交換機(jī)與路由器的配置管理 課件 第9章訪問控制技術(shù)

訪問控制技術(shù)——第9章訪問控制技術(shù)第九章概述9.1訪問控制列表簡介訪問控制技術(shù)第九章概述(續(xù))9.2配置號碼式訪問控制列表限制計算機(jī)訪問訪問控制技術(shù)第九章概述(續(xù))9.3配置命名式訪問控制列表限制計算機(jī)訪問訪問控制技術(shù)第九章概述(續(xù))9.4訪問控制列表實(shí)訓(xùn)9.4.1標(biāo)準(zhǔn)訪問控制列表實(shí)訓(xùn)9.4.2基于VTY的訪問控制實(shí)訓(xùn)9.4.3擴(kuò)展訪問控制列表實(shí)訓(xùn)訪問控制技術(shù)9.1訪問控制列表簡介訪問控制技術(shù)訪問控制技術(shù)9.1訪問控制列表簡介

訪問控制列表是CiscoIOS所提供的一種訪問控制技術(shù)，主要應(yīng)用在路由器和三層交換機(jī)上，在其他廠商的路由器或多層交換機(jī)上也提供類似的技術(shù)，不過名稱和配置方式都可能有細(xì)微的差別。

ACL是應(yīng)用到路由器接口的一組指令列表，路由器根據(jù)這些指令列表來決定是接收數(shù)據(jù)包還是拒絕數(shù)據(jù)包。

ACL使用包過濾技術(shù)，在路由器上讀取第三層及第四層包頭中的信息，如源地址、目的地址、源端口、目的端口等，根據(jù)預(yù)先定義好的規(guī)則對數(shù)據(jù)包進(jìn)行過濾，從而達(dá)到訪問控制的目的。看一個簡單的ACL配置：如右圖所示：訪問控制技術(shù)9.1訪問控制列表簡介這幾條命令定義了一個訪問控制列表（列表號為1）并且把這個列表所定義的規(guī)則應(yīng)用于vlan1接口出去的方向。這幾條命令中的相應(yīng)關(guān)鍵字的意義如下：（1）access-list：配置ACL的關(guān)鍵字，所有的ACL均使用這個命令進(jìn)行配置。（2）access-list后面的1：ACL表號，ACL號相同的所有ACL形成一個列表。（3）permit/deny：操作。permit是允許數(shù)據(jù)包通過；deny是拒絕數(shù)據(jù)包通過。（4）host/any：匹配條件。host等同于，意思是只匹配地址為的數(shù)據(jù)包。是通配符掩碼，某位的通配符掩碼為0表示IP地址的對應(yīng)位必須精確匹配；為1表示IP地址的對應(yīng)位不管是什么都行。any表示匹配所有地址。（5）interfacevlan1和ipaccess-group1out：這兩句將access-list1應(yīng)用到vlan1接口的out方向。ipaccess-group1out中的1是ACL表號，和相應(yīng)的ACL進(jìn)行關(guān)聯(lián)。out是對路由器該接口上出口方向的數(shù)據(jù)包進(jìn)行過濾，可以有in和out兩種選擇。ACL是使用包過濾技術(shù)來實(shí)現(xiàn)的，過濾的依據(jù)僅僅只是第三層和第四層包頭中的部分信息，這種技術(shù)具有一些固有的局限性，如無法識別到具體的人，無法識別到應(yīng)用內(nèi)部的權(quán)限級別等。因此，要達(dá)到endtoend的權(quán)限控制目的，還需要和系統(tǒng)級以及應(yīng)用級的訪問權(quán)限控制結(jié)合使用。訪問控制技術(shù)9.1訪問控制列表簡介1.訪問控制列表的分類訪問控制列表主要使用的有兩類：號碼式訪問控制列表和命名式訪問控制列表。兩者都有標(biāo)準(zhǔn)訪問控制列表和擴(kuò)展訪問控制列表之分，見表9-1。標(biāo)準(zhǔn)訪問控制列表利用源IP地址來做過濾，配置簡單，但應(yīng)用場合有限，不能夠進(jìn)行復(fù)雜條件的過濾。