網(wǎng)絡(luò)設(shè)備安裝與調(diào)試（銳捷版）（第2版）課件 項目5-8 配置路由器接入廣域網(wǎng)- 配置無線局域網(wǎng)設(shè)備

網(wǎng)絡(luò)設(shè)備安裝與維護1+X職業(yè)技能等級證書配套教材數(shù)字化課程推薦精品教材職業(yè)教育新形態(tài)活頁式教材項目5：配置路由器接入廣域網(wǎng)十二五職業(yè)教育國家規(guī)劃教材《網(wǎng)絡(luò)設(shè)備安裝與調(diào)試》（銳捷版）（V2.0)一期建設(shè)完成北京某中心小學(xué)校園網(wǎng)采用三層架構(gòu)部署，使用高性能的交換機連接，實現(xiàn)校園網(wǎng)的高速傳輸。校園網(wǎng)出口采用路由器接入到北京市普教城域網(wǎng)中，通過路由實現(xiàn)全網(wǎng)聯(lián)通。在使用過程中，發(fā)現(xiàn)接入普教城域網(wǎng)速度受限，增加一條電信鏈路，配置路由器接入廣域網(wǎng)。項目背景目錄Contents任務(wù)1配置路由器廣域網(wǎng)鏈路任務(wù)2配置路由器廣域網(wǎng)鏈路認證任務(wù)3配置路由器NAT技術(shù)任務(wù)1配置路由器廣域網(wǎng)鏈路廣域網(wǎng)的概念服務(wù)供應(yīng)商廣域網(wǎng)（WideAreaNetworks，WAN）距離遠、帶寬小、延時大5.1.1廣域網(wǎng)鏈路廣域網(wǎng)覆蓋范圍從數(shù)千米到數(shù)千千米，連接若干城市，甚至跨越國界，成為全球網(wǎng)絡(luò)。廣域網(wǎng)將地理上相隔很遠局域網(wǎng)互聯(lián)起來。5.1.1廣域網(wǎng)鏈路廣域網(wǎng)是互聯(lián)網(wǎng)核心，其任務(wù)是通過長距離運送數(shù)據(jù)。連接廣域網(wǎng)各結(jié)點交換機的鏈路都是高速鏈路，其距離是幾千千米光纜線路，實現(xiàn)網(wǎng)絡(luò)通信。5.1.1廣域網(wǎng)鏈路廣域網(wǎng)應(yīng)用于大部分行業(yè)。在教育行業(yè)中應(yīng)用于出口鏈路。金融行業(yè)主要應(yīng)用于各級分行互聯(lián)，政府行業(yè)應(yīng)用于各級部門互聯(lián)。5.1.1廣域網(wǎng)鏈路廣域網(wǎng)類型可分為專線、電路交換、分組交換、VPN等類型。典型專線技術(shù)有DDN、E1、POS、MSTP等。5.1.1廣域網(wǎng)鏈路典型電路交換技術(shù)有PSTN模擬撥號和ISDN數(shù)字撥號等。5.1.1廣域網(wǎng)鏈路典型的分組交換技術(shù)有FR、ATM、X.25等。5.1.1廣域網(wǎng)鏈路虛擬專用網(wǎng)絡(luò)（VirtualPrivateNetwork，VPN）指本地LAN和遠程LAN通過寬帶撥號或固定IP互聯(lián)，在兩者之間建立二層或三層隧道穿越互聯(lián)網(wǎng)。主要用于穿越公網(wǎng)，提供數(shù)據(jù)加密、數(shù)據(jù)包完整性檢驗、身份認證等功能。PPP概述PPP（Point-to-PointProtocol點到點協(xié)議）是為在同等單元之間傳輸數(shù)據(jù)包這樣的簡單鏈路設(shè)計的鏈路層協(xié)議。這種鏈路提供全雙工操作，并按照順序傳遞數(shù)據(jù)包。PPP是一種分層的協(xié)議，最初由LCP發(fā)起對鏈路的建立、配置和測試。在LCP初始化后，通過一種或多種“網(wǎng)絡(luò)控制協(xié)議（NCP）”來傳送特定協(xié)議族的通信。PPP提供了一種在點對點的鏈路上封裝多協(xié)議數(shù)據(jù)報（IP、IPX和AppleTalk）的標(biāo)準(zhǔn)方法。5.1.2配置路由器設(shè)備的PPP協(xié)議一種數(shù)據(jù)流傳送方式，該方式與數(shù)據(jù)報傳送方式不同，用數(shù)據(jù)流替代一個個的數(shù)據(jù)幀，使用流作為數(shù)據(jù)發(fā)送單位，整個流數(shù)據(jù)具有一個地址信息，只需要進行一次地址驗證即可。PPP協(xié)議簡介PPP協(xié)議是目前使用最廣泛的廣域網(wǎng)協(xié)議，這是因為它具有以下特性：

能夠控制數(shù)據(jù)鏈路的建立；能夠?qū)P地址進行分配和使用；允許同時采用多種網(wǎng)絡(luò)層協(xié)議；能夠配置和測試數(shù)據(jù)鏈路；能夠進行錯誤檢測；有協(xié)商選項，能夠?qū)W(wǎng)絡(luò)層的地址和數(shù)據(jù)壓縮等進行協(xié)商。5.1.2配置路由器設(shè)備的PPP協(xié)議1．概述點到點協(xié)議（Point-to-PointProtocol，PPP）在同等單元之間傳輸，是WAN連接簡單鏈路設(shè)計鏈路層。提供全雙工操作，按照順序傳遞數(shù)據(jù)包。LCP(連接控制協(xié)議)NCP(網(wǎng)絡(luò)控制協(xié)議)21(IP,IPX,AppleTalk)3PPP協(xié)議結(jié)構(gòu)(EIA/TIA-232,V.24,V.35,ISDN)5.1.2配置路由器設(shè)備的PPP協(xié)議因為鏈路失效、認證失敗、鏈路質(zhì)量狀態(tài)失敗、鏈路空閑時間超時以及管理員關(guān)閉鏈路等原因，可隨時進入鏈路終止?fàn)顟B(tài)。PPP協(xié)議會在發(fā)送Terminate-Request并接收到Terminate-ACK以后進入該狀態(tài)。PPP幀結(jié)構(gòu)PPP幀格式和HDLC幀格式相似，主要區(qū)別：PPP是面向字符的，而HDLC是面向位的。PPP的工作過程在點對點鏈路的配置、維護和終止過程中，PPP需經(jīng)歷以下幾個階段：鏈路不可用階段鏈路建立階段驗證階段網(wǎng)絡(luò)層協(xié)議階段網(wǎng)絡(luò)終止階段【綜合實訓(xùn)1】：配置路由器PPP協(xié)議【綜合實訓(xùn)1】：配置路由器PPP協(xié)議【綜合實訓(xùn)1】：配置路由器PPP協(xié)議【綜合實訓(xùn)1】：配置路由器PPP協(xié)議【綜合實訓(xùn)1】：配置路由器PPP協(xié)議任務(wù)2

配置廣域網(wǎng)鏈路認證PPP幀結(jié)構(gòu)PPP幀格式和HDLC幀格式相似，主要區(qū)別：PPP是面向字符的，而HDLC是面向位的。PPP的工作過程在點對點鏈路的配置、維護和終止過程中，PPP需經(jīng)歷以下幾個階段：鏈路不可用階段鏈路建立階段驗證階段網(wǎng)絡(luò)層協(xié)議階段網(wǎng)絡(luò)終止階段PAP和CHAP認證PPP支持兩種授權(quán)協(xié)議：PAP（PasswordAuthenticationProtocol）和CHAP（ChallengeHandAuthenticationProtocol）。密碼驗證協(xié)議（PAP，PasswordAuthenticationProtocol）通過兩握手機制，為建立遠程節(jié)點的驗證提供了一個簡單的方法。挑戰(zhàn)握后驗證協(xié)議（CHAP，ChallengeHandAuthenticationProtocol）使用三次握手機制來啟動一條鏈路和周期性的驗證遠程節(jié)點。PAP認證PAP認證是兩次握手，PAP不是一種健壯的身份驗證協(xié)議。身份驗證時在鏈路上以明文發(fā)送，而且由于驗證重試的頻率和次數(shù)由遠程節(jié)點來控制，因此不能防止回放攻擊和重復(fù)的嘗試攻擊。5.2.1PPP協(xié)議安全認證PPP鏈路協(xié)商中，可以配置認證，客戶端將身份發(fā)送給遠端接入服務(wù)器。該階段使用一種安全驗證，避免第三方竊取數(shù)據(jù)，或冒充遠程客戶接管，與客戶端連接。5.2.1PPP協(xié)議安全認證PAP簡單明文驗證方式，接入服務(wù)器要求用戶提供用戶名和口令，PAP以明文方式返回用戶信息。這種驗證方式安全性差，第三方很容易獲取用戶名和口令。5.2.1PPP協(xié)議安全認證CHAP加密驗證方式，比PAP認證更安全，因為CHAP不在線路上發(fā)送明文密碼，而是發(fā)送經(jīng)過摘要算法加工過隨機序列，也稱“挑戰(zhàn)字符串”。CHAP認證CHAP為三次握手協(xié)議它只在網(wǎng)絡(luò)上傳送用戶名而不傳送口令PPP驗證過程CHAP身份驗證呼叫階段CAHP身份驗證挑戰(zhàn)階段PPP驗證過程CHAP身份驗證回應(yīng)階段PPP驗證過程CHAP身份驗證回應(yīng)階段PPP驗證過程CHAP身份驗證確認階段PPP驗證過程CHAP身份驗證確認階段（成功）PPP驗證過程CHAP身份驗證確認階段（失?。┡渲肞PP協(xié)議配置時鐘頻率，需要在DCE設(shè)備上配置配置封裝協(xié)議。Router(config-if)#clockratebps

