；在財務部接入PC機，配置相關IP后通過瀏覽器訪問服務器的www服務；若前者不能正常訪問，后者能正常訪問，則說明實施成功。在戰(zhàn)略部接入PC機，選擇雙休日和非雙休日時間ping服務器，若前者不能正常ping通，后者能夠正常ping通，則說明實施成功。任務5

訪問控制列表【知識鏈接】1.訪問控制列表訪問控制是網(wǎng)絡安全防范和保護的主要策略，它的主要任務是保證網(wǎng)絡資源不被非法使用和訪問。它是保證網(wǎng)絡安全最重要的核心策略之一。訪問控制涉及的技術(shù)也比較廣，包括入網(wǎng)訪問控制、網(wǎng)絡權(quán)限控制、目錄級控制以及屬性控制等多種手段。訪問控制列表（AccessControlLists,ACL）是應用在路由器接口的指令列表。這些指令列表用來告訴路由器哪些數(shù)據(jù)包可以收、哪些數(shù)據(jù)包需要拒絕。至于數(shù)據(jù)包是被接收還是拒絕，可以由類似于源地址、目的地址、端口號等的特定指示條件來決定。它具有安全控制、流量過濾、數(shù)據(jù)流量標識三個作用訪問控制列表不但可以起到控制網(wǎng)絡流量、流向的作用，而且在很大程度上起到保護網(wǎng)絡設備、服務器的關鍵作用。作為外網(wǎng)進入企業(yè)內(nèi)網(wǎng)的第一道關卡，路由器上的訪問控制列表成為保護內(nèi)網(wǎng)安全的有效手段。此外，在路由器的許多其他配置任務中都需要使用訪問控制列表，如網(wǎng)絡地址轉(zhuǎn)換（NetworkAddressTranslation，NAT）、按需撥號路由（DialonDemandRouting，DDR）、路由重分布（RoutingRedistribution）、策略路由（Policy-BasedRouting，PBR）等很多場合都需要訪問控制列表。ACL語句有二個部分，一個是條件，一個是操作，條件基本上是一個組規(guī)則，當ACL語句條件與比較的數(shù)據(jù)包內(nèi)容匹配時，可以采取允許和拒絕兩個操作。任務5

訪問控制列表【知識鏈接】2.標準和擴展訪問控制列表訪問控制列表主要包括標準訪問控制列表和擴展訪問控制列表兩種，標準訪問控制列表只能過濾IP數(shù)據(jù)包頭中的源IP地址、擴展訪問控制列表可以過濾源IP地址、目的IP地址、協(xié)議（TCP/IP）、端口號等。（1）標準訪問控制列表一個標準IP訪問控制列表匹配IP包中的源地址或源地址中的一部分，可對匹配的包采取拒絕或允許兩個操作。編號范圍是從1到99的訪問控制列表是標準IP訪問控制列表。標準訪問控制列表命令格式①使用編號來創(chuàng)建標準訪問控制列表使用編號創(chuàng)建ACL：access-listlistnumber{permit|deny}address[wildcard–mask]在接口上應用：ipaccess-group{id|name}{in|out}In--當流量從網(wǎng)絡網(wǎng)段進入路由器接口時Out--當流量離開接口到網(wǎng)絡網(wǎng)段時②使用名稱來創(chuàng)建標準訪問控制列表定義ACL名稱：ipaccess-liststandardname定義規(guī)則：{deny|permit[sourcewildcardany]}在接口上應用：ipaccess-group{id|name}{in|out}

任務5

訪問控制列表【知識鏈接】2）標準訪問控制列表配置示例按照圖3-5-2所示的網(wǎng)絡拓撲結(jié)構(gòu)配置標準訪問控制列表：使用編號創(chuàng)建ACL：SW3(config)#access-list1permithostSW3(config)#access-list1permithostSW3(config)#interfacefastEthernet0/2SW3(config-if)#ipaccess-group1out使用名稱創(chuàng)建ACL：SW3(config)#ipaccess-liststandardnet1SW3(config-std-nacl)#permithostSW3(config-std-nacl)#permithostSW3(config-std-nacl)#exitSW3(config)#interfacefastEthernet0/2SW3(config-if)#ipaccess-groupnet1out任務5

訪問控制列表圖3-5-2標準訪問控制列表配置網(wǎng)絡拓撲圖【知識鏈接】1.訪問控制列表訪問控制是網(wǎng)絡安全防范和保護的主要策略，它的主要任務是保證網(wǎng)絡資源不被非法使用和訪問。它是保證網(wǎng)絡安全最重要的核心策略之一。訪問控制涉及的技術(shù)也比較廣，包括入網(wǎng)訪問控制、網(wǎng)絡權(quán)限控制、目錄級控制以及屬性控制等多種手段。訪問控制列表（AccessControlLists,ACL）是應用在路由器接口的指令列表。這些指令列表用來告訴路由器哪些數(shù)據(jù)包可以收、哪些數(shù)據(jù)包需要拒絕。至于數(shù)據(jù)包是被接收還是拒絕，可以由類似于源地址、目的地址、端口號等的特定指示條件來決定。它具有安全控制、流量過濾、數(shù)據(jù)流量標識三個作用訪問控制列表不但可以起到控制網(wǎng)絡流量、流向的作用，而且在很大程度上起到保護網(wǎng)絡設備、服務器的關鍵作用。作為外網(wǎng)進入企業(yè)內(nèi)網(wǎng)的第一道關卡，路由器上的訪問控制列表成為保護內(nèi)網(wǎng)安全的有效手段。此外，在路由器的許多其他配置任務中都需要使用訪問控制列表，如網(wǎng)絡地址轉(zhuǎn)換（NetworkAddressTranslation，NAT）、按需撥號路由（DialonDemandRouting，DDR）、路由重分布（RoutingRedistribution）、策略路由（Policy-BasedRouting，PBR）等很多場合都需要訪問控制列表。ACL語句有二個部分，一個是條件，一個是操作，條件基本上是一個組規(guī)則，當ACL語句條件與比較的數(shù)據(jù)包內(nèi)容匹配時，可以采取允許和拒絕兩個操作。任務5

訪問控制列表【知識鏈接】（2）擴展訪問控制列表擴展訪問控制列表的IP訪問表用于擴展報文過濾能力。一個擴展的IP訪問表允許用戶根據(jù)如下內(nèi)容過濾報文：源和目的地址、協(xié)議、源和目的端口以及在特定報文字段中允許進行特殊位比較的各種選項。1）擴展訪問控制列表命令格式①使用編號來創(chuàng)建擴展訪問控制列表使用編號創(chuàng)建擴展ACL：access-listlistnumber{permit|deny}protocolsourcesource-wildcard–maskdestinationdestination-wildcard–mask[operatoroperand]在接口上應用：ipaccess-group{id|name}{in|out}②使用命名來創(chuàng)建擴展訪問控制列表