網(wǎng)絡(luò)設(shè)備安裝與調(diào)試技術(shù) 課件 第9章-網(wǎng)絡(luò)間的訪問(wèn)控制( 華三版-03華三篇)_第1頁(yè)
網(wǎng)絡(luò)設(shè)備安裝與調(diào)試技術(shù) 課件 第9章-網(wǎng)絡(luò)間的訪問(wèn)控制( 華三版-03華三篇)_第2頁(yè)
網(wǎng)絡(luò)設(shè)備安裝與調(diào)試技術(shù) 課件 第9章-網(wǎng)絡(luò)間的訪問(wèn)控制( 華三版-03華三篇)_第3頁(yè)
網(wǎng)絡(luò)設(shè)備安裝與調(diào)試技術(shù) 課件 第9章-網(wǎng)絡(luò)間的訪問(wèn)控制( 華三版-03華三篇)_第4頁(yè)
網(wǎng)絡(luò)設(shè)備安裝與調(diào)試技術(shù) 課件 第9章-網(wǎng)絡(luò)間的訪問(wèn)控制( 華三版-03華三篇)_第5頁(yè)
已閱讀5頁(yè),還剩20頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

第9章

網(wǎng)絡(luò)間的訪問(wèn)控制編著:

秦?zé)鰟诖浣?/p>

之前已經(jīng)實(shí)現(xiàn)了公司總部與分部間、公司各部門(mén)間的互聯(lián)互訪,但考慮到網(wǎng)絡(luò)安全的需求,各子網(wǎng)間的互訪需要進(jìn)行一些控制,如禁止公司分部訪問(wèn)總部的財(cái)務(wù)部門(mén)、禁止公司總部的市場(chǎng)部門(mén)訪問(wèn)分部、只允許網(wǎng)絡(luò)管理人員遠(yuǎn)程訪問(wèn)和管理網(wǎng)絡(luò)設(shè)備等。這些子網(wǎng)間訪問(wèn)控制的需求可以通過(guò)ACL(AccessControlList,訪問(wèn)控制列表)實(shí)現(xiàn)。ACL是應(yīng)用在路由器接口的指令規(guī)則列表,這些列表可根據(jù)數(shù)據(jù)包的源地址、目的地址、源端口、目的端口等信息,控制路由器放行這些數(shù)據(jù)包還是攔截這些數(shù)據(jù)包,達(dá)到對(duì)子網(wǎng)間訪問(wèn)控制的目的。9.1標(biāo)準(zhǔn)和基礎(chǔ)ACL1.標(biāo)準(zhǔn)ACL也叫基本ACL,它只根據(jù)報(bào)文的源IP地址來(lái)允許或拒絕數(shù)據(jù)包,不考慮目的地址、端口等信息。2.ACL創(chuàng)建好后,需要在接口上應(yīng)用才會(huì)生效。在接口應(yīng)用ACL時(shí),要指明是應(yīng)用在路由器的入方向還是出方向上。對(duì)于進(jìn)入路由器的數(shù)據(jù)包,路由器會(huì)先檢查入方向的ACL,只有ACL允許通行才查詢(xún)路由表;對(duì)于從路由器外出的數(shù)據(jù)包則先查詢(xún)路由表,明確出接口后才查看出方向的ACL??梢?jiàn)把ACL應(yīng)用到入站接口比應(yīng)用到出站接口效率更高。3.應(yīng)用ACL時(shí),還要考慮應(yīng)用到哪臺(tái)路由器上更好。由于標(biāo)準(zhǔn)ACL只能根據(jù)源地址過(guò)濾數(shù)據(jù)包,為了避免過(guò)早拒絕導(dǎo)致拒絕范圍被擴(kuò)大,標(biāo)準(zhǔn)ACL應(yīng)該應(yīng)用到離目的地最近的路由器上。4.ACL被應(yīng)用在路由器接口的入或出方向后,方向一致的數(shù)據(jù)包流經(jīng)接口時(shí),就會(huì)被從ACL的第一個(gè)表項(xiàng)開(kāi)始、自上而下的進(jìn)行檢查,一旦當(dāng)前被檢查的數(shù)據(jù)包匹配某一表項(xiàng)的條件,就停止對(duì)后續(xù)表項(xiàng)的檢查,并執(zhí)行當(dāng)前表項(xiàng)的動(dòng)作。動(dòng)作有兩個(gè),一個(gè)是允許通過(guò)permit,另一個(gè)的拒絕通過(guò)deny。9.1.3華三設(shè)備配置基本ACL一個(gè)ACL中可以包含多條規(guī)則,華三設(shè)備與華為設(shè)備一樣,為流策略和Telnet分別規(guī)定了一條默認(rèn)規(guī)則,默認(rèn)規(guī)則會(huì)自動(dòng)添加到所有規(guī)則的最后。其中,流策略的ACL默認(rèn)規(guī)則是“允許所有”,Telnet的ACL默認(rèn)規(guī)則是“拒絕所有”。華三設(shè)備的基本ACL編號(hào)是2000~2999。如圖9-3所示,在HCL中搭建拓?fù)?,配置地址,配置單區(qū)域OSPF使全網(wǎng)互通。為R3開(kāi)啟telnet服務(wù),允許通過(guò)密碼“123@h3c”對(duì)它進(jìn)行telnet遠(yuǎn)程管理。配置基本ACL只允許PC0訪問(wèn)路由器R3的Telnet服務(wù);拒絕PC1所在網(wǎng)段訪問(wèn)Server0(0)。圖9-3華三設(shè)備配置基本ACL的拓?fù)?/p>