Router(config-if)#encapsulationencapsulation-type

配置PAP認證服務(wù)器端，建立本地口令數(shù)據(jù)庫服務(wù)器端，要求進行PAP認證客戶端將用戶名和口令發(fā)送到對端Router(config-if)#username

name{nopassword|password{password|[0|7]

Router(config-if)#pppauthentication

{chap|pap|chap

pap|papchap}[callin]

Router(config-if)#ppppapsent-username

username[password

encryption-typepassword]

配置CHAP認證服務(wù)器端和客戶端，建立本地口令數(shù)據(jù)庫服務(wù)器端，要求進行CHAP認證Router(config-if)#username

name{nopassword|password{password|[0|7]

Router(config-if)#pppauthentication

{chap|pap|chap

pap|papchap}[callin]

故障排除檢查二層的封裝，同時也可以顯示LCP和NCP兩者的狀態(tài)，觀察PPP通訊過程中的報文信息查看在PPP通訊過程中授權(quán)調(diào)試信息Router#showinterfaceserial

Router#debugppppackets

Router#degub

pppauthentication

5.2.2配置PAP協(xié)議安全認證5.2.3配置CHAP協(xié)議安全認證【綜合實訓(xùn)2】：配置PAP協(xié)議安全認證【綜合實訓(xùn)2】：配置PAP協(xié)議安全認證【綜合實訓(xùn)2】：配置PAP協(xié)議安全認證【綜合實訓(xùn)3】：配置CHAP協(xié)議安全認證【綜合實訓(xùn)3】：配置CHAP協(xié)議安全認證【綜合實訓(xùn)3】：配置CHAP協(xié)議安全認證任務(wù)3

配置NAT技術(shù)NAT概念NAT英文全稱是“NetworkAddressTranslation”，中文意思是“網(wǎng)絡(luò)地址轉(zhuǎn)換”，它是一個IETF(InternetEngineeringTaskForce,Internet工程任務(wù)組)標(biāo)準(zhǔn)，允許一個整體機構(gòu)以一個公用IP（InternetProtocol）地址出現(xiàn)在Internet上。它是一種把內(nèi)部私有網(wǎng)絡(luò)地址（IP地址）翻譯成合法網(wǎng)絡(luò)IP地址的技術(shù)。NAT的典型應(yīng)用是將使用私有IP地址（RFC1918）的園區(qū)網(wǎng)絡(luò)連接到Internet5.3.1了解路由器NAT技術(shù)NAT把地址分成內(nèi)部地址和外部地址。內(nèi)部地址分為內(nèi)部本地（InsideLocal，IL）地址和內(nèi)部全局（InsideGlobal，IG）地址。外部地址分為外部本地（OutsideLocal，OL）地址和外部全局（OutsideGlobal，OG）地址。地址空間不足帶來的問題注冊IP地址空間將要耗盡，而internet的規(guī)模仍在持續(xù)增長隨著internet的增長，骨干互聯(lián)網(wǎng)路由選擇表中的IP路由數(shù)據(jù)也在增加，這引發(fā)了路由選擇算法的擴展問題NAT是一種節(jié)約大型網(wǎng)絡(luò)中注冊IP地址并簡化IP尋址管理任務(wù)的機制，NAT已經(jīng)標(biāo)準(zhǔn)化并在RFC1613中描述。

NAT的用途解決地址空間不足的問題；IPv4的空間已經(jīng)嚴重不足私有IP地址網(wǎng)絡(luò)與公網(wǎng)互聯(lián)；/8，/12，/16非注冊IP地址網(wǎng)絡(luò)與公網(wǎng)互聯(lián)；建網(wǎng)時分配了全局IP地址－但沒注冊網(wǎng)絡(luò)改造中，避免更改地址帶來的風(fēng)險5.3.1了解路由器NAT技術(shù)私有地址00在互聯(lián)網(wǎng)上不被傳輸?shù)牡刂罚?dāng)PC訪問遠程主機時，數(shù)據(jù)包要通過一個運行NAT技術(shù)路由器。NAT術(shù)語術(shù)語定義內(nèi)部本地IP地址分配給內(nèi)部網(wǎng)絡(luò)中的主機的IP地址，通常這種地址來自RFC1918指定的私有地址空間。內(nèi)部全局IP地址內(nèi)部全局IP地址，對外代表一個或多個內(nèi)部本地IP地址，通常這種地址來自全局惟一的地址空間，通常是ISP提供的。外部全局IP地址外部網(wǎng)絡(luò)中的主機的IP地址，通常來自全局可路由的地址空間。外部本地IP地址在內(nèi)部網(wǎng)絡(luò)中看到的外部主機的IP地址，通常來自RFC1918定義的私有地址空間。簡單轉(zhuǎn)換條目將一個IP地址映射到另一個IP地址（通常被稱為網(wǎng)絡(luò)地址轉(zhuǎn)換）的轉(zhuǎn)換條目。擴展轉(zhuǎn)換條目將一個IP地址和端口對映射到另一個IP地址和端口（通常被稱為端口地址轉(zhuǎn)換）對的轉(zhuǎn)換條目。NAT術(shù)語NAT轉(zhuǎn)換包括多種不同類型，并可用于多種目的靜態(tài)NAT：按照一一對應(yīng)的方式將每個內(nèi)部IP地址轉(zhuǎn)換為一個外部IP地址，這種方式經(jīng)常用于企業(yè)網(wǎng)的內(nèi)部設(shè)備需要能夠被外部網(wǎng)絡(luò)訪問到時。動態(tài)NAT：將一個內(nèi)部IP地址轉(zhuǎn)換為一組外部IP地址（地址池）中的一個IP地址。超載（Overloading）NAT：動態(tài)NAT的一種實現(xiàn)形式，利用不同端口號將多個內(nèi)部IP地址轉(zhuǎn)換為一個外部IP地址，也稱為PAT、NAPT或端口復(fù)用NAT。5.3.1了解路由器NAT技術(shù)當(dāng)內(nèi)網(wǎng)中主機，想傳輸數(shù)據(jù)到外部網(wǎng)絡(luò)，先將數(shù)據(jù)包傳輸?shù)絅AT路由器，路由器檢查報頭，獲取源IP信息，使用NAT映射表轉(zhuǎn)換，用內(nèi)部全局地址替換內(nèi)部本地地址，轉(zhuǎn)發(fā)數(shù)據(jù)包。NAPT的工作過程5.3.2了解路由器NAPT技術(shù)在Internet使用NAPT時，所有不同TCP和UDP信息流看起來好像來源同一IP。在小型辦公室非常實用，從ISP處申請一個IP地址，將多個連接通過NAPT接入Internet。5.3.3配置路由器NAT技術(shù)5.3.3配置路由器NAT技術(shù)5.3.4配置路由器NAPT技術(shù)NAT實現(xiàn)私有IP地址和公共IP地址之間轉(zhuǎn)換，受到公共IP地址數(shù)量限制。為了克服這種限制，NAT進一步擴展到，進行Port轉(zhuǎn)換，這就是NAPT技術(shù)。NAPT與NAT區(qū)別在于，NAPT不僅轉(zhuǎn)換IP包中IP地址，還對IP包中TCP和UDP的Port轉(zhuǎn)換。這使得多臺私有網(wǎng)主機利用1個NAT公共IP，可以同時和公共網(wǎng)通信?！揪C合實訓(xùn)4】：配置路由器NAPT技術(shù)【綜合實訓(xùn)4】：配置路由器NAPT技術(shù)【綜合實訓(xùn)4】：配置路由器NAPT技術(shù)THANKS

