任務(wù)：配置匯聚層交換機安全,限制子網(wǎng)之間通訊安全

任務(wù)19配置匯聚交換機安全，限制子網(wǎng)之間安全《網(wǎng)絡(luò)設(shè)備安裝與調(diào)試技術(shù)》目錄一、任務(wù)描述 二、任務(wù)分析 三、知識準備 19.1數(shù)據(jù)包過濾技術(shù) 19.2什么是訪問控制列表技術(shù) 19.3訪問控制列表的類型 19.4標準訪問控制列表基礎(chǔ) 19.5配置標準訪問控制列表技術(shù) 19.6配置命名的標準訪問控制列表 四、任務(wù)實施 19.7綜合實訓(xùn)：配置匯聚交換機安全，限制子網(wǎng)通訊安全 知識拓展 認證測試

任務(wù)描述浙江科技工程學(xué)校多媒體實訓(xùn)中心機房，之前為了避免各個多媒體教室之間互相干擾，按教室分別在二層接入交換機上實施VLAN技術(shù)，把多媒體教室隔離開。后來為了加強管理，實施了機房網(wǎng)絡(luò)的改造，實施子網(wǎng)技術(shù)，安裝了三層交換機設(shè)備，通過在三層交換機上實施子網(wǎng)技術(shù)，實現(xiàn)了網(wǎng)絡(luò)的互聯(lián)互通。但互聯(lián)互通的網(wǎng)絡(luò)給網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全上，都帶來了很多麻煩，需要實施訪問控制列表技術(shù)，限制機房子網(wǎng)之間通訊安全。。任務(wù)分析訪問控制列表ACL最直接的功能便是包過濾。ACL實際上是一張規(guī)則檢查表，這些表中包含了很多簡單的指令規(guī)則，告訴交換機或者路由器設(shè)備，哪些數(shù)據(jù)包是可以接收，哪些數(shù)據(jù)包是需要拒絕。標準訪問控制列表（StandardIPACL）檢查數(shù)據(jù)包的源地址信息，數(shù)據(jù)包在通過網(wǎng)絡(luò)設(shè)備時，設(shè)備解析IP數(shù)據(jù)包中的源地址信息，對匹配成功的數(shù)據(jù)包采取拒絕或允許操作。知識準備19.1數(shù)據(jù)包過濾技術(shù)。訪問控制列表ACL（AccessControlList），最直接的功能便是包過濾。通過訪問控制列表（ACL）可以在路由器、三層交換機上進行網(wǎng)絡(luò)安全屬性配置，可以實現(xiàn)對進入到路由器、三層交換機的輸入數(shù)據(jù)流進行過濾。知識準備19.2什么是訪問控制列表技術(shù)。訪問控制列表ACL技術(shù)是AccessControlList的簡寫，簡單的說法便是數(shù)據(jù)包過濾。網(wǎng)絡(luò)管理人員通過對網(wǎng)絡(luò)互聯(lián)設(shè)備的配置管理，來實施對網(wǎng)絡(luò)中通過的數(shù)據(jù)包的過濾，從而實現(xiàn)對網(wǎng)絡(luò)中的資源進行訪問輸入和輸出的訪問控制。配置在網(wǎng)絡(luò)互聯(lián)設(shè)備中的訪問控制列表ACL實際上是一張規(guī)則檢查表，這些表中包含了很多簡單的指令規(guī)則，告訴交換機或者路由器設(shè)備，哪些數(shù)據(jù)包是可以接收，哪些數(shù)據(jù)包是需要拒絕。知識準備19.3訪問控制列表的類型。訪問控制列表ACL的類型主要分為IP標準訪問控制列表（StandardIPACL）和IP擴展訪問控制列表（ExtendedIPACL）；主要的動作為允許（Permit）和拒絕（Deny）如圖所示；主要的應(yīng)用方法是入棧（In）應(yīng)用和出棧（Out）應(yīng)用。根據(jù)訪問控制標準不同，ACL分多種類型，實現(xiàn)不同網(wǎng)絡(luò)安全訪問控制權(quán)限。常見ACL有兩類：標準訪問控制列表（StandardIPACL）和擴展訪問控制列表（ExtendedIPACL），在規(guī)則中使用不同的編號區(qū)別，其中標準訪問控制列表的編號取值范圍為1~99；擴展訪問控制列表的編號取值范圍為100~199。知識準備19.4標準訪問控制列表基礎(chǔ)。標準訪問控制列表（StandardIPACL）檢查數(shù)據(jù)包源地址信息，數(shù)據(jù)包在通過網(wǎng)絡(luò)設(shè)備時，設(shè)備解析IP數(shù)據(jù)包中源地址，對匹配成功數(shù)據(jù)包采取拒絕或允許操作。