1.PC0、PC1和Server0采用VMware的windows虛擬機(jī)連接,具體方法如下:

(1)如圖9-4所示,在桌面打開(kāi)OracleVMVirtualBox管理器,選擇“全局工具”中的“主機(jī)網(wǎng)絡(luò)管理器”,創(chuàng)建“VirtualBoxHost-OnlyEthernetAdapter#2”和“VirtualBoxHost-OnlyEthernetAdapter#3”。圖9-4OracleVMVirtualBox管理器

(2)如圖9-5所示,打開(kāi)桌面的VMwareWorkstation,參照“華三設(shè)備無(wú)密碼的遠(yuǎn)程telnet連接”實(shí)驗(yàn)中給VMWare的虛擬網(wǎng)卡和VirtualBox的虛擬網(wǎng)卡間建立聯(lián)系的方法,將VMnet1橋接到VirtualBoxHost-OnlyEthernetAdapter,將VMnet2橋接到VirtualBoxHost-OnlyEthernetAdapter#2,將VMnet3橋接到VirtualBoxHost-OnlyEthernetAdapter#3。圖9-5VMwareWorkstation虛擬網(wǎng)絡(luò)編輯器(3)PC0的配置如下:IP地址:0,子網(wǎng)掩碼:,網(wǎng)關(guān):(4)PC1的配置如下:IP地址:0,子網(wǎng)掩碼:,網(wǎng)關(guān):(5)Server0的配置如下:IP地址:0,子網(wǎng)掩碼:,網(wǎng)關(guān):

2.路由器的基本配置,命令如下:[R1]interfaceGigabitEthernet0/0//R1的配置[R1-GigabitEthernet0/0]ipaddress24[R1-GigabitEthernet0/0]quit[R1]interfaceGigabitEthernet0/1[R1-GigabitEthernet0/1]ipaddress24[R1-GigabitEthernet0/1]quit[R1]interfaceGigabitEthernet0/2[R1-GigabitEthernet0/2]ipaddress30[R2]interfaceGigabitEthernet0/0//R2的配置[R2-GigabitEthernet0/0]ipaddress30[R2-GigabitEthernet0/0]quit[R2]interfaceGigabitEthernet0/1[R2-GigabitEthernet0/1]ipaddress30[R3]interfaceGigabitEthernet0/1//R3的配置[R3-GigabitEthernet0/1]ipaddress30[R3-GigabitEthernet0/1]quit[R3]interfaceGigabitEthernet0/0[R3-GigabitEthernet0/0]ipaddress24

3.在R3上配置telnet,命令如下:[R3]telnetserverenable[R3]linevty04[R3-line-vty0-4]protocolinboundtelnet[R3-line-vty0-4]authentication-modepassword[R3-line-vty0-4]setauthenticationpasswordsimple123@h3c[R3-line-vty0-4]userlevel-15

4.各路由器上動(dòng)態(tài)路由的配置,命令如下:[R1]ospf1router-id//R1的配置[R1-ospf-1]area0[R1-ospf-1-area-]network55[R1-ospf-1-area-]network55[R1-ospf-1-area-]network[R2]ospf1router-id//R2的配置[R2-ospf-1]area0[R2-ospf-1-area-]network[R2-ospf-1-area-]network[R3]ospf1router-id//R3的配置[R3-ospf-1]area0[R3-ospf-1-area-]network[R3-ospf-1-area-]network555.在各路由器上查看OSPF路由表,命令如下:[R1]displayiprouting-tableprotocolospf//查看R1的路由表[R2]displayiprouting-tableprotocolospf//查看R2的路由表[R3]displayiprouting-tableprotocolospf//查看R3的路由表