十二五職業(yè)教育國家規(guī)劃教材網(wǎng)絡(luò)設(shè)備安裝與維護1+X職業(yè)技能等級證書配套教材數(shù)字化課程推薦精品教材職業(yè)教育新形態(tài)活頁式教材項目6：配置網(wǎng)絡(luò)安全技術(shù)十二五職業(yè)教育國家規(guī)劃教材《網(wǎng)絡(luò)設(shè)備安裝與調(diào)試》（銳捷版）（V2.0)一期建設(shè)完成北京某中心小學(xué)校園網(wǎng)采用三層架構(gòu)部署，使用高性能的交換機連接，實現(xiàn)校園網(wǎng)的高速傳輸。為保障校園網(wǎng)安全，需要校園網(wǎng)實施接入端口安全；在核心網(wǎng)實施訪問控制安全，避免遭受網(wǎng)絡(luò)安全事件發(fā)生。項目背景目錄Contents任務(wù)1：配置網(wǎng)絡(luò)設(shè)備登錄安全。任務(wù)2：配置交換機端口安全。任務(wù)3：配置編號訪問控制列表安全任務(wù)4：配置名稱訪問控制列表安全任務(wù)1配置設(shè)備登錄安全常見安全隱患網(wǎng)絡(luò)安全的隱患是指計算機或其他通信設(shè)備利用網(wǎng)絡(luò)進行交互時可能會受到的竊聽、攻擊或破壞，它是指具有侵犯系統(tǒng)安全或危害系統(tǒng)資源的潛在的環(huán)境、條件或事件。園區(qū)網(wǎng)絡(luò)安全隱患包括的范圍比較廣，如自然火災(zāi)、意外事故、人為行為（如使用不當(dāng)、安全意識差等）、黑客行為、內(nèi)部泄密、外部泄密、信息丟失、電子監(jiān)聽（信息流量分析、信息竊取等）和信息戰(zhàn)等。非人為或自然力造成的硬件故障、電源故障、軟件錯誤、火災(zāi)、水災(zāi)、風(fēng)暴和工業(yè)事故等。人為但屬于操作人員無意的失誤造成的數(shù)據(jù)丟失或損壞。來自園區(qū)網(wǎng)外部和內(nèi)部人員的惡意攻擊和破壞。園區(qū)網(wǎng)安全解決方案思路制定一個嚴格的安全策略可以通過交換機端口安全配置訪問控制列表ACL在防火墻實現(xiàn)包過濾等技術(shù)實現(xiàn)一套可行的園區(qū)網(wǎng)安全解決方案。宣傳教育6.1.1配置交換機控制臺密碼通過以下方式給交換機設(shè)置密碼。設(shè)置密碼后，用戶登錄交換機時，需要輸入密碼才能進入用戶模式。一般還設(shè)置特權(quán)密碼，用戶從用戶模式到特權(quán)模式時需要輸入密碼。6.1.2配置路由器控制臺密碼配置設(shè)備時，如果已登錄設(shè)備，管理員離開計算機后有外人靠近計算機對網(wǎng)絡(luò)設(shè)備配置，則可能會出現(xiàn)問題。需要給控制臺設(shè)置超時時間，在一段時間沒有配置網(wǎng)絡(luò)設(shè)備自動退出，需要再次輸入密碼?！揪C合實訓(xùn)1】：配置控制臺密碼【綜合實訓(xùn)1】：配置控制臺密碼【綜合實訓(xùn)1】：配置控制臺密碼目錄Contents任務(wù)1：配置網(wǎng)絡(luò)設(shè)備登錄安全。任務(wù)2：配置交換機端口安全。任務(wù)3：配置編號訪問控制列表安全任務(wù)4：配置名稱訪問控制列表安全任務(wù)2配置交換機端口安全交換機端口安全概述交換機的端口安全機制是工作在交換機二層端口上的一個安全特性只允許特定MAC地址的設(shè)備接入到網(wǎng)絡(luò)中，從而防止用戶將非法或未授權(quán)的設(shè)備接入網(wǎng)絡(luò)。限制端口接入的設(shè)備數(shù)量，防止用戶將過多的設(shè)備接入到網(wǎng)絡(luò)中。配置端口安全存在以下限制：一個安全端口必須是一個Access端口，及連接終端設(shè)備的端口，而非Trunk端口。一個安全端口不能是一個聚合端口（AggregatePort）。一個安全端口不能是SPAN的目的端口。6.2.1配置交換機端口安全1．端口安全交換機有端口安全，利用端口安全，實現(xiàn)接入安全，限制交換機上某個端口MAC地址及IP地址，控制對該端口輸入。當(dāng)打開端口安全，配置安全地址后，除源地址為這些安全地址包外，不轉(zhuǎn)發(fā)其它任何包。6.2.1配置交換機端口安全當(dāng)該端口收到不屬于端口包，一個安全違例將產(chǎn)生，選擇多種方式來處理違例，如丟棄接收到的數(shù)據(jù)包、發(fā)送違例通知或關(guān)閉相應(yīng)端口等。設(shè)置了安全端口上安全地址的最大個數(shù)后，可以使用下面幾種方式加滿端口上的安全地址。使用接口配置模式下的命令“switchportport-securitymac-addressmac-address[ip-addressip-address]”，來手工配置端口的所有安全地址。交換機端口安全當(dāng)配置完成端口安全之后，如果當(dāng)違例產(chǎn)生時，可以設(shè)置下面幾種針對違例的處理模式：protect：當(dāng)安全地址個數(shù)滿后，安全端口將丟棄未知名地址(不是該端口的安全地址中的任何一個)的包restrict：當(dāng)違例產(chǎn)生時，交換機不但丟棄接收到的幀（MAC地址不在安全地址表中），而且將發(fā)送一個SNMPTrap報文shutdown：當(dāng)違例產(chǎn)生時，交換機將丟棄接收到的幀（MAC地址不在安全地址表中），發(fā)送一個SNMPTrap報文，而且將端口關(guān)閉。6.2.1配置交換機端口安全2．端口安全違例端口安全主要有以下兩種作用。? 限制交換機端口能接入的最大主機數(shù)。? 根據(jù)需要針對端口綁定用戶地址。當(dāng)用戶發(fā)出不符合交換機端口安全的數(shù)據(jù)時，交換機會進行違例處理，方法如下。? Protect：當(dāng)安全地址個數(shù)滿后，安全端口將丟棄所有新接入的用戶數(shù)據(jù)流。該處理模式為默認的對違例的處理模式。? Restrict：當(dāng)違例產(chǎn)生時，將發(fā)送一個Trap通知。? Shutdown：當(dāng)違例產(chǎn)生時，將關(guān)閉端口并發(fā)送一個Trap通知。6.2.1配置交換機端口安全3．配置端口安全（1）開啟端口安全。Switch(config-if-FastEthernet0/1)#switchportport-security（2）配置安全策略。其中一個方式是配置最大安全地址數(shù)。Switch(config-if-FastEthernet0/1)#switchportport-securitymaximumnumber一個千兆接口上最多支持120個同時申明IP地址和MAC地址的安全地址。（3）綁定用戶信息。針對端口進行MAC地址綁定（只綁定并檢查二層源MAC）：Switch(config-if-FastEthernet0/1)#switchportport-securitymac-addressmac-addressvlanvlan-id6.2.1配置交換機端口安全3．配置端口安全針對端口綁定IP（只綁定并檢查源IP）：Switch(config-if-FastEthernet0/1)#switchportport-securitybindingip-address針對端口綁定IP+MAC（綁定并檢查源MAC和源IP）：Switch(config-if-FastEthernet0/1)#switchportport-securitybindingmac-addressvlanvlan-idip-address6.2.1配置交換機端口安全4.設(shè)置違例方式。Switch(config-if-FastEthernet0/1)#switchportport-securityviolation{protect|restrict|shutdown}如果上述違例方式設(shè)為shutdown且出現(xiàn)違例后，要恢復(fù)端口的操作，即：Switch(config)#errdisablerecovery備注：關(guān)于端口和接口區(qū)別：接口主要為設(shè)備的物理口，例如：Fa0/1或Gi0/1；而端口的表現(xiàn)范圍更加廣泛，不僅僅包括物理接口，還包括虛擬的口，例如：vlan10或loopback0等。6.2.2配置交換機保護端口安全在將某些端口設(shè)為保護口之后，保護口之間無法互相通信，保護口與非保護口之間已經(jīng)可以正常通信。如圖所示。6.2.2配置交換機保護端口安全在接口下將其配置為保護口：switch(config-if-FastEthernet0/1)#switchportprotected查看信息的命令如下：switch#showinterfacesswitchport