而擴(kuò)展訪問控制列表則可以利用多個條件來做過濾，包括源IP地址、目標(biāo)IP地址、網(wǎng)絡(luò)層的協(xié)議字段和傳輸層的端口號。標(biāo)準(zhǔn)號碼式訪問控制列表的表號范圍為1~99，而擴(kuò)展號碼式訪問控制列表的表號范圍為100~199。訪問控制技術(shù)9.1訪問控制列表簡介2.訪問控制列表設(shè)置規(guī)則設(shè)置訪問控制列表，一方面是保護(hù)資源節(jié)點(diǎn)，阻止非法用戶對資源節(jié)點(diǎn)的訪問；另一方面是為了限制特定用戶的訪問權(quán)限。訪問控制列表的設(shè)置規(guī)則如下：（1）每個接口、每個方向、每種協(xié)議只能設(shè)置一個ACL。（2）組織好ACL順序，測試性最好放在ACL的最頂部。（3）在ACL里至少要有一條permit語句，除非要拒絕所有的數(shù)據(jù)包。（4）要把所創(chuàng)建的ACL應(yīng)用到需要過濾的接口上。（5）盡可能把標(biāo)準(zhǔn)ACL放置在離目標(biāo)地址近的接口上，而把擴(kuò)展ACL放置在離源地址近的接口上。（6）號碼式ACL一旦建立好，就不能去除列表中的某一條。去除一條就意味著去除了整個控制列表。（7）ACL按順序比較，先比較第一條，再比較第二條，直到最后一條。（8）從第一條開始比較，直到找到符合條件的那條，符合以后就不再繼續(xù)比較。（9）每個列表的最后隱含了一條拒絕（deny）語句，如果在列表中沒有找到一條允許（permit）語句，數(shù)據(jù)包將被拒絕。訪問控制技術(shù)9.1訪問控制列表簡介3.訪問控制列表中的協(xié)議擴(kuò)展訪問控制列表涉及協(xié)議和端口，那么TCP/IP協(xié)議棧中有哪些協(xié)議？它們之間的關(guān)系是怎樣的？在TCP/IP參考模型中，計算機(jī)網(wǎng)絡(luò)被分為四層，每層都有自己的一些協(xié)議，而每層的協(xié)議又形成一種從上至下的依賴關(guān)系，如圖9-1所示。從圖9-1中可以看出，Telnet、FTP、SMTP協(xié)議依賴于TCP協(xié)議，而TCP協(xié)議又依賴于IP協(xié)議。因此，如果在訪問控制列表中只禁止FTP報文通過路由器，那么，其他的報文，如Telnet、SMTP的報文仍然可以通過路由器。下面的擴(kuò)展訪問控制列表就是只禁止依賴于TCP協(xié)議的FTP報文通過路由器，其他報文都可以通過路由器的配置如下：訪問控制技術(shù)9.1訪問控制列表簡介如果沒有后面的eqftp，所有依賴于TCP協(xié)議的報文都不能通過路由器，那么Telnet、SMTP和FTP的報文也就都不能通過路由器。4.訪問控制列表中的端口號端口分為硬件領(lǐng)域的端口和軟件領(lǐng)域的端口。硬件領(lǐng)域的端口又稱接口，如計算機(jī)的COM口、USB口、路由器的局域網(wǎng)口等。軟件領(lǐng)域的端口一般指網(wǎng)絡(luò)中面向連接服務(wù)和無連接服務(wù)的通信協(xié)議接口，是一種抽象的軟件結(jié)構(gòu)，包括一些數(shù)據(jù)結(jié)構(gòu)和I/O（輸入/輸出）緩沖區(qū)。（1）訪問控制列表中的端口號指的是軟件領(lǐng)域的端口編號，按端口號可分為三大類。①公認(rèn)端口。編號從0到1023，它們緊密綁定于一些服務(wù)，明確表明了某種服務(wù)的協(xié)議。例如，21端口總是FTP通信，80端口總是HTTP通信。②注冊端口。編號從1024到49151，它們松散地綁定于一些服務(wù)。也就是說有許多服務(wù)綁定于這些端口，這些端口同樣用于許多其他目的。③動態(tài)/私有端口。編號從49152到65535。理論上，不應(yīng)為服務(wù)分配這些端口。