6.用于Telnet的ACL配置方法和測(cè)試過(guò)程如下:

(1)ACL的配置命令如下:[R3]aclnumber2000[R3-acl-ipv4-basic-2000]rulepermitsource00//為R3定義ACL2000的第一條規(guī)則,允許0(即PC0)通過(guò),Telnet的ACL默認(rèn)規(guī)則動(dòng)作“拒絕所有”將自動(dòng)添加在最后,成為ACL2000的第二條規(guī)則[R3-acl-ipv4-basic-2000]quit[R3]telnetserveracl2000//將ACL2000應(yīng)用在telnet遠(yuǎn)程連接上

(2)PC0遠(yuǎn)程連接R3測(cè)試,命令如下:C:\DocumentsandSettings\Administrator>telnetPassword://輸入密碼123@h3c<R3>//成功連接到R3<R3>quit//輸入命令返回

(3)PC1遠(yuǎn)程連接R3測(cè)試,命令如下:C:\DocumentsandSettings\Administrator>telnet返回提示:正在連接到...不能打開(kāi)到主機(jī)的連接,在端口23:連接失敗

7.用于流策略的ACL配置方法和測(cè)試過(guò)程如下:

(1)ACL的配置命令如下:[R3]aclnumber2001[R3-acl-ipv4-basic-2001]ruledenysource55//為R3定義ACL2001的第一條規(guī)則,拒絕(即PC所在網(wǎng)段)通過(guò),流策略的ACL默認(rèn)規(guī)則動(dòng)作“允許所有”將自動(dòng)添加在最后,成為ACL2001的第二條規(guī)則[R3-acl-basic-2001]quit[R3]interfaceGigabitEthernet0/0[R3-GigabitEthernet0/0]packet-filter2001outbound//將ACL2001應(yīng)用在當(dāng)前接口的出方向[R3-GigabitEthernet0/0]quit

(2)PC0pingServer0測(cè)試,命令如下:C:\DocumentsandSettings\Administrator>ping0Replyfrom0:bytes=32time=3msTTL=125//可以ping通(3)PC1pingServer0測(cè)試,命令如下:C:\DocumentsandSettings\Administrator>ping0Requesttimedout.//無(wú)法ping通9.2擴(kuò)展和高級(jí)ACL

擴(kuò)展ACL-也稱(chēng)為高級(jí)ACL,擴(kuò)展ACL可根據(jù)數(shù)據(jù)包的源IP地址、目的IP地址、指定協(xié)議、源端口、目的端口和標(biāo)志來(lái)允許或拒絕數(shù)據(jù)包。9.2.3華三設(shè)備配置高級(jí)ACL

下面,介紹華三設(shè)備配置高級(jí)ACL的方法。在基礎(chǔ)ACL實(shí)驗(yàn)的基礎(chǔ)上繼續(xù),使用擴(kuò)展ACL實(shí)現(xiàn)以下功能:(1)只允許PC1所在網(wǎng)段訪問(wèn)R3的Telnet服務(wù);(2)拒絕PC0所在網(wǎng)段pingServer0(0);(3)拒絕PC0所在網(wǎng)段訪問(wèn)Server0(0)的Web服務(wù)和FTP服務(wù);(4)單向ping限制:不允許PC1pingServer0,但允許Server0pingPC1。

1.清空R3上原來(lái)的ACL配置,命令如下:[R3]interfaceGigabitEthernet0/0[R3-GigabitEthernet0/0]undopacket-filter2001outbound[R3-GigabitEthernet0/0]quit[R3]undotelnetserveracl[R3]undoaclallAllIPv4ACLswillbedeleted.Continue?[Y/N]:y

2.R1上的ACL配置,命令如下:[R1]aclnumber3000[R1-acl-ipv4-adv-3000]rulepermittcpsource55destination0destination-porteq23//此命令定義了ACL3000的第一條規(guī)則,permit表示符合條件則允許通過(guò);tcp表示根據(jù)tcp協(xié)議的端口號(hào)來(lái)進(jìn)行是否符合條件的判斷;條件的前半部分55省略了源端口號(hào),指的是“55+任意源端口號(hào)”,表示PC2所在網(wǎng)段作為源IP,且對(duì)源端口號(hào)不做限制;條件的后半部分“destination0destination-porteq23”指的是目標(biāo)地址為,即R3的IP地址,且目標(biāo)TCP端口號(hào)等于23,即telnet服務(wù)[R1-acl-ipv4-adv-3000]ruledenytcpsource55destination0destination-porteq23//此命令定義了ACL3000的第二條規(guī)則,此處目標(biāo)地址是R3另一個(gè)接口的地址[R1-acl-ipv4-adv-3000]ruledenytcpsourceanydestination0destination-porteq23//此命令定義了ACL3000的第三條規(guī)則,拒絕了任意源IP地址、任意源端口號(hào)訪問(wèn)地址、且TCP端口號(hào)等于23的目標(biāo)[R1-acl-ipv4-adv-3000]ruledenytcpsourceanydestination0destination-porteq23//此命令定義了ACL3000的第四條規(guī)則,此處目標(biāo)地址是R3另一個(gè)接口的地址