6.2.3配置交換機鏡像端口安全端口鏡像用于監(jiān)控，把交換機一個或多個端口數(shù)據(jù)，鏡像到另一個端口方法。交換機把某一個端口接收或發(fā)送的數(shù)據(jù)幀完全相同地復(fù)制給另一個端口。其中被復(fù)制的端口稱為鏡像源端口，復(fù)制的端口稱為鏡像目的端口。鏡像是將交換機某個端口的流量復(fù)制到另一個端口（鏡像端口），并進行監(jiān)測。

6.2.3配置交換機鏡像端口安全交換機的鏡像技術(shù)是將交換機某個端口的數(shù)據(jù)流量，復(fù)制到另一個端口（鏡像端口）進行監(jiān)測的安全防范技術(shù)。大多數(shù)交換機支持鏡像技術(shù)，稱Mirroring或Spanning，默認交換機上這種功能是屏蔽。

6.2.3配置交換機鏡像端口安全交換機鏡像方便對交換機進行故障診斷。通過分析故障交換機包信息，了解故障原因。通過一臺交換機監(jiān)控網(wǎng)絡(luò)中另一臺，稱“Mirroring”或“Spanning”。6.2.3配置交換機鏡像端口安全（1）配置源端口。switch(config)#monitorsessionsessionsourceinterfacexx（2）配置鏡像目的端口。switch(config)#monitorsessionsessiondestinationinterfacexxswitch

【綜合實訓(xùn)2】：配置交換機端口安全如圖兩個房間用戶接到Switch，一個房間由于用戶過多，使用Hub連接。正常情況下，PC1和PC2可以通信。為保證網(wǎng)絡(luò)安全，要求Fa0/1下不能超過10個用戶，要求在Fa0/2下使用PC2連接，且PC2的IP地址為，MAC地址為00-1b-b3-02-12-18?！揪C合實訓(xùn)2】：配置交換機端口安全1．配置Ruijie#configRuijie(config)#hostnameswitchswitch(config)#intfa0/1switch(config-if-FastEthernet0/1)#switchportport-security！開啟端口安全功能switch(config-if-FastEthernet0/1)#switchportport-securitymaximum10！端口下最多學(xué)習(xí)10個MAC地址switch(config-if-FastEthernet

0/1)#switchport

port-security

violationshutdown

！出現(xiàn)問題時，將接口關(guān)閉switch(config-if-FastEthernet0/1)#exit【綜合實訓(xùn)2】：配置交換機端口安全switch(config)#intfa0/2switch(config-if-FastEthernet0/2)#switchportport-security！開啟端口安全switch(config-if-FastEthernet0/2)#switchportport-securitybinding001b.b302.1218vlan1！端口綁定上網(wǎng)用戶的MAC地址、IP地址、VLAN等switch(config-if-FastEthernet0/2)#switchportport-securityviolationshutdown

！出現(xiàn)問題時，將接口關(guān)閉switch(config-if-FastEthernet0/2)#exit【綜合實訓(xùn)2】：配置交換機端口安全2．驗證（1）在交換機Fa0/1口下連接超過10臺PC，則超出限制的PC無法連接到網(wǎng)絡(luò)。（2）將Fa0/2口下的PC換成其它PC或修改該PC的IP地址，則該PC無法連接到網(wǎng)絡(luò)。（3）如果出現(xiàn)PC數(shù)量超過限制數(shù)量或修改地址的情況，則該接口被關(guān)閉?！揪C合實訓(xùn)3】：配置交換機保護端口網(wǎng)絡(luò)場景如圖所示，PC1和PC2連接在交換機的Fa0/1和Fa0/2口，Server連接在Gi0/25口。要求兩臺PC都能訪問服務(wù)器但兩臺PC不能互訪?！揪C合實訓(xùn)3】：配置交換機保護端口1．配置交換機Ruijie#configRuijie(config)#hostnameswitchswitch(config)#intrangefa0/1-2switch(config-if-range)#switchportprotected！Fa0/1和Fa0/2口配置為保護端口switch(config-if-range)#exit【綜合實訓(xùn)3】：配置交換機保護端口2．驗證（1）PC1和PC2不能通信，但PC可以和服務(wù)器通信。（2）查看信息，如圖所示。【綜合實訓(xùn)】：配置交換機端口鏡像網(wǎng)絡(luò)場景如圖所示，PC1和PC2連接在交換機的Fa0/1和Fa0/2口，Server連接在Gi0/25口。其中PC2為管理員，目前要求管理員可以看到PC1的所有上網(wǎng)信息?！揪C合實訓(xùn)】：配置交換機端口鏡像1．配置端口鏡像Ruijie#configRuijie(config)#hostnameswitchswitch(config)#monitorsession1sourceinterfa0/1！設(shè)置鏡像源端口switch(config)#monitorsession1destintfa0/2switch！設(shè)置鏡像目的端口備注：若鏡像目的端口加“switch”參數(shù)，則在查看其它端口數(shù)據(jù)的過程中其也可以上網(wǎng)?！揪C合實訓(xùn)】：配置交換機端口鏡像2．驗證在PC2上開啟抓包軟件，在PC1上訪問服務(wù)器，則PC1的數(shù)據(jù)PC2也能收到。目錄Contents任務(wù)1：配置網(wǎng)絡(luò)設(shè)備登錄安全。任務(wù)2：配置交換機端口安全。任務(wù)3：配置編號訪問控制列表安全任務(wù)4：配置名稱訪問控制列表安全任務(wù)3配置編號訪問控制列表訪問控制列表概述訪問表（accesslist）是一個有序的語句集，它通過匹配報文中信息與訪問表參數(shù)，來允許報文通過或拒絕報文通過某個接口。訪問控制列表概述訪問表（accesslist）是一個有序的語句集，它通過匹配報文中信息與訪問表參數(shù)，來允許報文通過或拒絕報文通過某個接口。訪問控制列表概述訪問控制列表總的說起來有下面三個作用:安全控制流量過濾數(shù)據(jù)流量標(biāo)識6.3.1配置標(biāo)準(zhǔn)訪問控制列表通過ACL可以限制網(wǎng)絡(luò)中的通信數(shù)據(jù)類型及網(wǎng)絡(luò)的使用者。ACL在數(shù)據(jù)流通過路由器或交換機時對其進行分類過濾，并對從指定接口輸入的數(shù)據(jù)流進行檢查，根據(jù)匹配條件決定是允許（Permit）其通過還是丟棄（Deny）。6.3.1配置標(biāo)準(zhǔn)訪問控制列表2．訪問控制列表ACL最直接的功能便是包過濾。通過訪問控制列表可以在路由器、三層交換機上進行網(wǎng)絡(luò)安全屬性配置，可以實現(xiàn)對進入到路由器、三層交換機的輸入數(shù)據(jù)流的過濾。過濾輸入數(shù)據(jù)流的定義可以基于網(wǎng)絡(luò)地址、TCP/UDP的應(yīng)用等。6.3.1配置標(biāo)準(zhǔn)訪問控制列表2．訪問控制列表IPACL安全技術(shù)簡單地說就是數(shù)據(jù)包過濾技術(shù)。網(wǎng)絡(luò)管理人員通過配置網(wǎng)絡(luò)設(shè)備，來實施對網(wǎng)絡(luò)中通過的數(shù)據(jù)包的過濾，從而實現(xiàn)對網(wǎng)絡(luò)資源的安全訪問控制。IPACL安全實施的內(nèi)容是編制一張規(guī)則檢查表，這張表中包含了很多簡單指令規(guī)則，告訴設(shè)備哪些數(shù)據(jù)包可以接收，哪些數(shù)據(jù)包需要被拒絕。ACL工作原理及規(guī)則ACL語句有兩個組件：一個是條件，一個是操作。條件：條件基本上一個組規(guī)則操作：當(dāng)ACL語句條件與比較的數(shù)據(jù)包內(nèi)容匹配時，可以采取允許和拒絕兩個操作。ACL工作原理及規(guī)則入站ACLACL工作原理及規(guī)則入站ACLACL工作原理及規(guī)則出站ACLACL工作原理及規(guī)則出站ACLACL工作原理及規(guī)則基本規(guī)則、準(zhǔn)則和限制ACL語句按名稱或編號分組；每條ACL語句都只有一組條件和操作，如果需要多個條件或多個行動，則必須生成多個ACL語句；如果一條語句的條件中沒有找到匹配，則處理列表中的下一條語句；如果在ACL組的一條語句中找到匹配，則不再處理后面的語句；如果處理了列表中的所有語句而沒有指定匹配，不可見到的隱式拒絕語句拒絕該數(shù)據(jù)包；由于在ACL語句組的最后隱式拒絕，所以至少要有一個允許操作，否則，所有數(shù)據(jù)包都會被拒絕；順序很重要，約束性最強語句應(yīng)該放在列表的頂部，約束性最弱的語句應(yīng)該放在列表的底部；ACL工作原理及規(guī)則基本規(guī)則、準(zhǔn)則和限制一個空的ACL組允許所有數(shù)據(jù)包，空的ACL組已經(jīng)在路由器上被激活，但不包含語句的ACL，要使隱式拒絕語句起作用，則在ACL中至少要有一條允許或拒絕語句；只能在每個接口、每個協(xié)議、每個方向上應(yīng)用一個ACL；在數(shù)據(jù)包被路由到其它接口之前，處理入站ACL；在數(shù)據(jù)包被路由到接口之后，而在數(shù)據(jù)包離開接口之前，處理出站ACL；當(dāng)ACL應(yīng)用到一個接口時，這會影響通過接口的流量，但ACL不會過濾路由器本身產(chǎn)生的流量。ACL工作原理及規(guī)則ACL放置在什么位置:只過濾數(shù)據(jù)包源地址的ACL應(yīng)該放置在離目的地盡可能近的地方；過濾數(shù)據(jù)包的源地址和目的地址以及其他信息的ACL，則應(yīng)該放在離源地址盡可能近的地方；只過濾數(shù)據(jù)包中源地址的ACL有兩個局限性：ACL應(yīng)用到路由器，任何用戶A來的流量都將被禁止訪問該網(wǎng)段的任何資源，包括數(shù)據(jù)庫服務(wù)器。流量要經(jīng)過所有到達目的地的途徑，它在即將到達目的地時被丟棄，這是對帶寬的浪費。ACL的種類兩種基本的ACL：標(biāo)準(zhǔn)ACL和擴展ACL標(biāo)準(zhǔn)IPACL只能過濾IP數(shù)據(jù)包頭中的源IP地址擴展IPACL可以過濾源IP地址、目的IP地址、協(xié)議（TCP/IP）、協(xié)議信息（端口號、標(biāo)志代碼）等，標(biāo)準(zhǔn)ACL標(biāo)準(zhǔn)ACL只能過濾IP數(shù)據(jù)包頭中的源IP地址標(biāo)準(zhǔn)ACL通常用在路由器配置以下功能：