實(shí)際上，計算機(jī)通常從1024起分配動態(tài)端口。一些端口常常會被黑客利用，還會被一些木馬病毒利用，對計算機(jī)系統(tǒng)進(jìn)行攻擊。了解這些端口可以幫助網(wǎng)絡(luò)管理員針對這些端口進(jìn)行限制。訪問控制技術(shù)9.1訪問控制列表簡介（2）計算機(jī)端口及防止被黑客攻擊的簡要辦法。①8080端口。8080端口同80端口，是被用于WWW代理服務(wù)的，可以實(shí)現(xiàn)網(wǎng)頁瀏覽，經(jīng)常在訪問某個網(wǎng)站或使用代理服務(wù)器的時候，加上“:8080”端口號。8080端口可以被各種病毒程序所利用，如特洛伊木馬病毒可以利用8080端口完全遙控被感染的計算機(jī)。②21端口。FTP服務(wù)，21端口是FTP服務(wù)器所開放的端口。用于上傳、下載文件。最常見的攻擊是尋找打開anonymous的FTP服務(wù)器。這些服務(wù)器帶有可讀/寫的目錄。木馬DolyTrojan、Fore、InvisibleFTP、WebEx、WinCrash和bladeRunner就開放該端口。③23端口。Telnet遠(yuǎn)程登錄服務(wù)。木馬TinyTelnetServer就開放這個端口。④25端口。SMTP簡單郵件傳輸服務(wù)。SMTP服務(wù)器所開放的端口，用于發(fā)送郵件。入侵者尋找SMTP服務(wù)器是為了傳遞它們的SPAM。木馬Antigen、EmailpasswordSender、HaebuCoceda、ShtrilitzStealth、WinpC、WinSpy開放這個端口。⑤80端口。HTTP服務(wù)，用于網(wǎng)頁瀏覽。木馬Executor開放這個端口。⑥110端口。POP3服務(wù)，POP3服務(wù)器開放此端口，用于接收郵件，客戶端訪問服務(wù)器端的郵件服務(wù)。POP3服務(wù)有許多公認(rèn)的弱點(diǎn)。訪問控制技術(shù)9.1訪問控制列表簡介⑦119端口。NEWS新聞組傳輸協(xié)議端口，承載Usenet通信。這個端口的連接通常是人們在尋找Usenet服務(wù)器。多數(shù)ISP限制，只有它們的客戶才能訪問新聞組服務(wù)器。⑧137、138、139端口。NetBIOSNameService服務(wù)。137、138是UDP端口，當(dāng)通過網(wǎng)上鄰居傳輸文件時用這個端口。而通過139端口進(jìn)入的連接試圖獲得NetBIOS/SAMBA服務(wù)，這個協(xié)議被用于Windows文件和打印機(jī)共享以及SAMBA，還有WINSRegistration也用它。⑨161端口。SNMP服務(wù)，SNMP允許遠(yuǎn)程管理設(shè)備。所有配置和運(yùn)行的信息都儲存在數(shù)據(jù)庫中，通過SNMP可獲得這些信息。了解端口后，網(wǎng)絡(luò)管理員就能夠根據(jù)具體情況設(shè)置相應(yīng)的訪問控制列表，來增加網(wǎng)絡(luò)的安全性。例如，局域網(wǎng)內(nèi)部容易受到?jīng)_擊波病毒的沖擊，而沖擊波病毒主要使用69、4444、135、138和139端口?？梢允褂孟旅娴腁CL來防止沖擊波病毒從Ser2/0口進(jìn)入：訪問控制技術(shù)9.2配置號碼式訪問控制列表限制計算機(jī)訪問訪問控制技術(shù)訪問控制技術(shù)9.2配置號碼式訪問控制列表限制計算機(jī)訪問號碼式ACL分為標(biāo)準(zhǔn)號碼式ACL和擴(kuò)展號碼式ACL兩種。前者基于源地址過濾，后者可以基于源地址、目標(biāo)地址、第三層協(xié)議和第四層端口進(jìn)行復(fù)雜的組合過濾。當(dāng)網(wǎng)絡(luò)管理員想要阻止來自某一網(wǎng)絡(luò)的所有通信流量，或者允許某一特定網(wǎng)絡(luò)的所有流量通過某個路由器的出口時可以使用標(biāo)準(zhǔn)號碼式ACL。