以上4條ACL100的列表項(xiàng)實(shí)現(xiàn)了只允許PC2所在網(wǎng)段訪問(wèn)R3的telnet服務(wù)。[R1-acl-ipv4-adv-3000]ruledenyicmpsource55destination00//此命令定義了ACL3000的第五條規(guī)則,拒絕PC0所在網(wǎng)段()pingServer0(0)[R1-acl-ipv4-adv-3000]ruledenytcpsource55destination00destination-porteq80//此命令定義了ACL3000的第六條規(guī)則,拒絕PC0所在網(wǎng)段()訪問(wèn)Server0(0)的tcp80端口,即Web服務(wù)[R1-acl-ipv4-adv-3000]ruledenytcpsource55destination00destination-porteq21//此命令定義了ACL3000的第七條規(guī)則,拒絕PC0所在網(wǎng)段()訪問(wèn)Server0(0)的tcp21端口,即FTP服務(wù)的控制通道[R1-acl-ipv4-adv-3000]ruledenytcpsource55destination00destination-porteq20//此命令定義了ACL3000的第八條規(guī)則,拒絕PC0所在網(wǎng)段()訪問(wèn)Server0(0)的tcp20端口,即FTP服務(wù)的數(shù)據(jù)通道[R1-acl-ipv4-adv-3000]ruledenyicmpsource00destination00icmp-typeecho//此命令定義了ACL100的第九個(gè)列表項(xiàng),作用是不允許PC1(0)pingServer0(0),但不拒絕Server0pingPC1。Ping成功意味著去到了目標(biāo)并且成功返回,即有去有回。其中icmp協(xié)議的echo表示去的過(guò)程,即源向目標(biāo)發(fā)出回顯請(qǐng)求;icmp協(xié)議的echoreply表示回的過(guò)程,即目標(biāo)向源發(fā)回的回顯答復(fù)以上3條ACL3000的列表項(xiàng)拒絕了PC0所在網(wǎng)段訪問(wèn)Server0(0)的Web服務(wù)和FTP服務(wù)。還有一條默認(rèn)ACL條目排在最后,內(nèi)容是允許所有源訪問(wèn)所有目標(biāo)的IP協(xié)議。

3.在R1的G0/2接口下應(yīng)用ACL,命令如下:[R1]interfaceGigabitEthernet0/2[R1-GigabitEthernet0/2]packet-filter3000outbound//在接口下應(yīng)用ACL,定義好的ACL只有被應(yīng)用了才會(huì)生效4.分別在PC1和PC0上訪問(wèn)R3,比較訪問(wèn)效果。方法如下:(1)在PC0上通過(guò)telnet遠(yuǎn)程管理R3,命令如下:C:\DocumentsandSettings\Administrator>telnet返回提示“正在連接到...不能打開(kāi)到主機(jī)的連接,在端口23:連接失敗”。

(2)在PC1上通過(guò)telnet遠(yuǎn)程管理R3,命令如下:C:\DocumentsandSettings\Administrator>telnetPassword://輸入密碼123@h3c<R3>quit//連接成功,用quit命令返回

5.驗(yàn)證“拒絕PC0所在網(wǎng)段pingServer0(0)”,方法如下:

(1)PC0pingServer0(0)測(cè)試,命令如下:C:\DocumentsandSettings\Administrator>ping0Requesttimedout.//無(wú)法ping通

(2)PC0ping測(cè)試,命令如下:C:\DocumentsandSettings\Administrator>pingReplyfrom:bytes=32time=20msTTL=253//可以ping通

6.驗(yàn)證“拒絕PC0所在網(wǎng)段訪問(wèn)Server0(0)的Web服務(wù)和FTP服務(wù)”,方法如下:

(1)如圖9-11所示,在Server0上搭建Web服務(wù)和FTP服務(wù)。圖9-11在Server0上搭建Web服務(wù)和FTP服務(wù)

(2)如圖9-12所示,在Server0上創(chuàng)建用戶user1,為其設(shè)置密碼,用于FTP連接。圖9-1

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論