限制通過VTY線路對路由器的訪問（telnet、SSH）；限制通過HTTP或HTTPS對路由器的訪問；過濾路由更新。6.3.1配置標(biāo)準(zhǔn)訪問控制列表3．ACL的類型

最為常見的IPACL使用編號來進行區(qū)分，一般可以分為兩類：標(biāo)準(zhǔn)訪問控制列表（StandardACL）和擴展訪問控制列表（ExtendedACL）。在規(guī)則中使用不同的編號區(qū)別它們，其中標(biāo)準(zhǔn)訪問控制列表的編號取值范圍為1～99；擴展訪問控制列表的編號取值范圍為100～199。6.3.1配置標(biāo)準(zhǔn)訪問控制列表4．ACL組成一個ACL由一系列的表項組成，ACL中的每個表項稱之為存取控制項（AccessControlEntry，ACE），主要的動作為允許和拒絕；主要的應(yīng)用方法是入棧（In）應(yīng)用和出棧（Out）應(yīng)用，如圖所示。6.3.1配置標(biāo)準(zhǔn)訪問控制列表5．部署標(biāo)準(zhǔn)ACL標(biāo)準(zhǔn)ACL，只檢查收到的IP數(shù)據(jù)包中的源IP地址信息，以控制網(wǎng)絡(luò)中數(shù)據(jù)包的流向。在安全設(shè)施的過程中，如果要阻止來自某一特定網(wǎng)絡(luò)中的所有通信流，或者允許來自某一特定網(wǎng)絡(luò)的所有通信流，可以使用標(biāo)準(zhǔn)訪問控制列表來實現(xiàn)。

6.3.1配置標(biāo)準(zhǔn)訪問控制列表5．部署標(biāo)準(zhǔn)ACL

在編制標(biāo)準(zhǔn)IPACL規(guī)則時，使用編號1～99，區(qū)別同一設(shè)備不同的IPACL列表條數(shù)。6.3.1配置標(biāo)準(zhǔn)訪問控制列表5．部署標(biāo)準(zhǔn)ACL在編制標(biāo)準(zhǔn)IPACL規(guī)則時，使用編號1～99，區(qū)別同一設(shè)備不同的IPACL列表條數(shù)。（1）配置標(biāo)準(zhǔn)ACL。ruijie(config)#access-listnumber{deny|permit}

源地址（2）將ACL應(yīng)用到接口。ruijie(config)#interfaceinterface-idruijie(config-if-FastEthernet0/1)#ipaccess-groupnumber{int|out}6.3.2配置擴展訪問控制列表基于編號的擴展訪問控制列表的重要特征如下：通過編號100～199來區(qū)別不同的IPACL；不僅檢查數(shù)據(jù)包源IP地址，還檢查數(shù)據(jù)包中目的IP地址、源端口、目的端口、建立連接和IP優(yōu)先級等特征信息。數(shù)據(jù)包在通過網(wǎng)絡(luò)設(shè)備時，設(shè)備解析IP數(shù)據(jù)包中的多種類型信息特征，對匹配成功的數(shù)據(jù)包采取拒絕或允許操作。6.3.2配置擴展訪問控制列表和標(biāo)準(zhǔn)ACL相比，擴展ACL也存在一些缺點：配置管理難度加大，考慮不周容易限制正常訪問；擴展ACL會消耗路由器更多的CPU資源。所以，中低檔路由器進行網(wǎng)絡(luò)連接時，應(yīng)盡量減少擴展ACL條數(shù)，以提高工作效率。6.3.2配置擴展訪問控制列表（1）配置ACL。ruijie(config)#access-listnumber{deny|permit}

協(xié)議源地址[eq源端口]目的地址[eq目的端口]（2）調(diào)用。ruijie(config)#interfaceinterface-idruijie(config-if-FastEthernet0/1)#ipaccess-groupnumber{int|out}6.3.3配置時間訪問控制列表基于時間的IPACL，對于編號IPACL和名稱IPACL均適用。實現(xiàn)所配置的ACL只在一個特定的時間段內(nèi)生效，如在辦公時間（9:00～18:00）只允許訪問Web網(wǎng)頁，其它應(yīng)用則被禁止。6.3.3配置時間訪問控制列表創(chuàng)建基于時間的IPACL，需要依據(jù)兩個要點：使用參數(shù)time-range定義一個時間段；編制編號IPACL或者名稱IPACL，再將IPACL規(guī)則和時間段結(jié)合起來應(yīng)用。6.3.3配置時間訪問控制列表ACL需要和時間段結(jié)合起來應(yīng)用，即基于時間的ACL。事實上，基于時間的ACL只是在ACL規(guī)則后，使用time-range選項為此規(guī)則指定一個時間段，只有在此時間范圍內(nèi)，此規(guī)則才會生效，各類ACL規(guī)則均可以使用時間段。時間段可分為三種類型：絕對（Absolute）時間段、周期（periodic）時間段和混合時間段。6.3.3配置時間訪問控制列表絕對時間段：表示一個時間范圍，即從某時刻開始到某時刻結(jié)束，如1月5日早晨8點到3月6日早晨8點。周期時間段：表示一個時間周期，如每天早晨8點到晚上6點，或每周一到每周五的早晨8點到晚上6點?；旌蠒r間段：可以將絕對時間段與周期時間段結(jié)合起來，稱為混合時間段，如1月5日到3月6日每周一至周五早晨8點到晚上6點。6.3.3配置時間訪問控制列表（1）正確配置設(shè)備時間。ruijie#clocksetXX:XX:XXmouthdayyear（2）定義時間段。ruijie(config)#time-rangenameruijie(config-time-range)#periodic時間段（3）為ACL中特定ACE關(guān)聯(lián)定義好的時間段。ruijie(config)#access-listnumber{deny|permit}