由于標(biāo)準(zhǔn)號碼式ACL只基于源地址來過濾數(shù)據(jù)包，所以一些復(fù)雜的過濾要求就不能實(shí)現(xiàn)，這時就需要使用擴(kuò)展號碼式ACL來進(jìn)行過濾。1.配置標(biāo)準(zhǔn)號碼式ACL限制計算機(jī)訪問（1）標(biāo)準(zhǔn)號碼式ACL的設(shè)置命令。標(biāo)準(zhǔn)號碼式ACL的配置是使用全局配置命令access-list來定義訪問控制列表的。詳細(xì)命令如下：訪問控制技術(shù)可以在全局配置模式下通過在執(zhí)行“access-list”命令前面加“no”的形式，移去一個已經(jīng)遍歷的標(biāo)準(zhǔn)ACL，命令如下：“access-list”命令中的參數(shù)說明如下：list-number：ACL表號。標(biāo)準(zhǔn)ACL的表號為1~99中的一個數(shù)字，同一數(shù)字的語句形成一個ACL，1~99中的一個數(shù)同時告訴IOS該ACL是和IP協(xié)議聯(lián)系在一起的，擴(kuò)展ACL的表號為100~199中的一個數(shù)字。9.2配置號碼式訪問控制列表限制計算機(jī)訪問訪問控制技術(shù)Permit：允許從入口進(jìn)來的數(shù)據(jù)包通過。豎線：兩項之間的豎線“|”表示選擇兩項中的某一項。Deny：拒絕從入口進(jìn)來的數(shù)據(jù)包通過。Source：數(shù)據(jù)包的源地址，對于標(biāo)準(zhǔn)的IP訪問控制列表，可以是網(wǎng)絡(luò)地址，也可以是主機(jī)的IP地址。在實(shí)際應(yīng)用中，使用一組主機(jī)要基于對通配符掩碼的使用。source-wildcard（可選）：通配符掩碼，用來和源地址一起決定哪些位需要匹配操作。Cisco訪問控制列表所支持的通配符掩碼與子網(wǎng)掩碼的方式是相反的。某位的wildcards為0表示IP地址的對應(yīng)位必須匹配，為1表示IP地址的對應(yīng)位不需要關(guān)心。為了說明對通配符掩碼的操作，假設(shè)企業(yè)擁有一個C類網(wǎng)絡(luò)。如果不使用子網(wǎng)，當(dāng)配置網(wǎng)絡(luò)中的工作站時，使用的子網(wǎng)掩碼為。在這種情況下，TCP/IP協(xié)議棧只匹配報文中的網(wǎng)絡(luò)地址，而不匹配主機(jī)地址。而標(biāo)準(zhǔn)ACL中，如果是55，則表示匹配源網(wǎng)絡(luò)地址中的所有報文。log（可選）：生成相應(yīng)的日志信息。log關(guān)鍵字只在IOS版本11.3中存在。下面來看幾個設(shè)置IP標(biāo)準(zhǔn)號碼式ACL的例子。表示允許源地址是這個網(wǎng)絡(luò)的所有報文通過路由器。表示只允許源地址是、和的報文通過路由器。9.2配置號碼式訪問控制列表限制計算機(jī)訪問表示只允許源地址是的報文通過路由器。也可以用host代替，表示一種精確匹配。因此，前面的語句也可以寫成：訪問控制技術(shù)在ACL中，如果源地址或目標(biāo)地址是55，則表示所有的地址，可以用any來代替。例如：表示拒絕源地址來的報文，而允許從其他源地址來的報文。但要注意這兩條語句的順序，ACL語句的處理順序是由上到下的。如果顛倒上面兩條語句的順序，則不能過濾來的報文，因?yàn)榈谝粭l語句就已經(jīng)符合條件，不會再比較后面的語句。9.2配置號碼式訪問控制列表限制計算機(jī)訪問訪問控制技術(shù)（2）在路由器接口上應(yīng)用標(biāo)準(zhǔn)號碼式ACL的命令。