在編制標準訪問控制列表規(guī)則時，使用編號1到99區(qū)別同一設(shè)備上配置不同標準訪問控制列表條數(shù)。如果需要在網(wǎng)絡(luò)設(shè)備上配置標準訪問控制列表規(guī)則，使用以下的語法的格式：Access-listlistnumber{permit|deny}source--address[wildcard–mask]知識準備19.5配置標準訪問控制列表技術(shù)。某企業(yè)有一分公司，其內(nèi)部規(guī)劃使用的IP地址為B類的。通過總公司來控制所有分公司網(wǎng)絡(luò)，每個分公司通過總部的路由器訪問Internet?，F(xiàn)在公司規(guī)定只允許來自網(wǎng)絡(luò)的主機訪問Internet。要實現(xiàn)這點，需要在總部接入路由器上配置標準型訪問控制列表，語句規(guī)則如下：Router#configureterminalRouter（config）!允許所有來自網(wǎng)絡(luò)中數(shù)據(jù)包通過，可以訪問InternetRouter（config）!其它所有網(wǎng)絡(luò)的數(shù)據(jù)包都將丟棄，禁止訪問Internet知識思準備19樣.5配置宮標準盆訪問流控制墓列表蛾技術(shù)。訪問信控制招列表粱主要崇應(yīng)用北方向返是接屯入（In）檢蓋查和賴流出估（Ou描t）檢草查，喜控制曠接口命中不踏同方秧向的友數(shù)據(jù)梅包。如將需編制垃好訪央問控恐制列售表規(guī)照則應(yīng)范用于蠶路由罵器串蟲口0上，稼使用柳如下壤命令俗：Ro際ut敗er繪>潔c煙on偵fi責gu賓re弊t果er倍mi稍na移lRo糟ut轟er葡(紐奉co另nf掩ig滋)圣#竭in拌te驅(qū)rf擴ac移e揀se蹤蝶ri初al蓮0Ro草ut場er路(庸co擁nf旅ig堅-i脂f)恥#腦i唐p季ac辯ce給ss堵-g容ro伙up口1葬i領(lǐng)n知識遠準備19霸.6配置魚命名花的標野準訪遙問控贈制列澇表?；诤蹙幪杻r的IP立A錘CL是訪議問控曲制列詳表發(fā)敞展早馳期，妹應(yīng)用火最為姐廣泛心的技受術(shù)之陣一。森其中快標準撕的IP黃A納CL使用盼數(shù)字射編號老的范睬圍為剩：1~醫(yī)99和13市00儉~1駛99乒9；擴盆展IP珠A略CL使用污數(shù)字宴編號屈的范批圍為尿：10就0~冠19伐9和20側(cè)00邁~2澇69徑9。但使蟻用編劫號IP沖A拴CL不容糞易識雅別，經(jīng)數(shù)字帆不容霜易區(qū)設(shè)分，牌特別攏是基筍于編固號的IP攜A揚CL在修加改上捎非常戒不方若便。步近些豆年來勉，隨昌著設(shè)做備性碌能改幼善以湖及技綠術(shù)進第步，億基于伐名稱IP范A宇CL應(yīng)運斥而生淚，基斧于名腫稱IP永A全CL在技寧術(shù)開歪發(fā)上逢，避苦免基校于編奔號IP市A染CL應(yīng)用除上不賤足。知識數(shù)準備19燒.6配置鈴命名遲的標食準訪暫問控兼制列拳表。Sw瞇it拜ch丟#失c團on涉fi浙gu讓re瘋t道er菌mi爐na桃lSw羽it弄ch（co滔nf神ig）#抱ip才a峽cc速es扭s-快li交st演s賴ta占nd衫ar萌d癥Pe炕rm跟it課-1以72僵-S掙ub碰ne窩tw煙or壺k!允許爆所有之來自脾網(wǎng)絡(luò)兆中數(shù)著據(jù)包指通過院，可點以訪聚問In菠te學(xué)rn吸et!其它魂所有讀網(wǎng)絡(luò)拆的數(shù)日據(jù)包友都將零丟棄效，禁晨止訪五問In顛te信rn來et任務(wù)捉實施【網(wǎng)絡(luò)平場景】如圖寬所示思網(wǎng)絡(luò)猶拓撲悠，浙短江科贏技工氣程學(xué)趟校多兵媒體桂實訓(xùn)顆中心墾機房旋網(wǎng)絡(luò)梳場景寺，學(xué)團校為齒了加蓄強管墨理，厚需要吵實施渠訪問惡控制葵列表他技術(shù)孕，限楚制機勸房子纖網(wǎng)之燈間通瀉訊安壘全。。任務(wù)扛實施【設(shè)備散清單】：三層篩交換蒜機（1臺）壓、勢計算餓機（>=定3臺）舟、場雙早絞線傍（若稼干根播）?！緦嵤┒歼^程】步驟棉一：汁安裝筑網(wǎng)絡(luò)藝工作坊環(huán)境步驟物二：IP地址翠規(guī)劃嗽與設(shè)遞置步驟椅三：賠配置啟三層代交換錄機基光本信驢息步驟無四：化網(wǎng)絡(luò)藏測試梳（1）步驟松五：川配置僻三層肆交換建機名暗稱標墓準訪猶問控勿制列幫表，挖并應(yīng)簽用在吳接口忙上知識魔拓展本單委元模任塊主慰要介乏