條件time-rangename【綜合實訓(xùn)4】：配置編號標(biāo)準(zhǔn)訪問控制列表網(wǎng)絡(luò)場景

如圖所示，PCA連接在路由器的Fa0/1口，PCB連接在路由器的Fa0/2口。PCA的IP地址為/24，PCB的IP地址是/24。路由器Fa0/1口IP地址為54/24，充當(dāng)PCA的網(wǎng)關(guān)；路由器Fa0/2口IP地址為54/24，充當(dāng)PCB的網(wǎng)關(guān)。正常情況下，兩臺PC可以通信，要求PCA和PCB不能通信，但PCA換成同網(wǎng)段其它設(shè)備時可以和PCB通信。【綜合實訓(xùn)4】：配置編號標(biāo)準(zhǔn)訪問控制列表1．配置交換機的IP地址Ruijie#configRuijie(config)#hostnamerouterrouter(config)#intfa0/1router(config-if-FastEthernet0/1)#ipaddress54router(config-if-FastEthernet0/1)#exitrouter(config)#intfa0/2router(config-if-FastEthernet0/2)#ipaddress54router(config-if-FastEthernet0/2)#exitrouter(config)#【綜合實訓(xùn)4】：配置編號標(biāo)準(zhǔn)訪問控制列表2．配置編號標(biāo)準(zhǔn)訪問控制列表router(config)#access-list1denyhost！該表不允許源地址為的數(shù)據(jù)通過router(config)#access-list1permit55

！但允許/24其它地址數(shù)據(jù)通過備注：該ACL可以配置多條規(guī)則，但標(biāo)號要相同?！揪C合實訓(xùn)4】：配置編號標(biāo)準(zhǔn)訪問控制列表3．部署ACLrouter(config)#intfa0/1router(config-if-FastEthernet0/1)#ipaccess-group1in！將訪問控制列表用到F0/1口的入方向router(config-if-FastEthernet0/1)#exit備注：可調(diào)用到Fa0/2的out方向。4．驗證PC1不能Ping通PC2，但將PC1的IP地址變?yōu)楹罂梢院蚉C2通信?！揪C合實訓(xùn)5】：配置標(biāo)準(zhǔn)訪問控制列表網(wǎng)絡(luò)場景如圖所示，PC1、PC2和PC3連接在交換機Fa0/1、Fa0/2和Fa0/3口上。PC1的IP地址為/24，PC2的IP地址為/24，PC3的IP地址為/24。保證PC1和PC3不能通信，PC2和PC3可以通信，PC1和PC2可以通信?！揪C合實訓(xùn)5】：配置標(biāo)準(zhǔn)訪問控制列表1．配置訪問控制列表Ruijie(config)#hostnameswitchswitch(config)#access-list101denyiphosthostswitch(config)#access-list101permitiphosthostswitch(config)#備注：可簡化配置，即配置“permitiphosthost”實現(xiàn)該功能?！揪C合實訓(xùn)5】：配置標(biāo)準(zhǔn)訪問控制列表2．應(yīng)用到Fa0/1的in方向switch(config)#intfa0/1switch(config-if-FastEthernet0/1)#ipaccess-group101in3．驗證PC1不能和PC3通信、PC1可以和PC2通信、PC2可以和PC3通信。【綜合實訓(xùn)6】：配置時間訪問控制列表網(wǎng)絡(luò)場景如圖所示，PC1、PC2連接在交換機Fa0/1、Fa0/2口上。PC1的IP地址為/24，PC2的IP地址為/24。每天上午9:00～12:00兩個用戶可以通信，其它時間不能通信?！揪C合實訓(xùn)6】：配置時間訪問控制列表1．配置計算機的IP地址按圖配置PC的IP地址。2．配置時間段Ruijie#configRuijie(config)#hostnameswitchswitch(config)#time-rangedingxiligongxuexiaoswitch(config-time-range)#periodicweekdays9:00to12:00switch(config-time-range)#exit【綜合實訓(xùn)6】：配置時間訪問控制列表3．配置訪問控制列表switch(config)#access-list1permithosttime-rangedingxiligongxuexiao4．應(yīng)用到F0/1的in方向switch(config)#intfa0/1switch(config-if-FastEthernet0/1)#ipaccess-group1in備注：需要先保證時間正確。4．驗證在規(guī)定時間內(nèi)PC1可以Ping通PC2。目錄Contents任務(wù)1：配置網(wǎng)絡(luò)設(shè)備登錄安全。任務(wù)2：配置交換機端口安全。任務(wù)3：配置編號訪問控制列表安全任務(wù)4：配置名稱訪問控制列表安全任務(wù)4配置名稱訪問控制列表6.4.1配置標(biāo)準(zhǔn)名稱訪問控制列表安全1．概述基于編號的ACL是訪問控制列表發(fā)展早期應(yīng)用最為廣泛的技術(shù)之一。其中，標(biāo)準(zhǔn)的IPACL使用數(shù)字編號1～99和1300～1999；擴展IPACL使用數(shù)字編號100～199和2000～2699。6.4.1配置標(biāo)準(zhǔn)名稱訪問控制列表安全1．概述但使用編號IPACL不容易識別，數(shù)字編號不容易區(qū)分，有耗盡的可能，特別是基于編號的IPACL在修改上非常不方便。近些年來，隨著設(shè)備的性能改善以及技術(shù)的進步，基于名稱的IPACL應(yīng)運而生，基于名稱的IPACL在技術(shù)開發(fā)上避免了以上基于編號的IPACL在應(yīng)用上的不足。6.4.1配置標(biāo)準(zhǔn)名稱訪問控制列表安全2．基于名稱的訪問控制列表規(guī)則基于名稱的IPACL在規(guī)則編輯上使用了一組字符串，來標(biāo)識編制完成的安全規(guī)則，具有“見名識意”的效果，方便了網(wǎng)絡(luò)管理人員管理。除了命名，以及在編寫規(guī)則的語法上稍有不同外，其它諸如檢查的元素、默認的規(guī)則等都與編號的訪問控制列表相同。6.4.1配置標(biāo)準(zhǔn)名稱訪問控制列表安全3．配置方案創(chuàng)建名稱IPACL與編號IPACL的語法命令不同，名稱IPACL使用ipaccess-list命令開頭。在配置標(biāo)準(zhǔn)ACL時，可使用編號來命名ACL。為了表明ACL的作用，也可以用字母表示ACL。使用字母表示ACL時寫法如下。ruijie(config)#ipaccess-liststandardname

！創(chuàng)建IP的標(biāo)準(zhǔn)訪問控制列表ruijie(config-acl)#{deny|permit}

源地址

！在列表中配置ACE6.4.1配置標(biāo)準(zhǔn)名稱訪問控制列表安全3．配置方案創(chuàng)建名稱IPACL與編號IPACL的語法命令不同，名稱IPACL使用ipaccess-list命令開頭。在配置標(biāo)準(zhǔn)ACL時，可使用編號來命名ACL。為了表明ACL的作用，也可以用字母表示ACL。使用字母表示ACL時寫法如下。ruijie(config)#ipaccess-liststandardname

！創(chuàng)建IP的標(biāo)準(zhǔn)訪問控制列表ruijie(config-acl)#{deny|permit}

源地址

！在列表中配置ACE6.4.1配置標(biāo)準(zhǔn)名稱訪問控制列表安全3．配置方案創(chuàng)建名稱IPACL與編號IPACL命令不同，名稱IPACL使用ipaccess-list開頭。配置標(biāo)準(zhǔn)ACL時，可使用編號來命名ACL。為了表明ACL作用，也可以用字母表示ACL。在接口模式中，應(yīng)用名稱IPACL與應(yīng)用編號IPACL的方法和命令一樣，只是此處將編號替換為名稱“name”了。Router(config)#ipaccess-groupname{in|out}！name表示ACL名稱，與之前創(chuàng)建的ACL名稱要保持一致6.4.2配置擴展名稱訪問控制列表安全使用“ipaccess-listextended”命令建立命名的擴展ACL，后面跟ACL名稱，執(zhí)行該命令時，進入子配置模式，輸入permit或deny語句，其語法和編號的ACL相同，并且支持相同的選項。如果使用字母表示ACL，其寫法如下。ruijie(config)#ipaccess-listextendedname