將一個ACL應(yīng)用于接口分為三步：首先要定義一個ACL，然后指定應(yīng)用的接口，最后用ipaccess-group命令定義數(shù)據(jù)流的方向。要將ACL1應(yīng)用于快速以太網(wǎng)接口0/0的出口方向需要使用如下命令定義接口：要將ACL50應(yīng)用于串行接口2/0的入口方向需要使用如下命令定義接口：在接口上應(yīng)用ACL時需要指定方向，用ipaccess-group命令來定義。其格式如下：list-number是ACL表號；in和out是指明ACL所使用的方向。方向是指報文在進(jìn)入還是在離開路由器時對其進(jìn)行檢查。如果是在VTY線路上使用ACL，則使用access-classlist-number{in|out}格式的命令，而不是使用ipaccess-group命令。例如，只允許指定的計算機(jī)telnet登錄到路由器，可以采用以下方式：9.2配置號碼式訪問控制列表限制計算機(jī)訪問（3）配置標(biāo)準(zhǔn)號碼式ACL并應(yīng)用于路由器端口。企業(yè)的財務(wù)部、銷售部和其他部門分屬于三個不同的網(wǎng)段，部門之間的數(shù)據(jù)通過路由器。企業(yè)規(guī)定只有銷售部可以訪問財務(wù)部，其他部門的計算機(jī)不允許訪問財務(wù)部。網(wǎng)絡(luò)管理員分配財務(wù)部地址為/24，網(wǎng)絡(luò)接入路由器的f0/0接口。銷售部地址/24，銷售部網(wǎng)絡(luò)接入路由器的f1/0接口。其他部門地址為/24，網(wǎng)絡(luò)接入路由器的f0/1接口，如圖9-2所示。在路由器上做如下配置可滿足要求：訪問控制技術(shù)9.2配置號碼式訪問控制列表限制計算機(jī)訪問2.配置擴(kuò)展號碼式ACL限制計算機(jī)訪問標(biāo)準(zhǔn)號碼式ACL只是利用報文字段中源地址進(jìn)行過濾，而擴(kuò)展號碼式ACL則可以根據(jù)源和目的地址、協(xié)議、源和目的的端口號以及一些選項來進(jìn)行過濾，提供了更廣闊的控制范圍，應(yīng)用也更為廣泛。（1）配擴(kuò)展號碼式ACL的設(shè)置命令。擴(kuò)展號碼式ACL的命令格式如下：訪問控制技術(shù)擴(kuò)展號碼式ACL中的參數(shù)有些和標(biāo)準(zhǔn)號碼式ACL中的參數(shù)一樣，不再重復(fù)介紹。list-number：擴(kuò)展號碼式ACL的表號，范圍為100~199中的一個數(shù)字。protocol：定義了被過濾的協(xié)議，如IP、TCP、UDP等。過濾具體的協(xié)議報文時要注意列表中語句的順序，更具體的表項應(yīng)該放在靠前的位置。因?yàn)門CP和UDP被封裝在IP數(shù)據(jù)報中，如果需要過濾TCP的報文，就不能將允許IP協(xié)議的語句放在拒絕TCP協(xié)議的語句之前。source-port：源端口號。destination-port：目的端口號。端口號可以用eq、gt、lt、neq、range等操作符后跟一個數(shù)字，或者跟一個可識別的助記符，如80和http等。80和http可以指定超文本傳輸協(xié)議。來看一個例子：9.2配置號碼式訪問控制列表限制計算機(jī)訪問意思是拒絕從網(wǎng)絡(luò)/24來的依賴于TCP協(xié)議的FTP服務(wù)報文通過路由器去往/24網(wǎng)絡(luò)。eq、gt、lt、neq、range等操作符含義見表9-2。訪問控制技術(shù)options：選項。除log外，還有一個常用選項Established，該選項只用于TCP協(xié)議并且只在TCP通信流的一個方向上來響應(yīng)由另一端發(fā)起的會話。為了實(shí)現(xiàn)該功能，使用Established選項的ACL語句檢查每個TCP報文，以確定報文的ACK或RST位是否已設(shè)置。