！創(chuàng)建IP擴展訪問控制列表ruijie(config-acl)#{deny|permit}

協(xié)議源地址[eq

源端口]目的地址[eq

目的端口]

！在列表中配置ACE備注：使用這種寫法時，名稱可以使用數(shù)字或字母；可在列表內(nèi)加多條ACE；ACE中的內(nèi)容和使用編號一致。6.4.2配置擴展名稱訪問控制列表安全在接口應(yīng)用名稱ACL與應(yīng)用編號ACL的方法和命令一樣，只要將編號替換為名稱“name”即可。ipaccess-groupname{in|out}這里的“name”表示名稱IPACL的名稱，要與之前創(chuàng)建的名稱IPACL的名稱保持一致?！揪C合實訓(xùn)7】：配置名稱訪問控制列表網(wǎng)絡(luò)場景如圖所示，網(wǎng)段中的主機能夠訪問中的FTP服務(wù)和Web服務(wù)，而對該服務(wù)器的其它服務(wù)禁止訪問，但可以訪問的任何服務(wù)。備注1：根據(jù)實訓(xùn)設(shè)備配置情況，選擇設(shè)備對應(yīng)接口名稱，例如：Fa0/1還是Gi0/1。備注2：根據(jù)實訓(xùn)設(shè)備情況，也可以使用交換機設(shè)備完成本實訓(xùn)。

【綜合實訓(xùn)7】：配置名稱訪問控制列表1．配置計算機IP和網(wǎng)關(guān)按圖配置計算機的IP地址和網(wǎng)關(guān)。2．地址配置router(config)#intfa1/0router(config-if-FastEthernet1/0)#ipaddress54router(config-if-FastEthernet1/0)#exitrouter(config)#intfa1/1router(config-if-FastEthernet1/1)#ipaddress54router(config-if-FastEthernet1/0)#exitrouter(config)#intfa1/2router(config-if-FastEthernet1/0)#ipaddress54router(config-if-FastEthernet1/0)#exit【綜合實訓(xùn)7】：配置名稱訪問控制列表3．配置訪問控制列表router(config)#ipaccess-listextendeddingxirouter(config-ext-nacl)#permittcp55hosteqwwwrouter(config-ext-nacl)#permittcp55hosteqftprouter(config-ext-nacl)#permittcp55hosteqftp-datarouter(config-ext-nacl)#permitip55hostrouter(config-ext-nacl)#exit【綜合實訓(xùn)7】：配置名稱訪問控制列表4．調(diào)用接口router(config)#intfa1/0router(config-if-FastEthernet1/0)#ipaccess-groupdingxiinrouter(config-if-FastEthernet1/0)#exit5．驗證網(wǎng)段中的主機能夠訪問中的FTP服務(wù)和Web服務(wù)，而對該服務(wù)器的其它服務(wù)禁止訪問，但可以訪問的任何服務(wù)。THANKS

十二五職業(yè)教育國家規(guī)劃教材網(wǎng)絡(luò)設(shè)備安裝與維護1+X職業(yè)技能等級證書配套教材數(shù)字化課程推薦精品教材職業(yè)教育新形態(tài)活頁式教材項目7：配置防火墻設(shè)備十二五職業(yè)教育國家規(guī)劃教材《網(wǎng)絡(luò)設(shè)備安裝與調(diào)試》（銳捷版）（V2.0)為保障北京某中心小學(xué)校園網(wǎng)安全，防范來自Internet上攻擊事件，需要網(wǎng)絡(luò)中心安裝一臺防火墻；防范校園網(wǎng)的安全，避免來自Internet網(wǎng)中安全隱患。項目背景7.1.1防火墻概述1.什么是防火墻防火墻（FireWall）是重要網(wǎng)絡(luò)防護設(shè)備，設(shè)置在不同網(wǎng)絡(luò)（可信任企業(yè)內(nèi)部網(wǎng)絡(luò)和不可信公共網(wǎng)絡(luò)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。目錄Contents任務(wù)1：掌握配置防火墻基礎(chǔ)技術(shù)。任務(wù)2：掌握防火墻設(shè)備配置。任務(wù)3：掌握防火墻安全配置技術(shù)。任務(wù)1配置防火墻技術(shù)7.1.1防火墻概述1.什么是防火墻防火墻如同大樓警衛(wèi)，允許“同意”人進入，將“不同意”人拒之門外，阻止破壞者訪問網(wǎng)絡(luò)，防止更改、復(fù)制和毀壞網(wǎng)絡(luò)中重要信息。如圖內(nèi)網(wǎng)和外網(wǎng)之間流量，都經(jīng)過防火墻過濾。7.1.1防火墻概述2.區(qū)分防火墻類型防火墻表現(xiàn)為硬件防火墻和軟件防火墻兩種形態(tài)。（1）硬件防火墻7.1.1防火墻概述（2）軟件防火墻軟件防火墻安裝在Windows上，實現(xiàn)IP數(shù)據(jù)包過濾。軟件防火墻通過軟件檢查，速度比較慢。安全檢測能力遠不及硬件防火墻。7.1.2開啟電腦上WindowsDefender防火墻軟件1.了解Windows10系統(tǒng)防火墻WindowsDefender防火墻是Windows10自帶軟件防火墻，保護安全。打開電腦“控制面板->系統(tǒng)和安全”，看到“WindowsDefender防火墻”保護內(nèi)容。7.1.2開啟電腦上WindowsDefender防火墻軟件2.查看Windows防火墻保護的網(wǎng)絡(luò)打開控制面板，雙擊“WindowsDefender防火墻”，打開WindowsDefender防火墻軟件。查看WindowsDefender防火墻保護網(wǎng)絡(luò)類型：專用網(wǎng)絡(luò)、公共網(wǎng)絡(luò)、域網(wǎng)絡(luò)。7.1.2開啟電腦上WindowsDefender防火墻軟件電腦一次只能連接到一種網(wǎng)絡(luò)類型，即選擇一種網(wǎng)絡(luò)類型，顯示當(dāng)前連接網(wǎng)絡(luò)安全狀態(tài)信息。7.1.2開啟電腦上WindowsDefender防火墻軟件選擇窗口“啟用或關(guān)閉WindowsDefender防火墻”按鈕，開啟自定義網(wǎng)絡(luò)設(shè)置，修改網(wǎng)絡(luò)類型。7.1.2開啟電腦上WindowsDefender防火墻軟件3.查看Windows防火墻保護的應(yīng)用打開“控制面板->系統(tǒng)和安全”，選擇“允許應(yīng)用通過Windows防火墻”7.1.2開啟電腦上WindowsDefender防火墻軟件在“允許應(yīng)用通過Windows防火墻”對話框，顯示電腦日常應(yīng)用，了解各種日常應(yīng)用在上網(wǎng)通信時功能。7.1.2開啟電腦上WindowsDefender防火墻軟件找到電腦日常應(yīng)用，按右上角“更改設(shè)置”，對應(yīng)用進行“允許”或“刪除”操作，設(shè)置保護應(yīng)用狀態(tài)。7.1.2開啟電腦上WindowsDefender防火墻軟件

4.關(guān)閉WindowsDefender防火墻，測試網(wǎng)絡(luò)連通選擇“WindowsDefender防火墻”，打開WindowsDefender防火墻窗口，選擇“啟用或關(guān)閉WindowsDefender防火墻”。7.1.2開啟電腦上WindowsDefender防火墻軟件4.關(guān)閉WindowsDefender防火墻，測試網(wǎng)絡(luò)連通選中“關(guān)閉WindowsDefender防火墻”選項，關(guān)閉WindowsDefender防火墻?！揪C合實訓(xùn)1】：開啟WindowsDefender防火墻安全策略

網(wǎng)絡(luò)場景勒索軟件（Ransomware）是一種通過郵件、網(wǎng)頁、移動介質(zhì)等多種方式傳播惡意軟件，在受害者電腦上文件中（如：word、excel、圖片等）留下索取一定贖金信息，如所示。需要開啟WindowsDefender防火墻安全策略，保護電腦的安全。【綜合實訓(xùn)1】：開啟WindowsDefender防火墻安全策略

實施過程打開WindowsDefender防火墻配置窗口，選擇左側(cè)“高級設(shè)置”選項。【綜合實訓(xùn)1】：開啟WindowsDefender防火墻安全策略

實施過程雙擊打開“高級設(shè)置”選項，啟動高級安全WindowsDefender防火墻。點擊左側(cè)“入站規(guī)則”類別；在右邊窗格中，單擊“新建規(guī)則”命令?！揪C合實訓(xùn)1】：開啟WindowsDefender防火墻安全策略

實施過程雙擊打開“高級設(shè)置”選項，啟動高級安全WindowsDefender防火墻。點擊左側(cè)“入站規(guī)則”類別；在右邊窗格中，單擊“新建規(guī)則”命令?！揪C合實訓(xùn)1】：開啟WindowsDefender防火墻安全策略

實施過程在“規(guī)則類型”，選擇“端口”。然后單擊“下一步”?！揪C合實訓(xùn)1】：開啟WindowsDefender防火墻安全策略

實施過程選擇“特定本地端口”選項。然后，在提供的字段中鍵入端口號，如本例中“137”端口。

【綜合實訓(xùn)1】：開啟WindowsDefender防火墻安全策略

實施過程設(shè)置完成后，單擊“下一步”后，進入操作窗口，為該端口配置相應(yīng)的動作。如本例中設(shè)置的“阻止連接”?！揪C合實訓(xùn)1】：開啟WindowsDefender防火墻安全策略

實施過程接下來，選擇規(guī)則的適用網(wǎng)絡(luò)連接的時間，可以選擇以下一項或全部。然后，點擊“下一步”。

【綜合實訓(xùn)1】：開啟WindowsDefender防火墻安全策略

實施過程最后一個窗口為新規(guī)則命名，提供一個可選更詳細描述。完成后單擊“完成”?！揪C合實訓(xùn)1】：開啟WindowsDefender防火墻安全策略

實施過程返回“高級安全WindowsDefender防火墻”主窗口中，看見配置完成的“阻塞端口137”安全規(guī)則?！揪C合實訓(xùn)1】：開啟WindowsDefender防火墻安全策略

實施過程如果禁用該規(guī)則，請在“入站或出站規(guī)則”列表中找到它，右鍵菜單，選擇“禁用規(guī)則”或“刪除”即可?！揪C合實訓(xùn)1】：開啟WindowsDefender防火墻安全策略

實施過程如果禁用該規(guī)則，請在“入站或出站規(guī)則”列表中找到它，右鍵菜單，選擇“禁用規(guī)則”或“刪除”即可。目錄Contents任務(wù)1：掌握配置防火墻基礎(chǔ)技術(shù)。任務(wù)2：掌握防火墻設(shè)備配置。任務(wù)3：掌握防火墻安全配置技術(shù)。任務(wù)2配置防火墻設(shè)備7.2.1防火墻登錄方式配置

1．認識防火墻設(shè)備保護系防火墻是一種非常有效的網(wǎng)絡(luò)安全模型如圖所示場景。在邏輯上，防火墻既是一個分離器，一個限制器，也是一個分析器。它有效地監(jiān)控了內(nèi)部網(wǎng)絡(luò)（TrustZone）和Internet（UntrustZone）之間的任何活動，并將服務(wù)器隔離在DMZ（DemilitarizedZone，非軍事區(qū)）區(qū)域內(nèi)，保證了內(nèi)部網(wǎng)絡(luò)的安全。7.2.1防火墻登錄方式配置

1．認識防火墻設(shè)備保護系7.2.1防火墻登錄方式配置

2．認識銳捷防火墻設(shè)備WALL1600-SC是一款常見的防火墻產(chǎn)品，如圖所示W(wǎng)ALL1600-SC示意圖（1）USB接口，可以存放日志信息或者加載版本。（2）Console接口，配置設(shè)備使用的連接口。（3）GE0接口，管理接口，也可以通過該接口發(fā)送數(shù)據(jù)。（4）GE1-5接口，自協(xié)商千兆電口7.2.1防火墻登錄方式配置

2．產(chǎn)品部署模式NGFW有四種工作模式：路由模式、透明模式、旁路模式及混合模式。7.2.1防火墻登錄方式配置

3．管理方式（1）使用Web方式管理。WALL1600出廠配置下可以通過接口ge0的默認地址00，進行web管理。將計算機IP地址設(shè)置為/24，并連接到ge0口。打開IE瀏覽器，輸入00，登錄NGFW的管理頁面，輸入用戶名admin、默認密碼firewall和驗證碼，進入NGFW設(shè)備首頁。7.2.1防火墻登錄方式配置

3．管理方式（1）使用Web方式管理。在瀏覽器里輸入00，輸入用戶名admin，密碼firewall及隨機驗證碼即可進入防火墻首頁，如圖所示。7.2.1防火墻登錄方式配置

3．管理方式（1）使用Web方式管理。在瀏覽器里輸入00，輸入用戶名admin，密碼firewall及隨機驗證碼即可進入防火墻首頁，如圖所示。7.2.1防火墻登錄方式配置

3．管理方式③

配置ge1的管理地址為1/24，并開啟ge1的管理功能。選擇“菜單”→“網(wǎng)絡(luò)管理”→“接口”命令編輯ge1，如圖所示。7.2.1防火墻登錄方式配置

3．管理方式④

配置ge1接口IP地址為1/24，在“管理訪問”選項組中勾選需開啟的功能。7.2.1防火墻登錄方式配置

3．管理方式驗證效果。在瀏覽器輸入1，即可登錄管理，如圖所示。7.2.1防火墻登錄方式配置2．使用Console進行管理若需要進入命令行進行配置管理，則可通過Console線使用超級終端或CRT等軟件進入命令行，NGFW默認允許console管理。NGFW命令行的命令與銳捷交換機路由器的命令基本類似起來。7.2.1防火墻登錄方式配置

2．使用Console進行管理具體操作方式如下。（1）準(zhǔn)備配置線及可連接配置線的計算機。（2）連接配置線，配置線的水晶頭端連接到設(shè)備的Console口上，另一端連接計算機的COM口。（3）配置Windows系統(tǒng)的超級終端（或CRT超級終端程序）。7.2.1防火墻登錄方式配置

2．使用Console進行管理（4）驗證配置。如圖所示，提示輸入用戶名admin及密碼firewall。7.1.2防火墻初始化配置1．頁面介紹如圖所示，菜單提供了NGFW設(shè)備的主要配置選項。其主要有以下功能。7.1.2防火墻初始化配置1．頁面介紹需要注意的是，很多管理配置頁面是列表的形式，如管理員、接口、安全策略等。以安全策略為例，如圖所示。7.1.2防火墻初始化配置2．默認配置（1）接口0的默認配置：接口0的默認地址配置為00/24。允許對該接口進行Ping、HTTPS操作。（2）默認管理員用戶：系統(tǒng)默認的管理員用戶為admin，密碼為firewall。用戶可以使用這個管理員賬號從任何地址登錄設(shè)備，并且使用設(shè)備的所有功能。系統(tǒng)默認的審計員用戶為audit，密碼為audit123。用戶可以使用這個賬號對安全策略和日志系統(tǒng)進行審計。系統(tǒng)默認的用戶管理員用戶為useradmin，密碼為useradmin。用戶可以使用這個賬號配置系統(tǒng)管理員?！揪C合實訓(xùn)2】：配置防火墻的管理員權(quán)限網(wǎng)絡(luò)場景如圖所示，頂新理工學(xué)院有防火墻，需要登錄到防火墻上通過修改管理員權(quán)限、管理員用戶名和密碼、管理主機IP地址來加強設(shè)備管理的安全性?！揪C合實訓(xùn)2】：配置防火墻的管理員權(quán)限實施過程1．修改amin管理員密碼選擇“系統(tǒng)管理”→“管理員”→“管理員”命令，編輯用戶名“admin”，如圖所示，輸入新密碼ruijie@123，選擇“高級”選項，填寫管理IP地址為172.18.10.108/32?！揪C合實訓(xùn)2】：配置防火墻的管理員權(quán)限實施過程如果配置為/0，則管理IP不受限制，任何地址都可以用此賬號登錄并進行管理，其安全性不高，不建議如此配置?！揪C合實訓(xùn)2】：配置防火墻的管理員權(quán)限2．配置權(quán)限添加權(quán)限類型test只有查看和配置日志的權(quán)限。選擇“系統(tǒng)管理”→“管理員”→“管理員權(quán)限表”→“新建”命令進行操作。【綜合實訓(xùn)2】：配置防火墻的管理員權(quán)限3．設(shè)置管理IP并添加管理員賬號選擇“系統(tǒng)管理”→“管理員”→“新建”命令，在“高級”選項處，配置管理IP為任意，即/0?！揪C合實訓(xùn)2】：配置防火墻的管理員權(quán)限4．配置管