如以下的ACL語句：9.2配置號碼式訪問控制列表限制計算機(jī)訪問只要報文的ACK和RST位被設(shè)置，該ACL語句允許來自任何源地址的TCP報文流到指定的主機(jī)。這意味著主機(jī)此前必須發(fā)起了TCP會話。（2）配置擴(kuò)展號碼式ACL并應(yīng)用于路由器端口。某企業(yè)銷售部網(wǎng)絡(luò)地址為/24，連接于路由器的f0/0口。研發(fā)部網(wǎng)絡(luò)地址為/24，連接于路由器的f0/1口。服務(wù)器群地址為/24，連接于路由器的f1/0口，如圖9-3所示。銷售部禁止訪問FTP服務(wù)器，允許其他訪問。在路由器上做如下配置可滿足要求：訪問控制技術(shù)注意：擴(kuò)展號碼式ACL盡量應(yīng)用在離源地址近的接口上。9.2配置號碼式訪問控制列表限制計算機(jī)訪問（3）按要求完成擴(kuò)展號碼式ACL配置。RouterA、RouterB、RouterC路由器按圖9-4所示的方式連接。RouterA的局域網(wǎng)口f0/0、f0/1、f1/0和f1/1分別連接四臺計算機(jī)，所有路由器運(yùn)行RIP協(xié)議，網(wǎng)絡(luò)已經(jīng)可以互聯(lián)互通。以下的幾個要求都是基于這個網(wǎng)絡(luò)環(huán)境，根據(jù)不同要求來配置擴(kuò)展號碼式ACL。①配置各PC的IP地址。在PacketTracer中單擊PC1，在彈出的窗口中選擇“桌面”選項卡下的“IP地址配置”選項，出現(xiàn)如圖9-5所示對話框，然后設(shè)置PC1的IP地址、子網(wǎng)掩碼和默認(rèn)網(wǎng)關(guān)，按照同樣方法設(shè)置其他PC的IP地址、子網(wǎng)掩碼和默認(rèn)網(wǎng)關(guān)。PC2主機(jī)的IP地址、子網(wǎng)掩碼和默認(rèn)網(wǎng)關(guān)配置如圖9-6所示。PC3主機(jī)的IP地址、子網(wǎng)掩碼和默認(rèn)網(wǎng)關(guān)配置如圖9-7所示。PC4主機(jī)的IP地址、子網(wǎng)掩碼和默認(rèn)網(wǎng)關(guān)配置如圖9-8所示。訪問控制技術(shù)9.2配置號碼式訪問控制列表限制計算機(jī)訪問②網(wǎng)絡(luò)進(jìn)行連通性配置。a.RouterA路由器的配置如下：訪問控制技術(shù)9.2配置號碼式訪問控制列表限制計算機(jī)訪問訪問控制技術(shù)9.2配置號碼式訪問控制列表限制計算機(jī)訪問訪問控制技術(shù)9.2配置號碼式訪問控制列表限制計算機(jī)訪問b.RouterB路由器的配置如下：訪問控制技術(shù)c.RouterC路由器的配置如下：配置完成后各主機(jī)能夠相互連通如圖9-9所示。9.2配置號碼式訪問控制列表限制計算機(jī)訪問③要求1：在RouterB上進(jìn)行配置，使RouterA不能ping通RouterB，但是可以ping通RouterC。在RouterB路由器上進(jìn)行如下配置：訪問控制技術(shù)RouterA路由器無法ping通RouterB路由器如圖9-10所示。RouterA路由器能夠ping通RouterC路由器如圖9-11所示。9.2配置號碼式訪問控制列表限制計算機(jī)訪問④要求2：在RouterB上進(jìn)行配置，使得四臺主機(jī)中IP地址最后一位為奇數(shù)的主機(jī)可以ping通RouterB，其他的不允許ping通RouterB。在RouterB路由器上進(jìn)行如下配置：訪問控制技術(shù)主機(jī)PC1能夠ping通RouterB，如圖9-12所示。主機(jī)PC3能夠ping通RouterB，如圖9-13所示。主機(jī)PC2無法ping通RouterB，如圖9-14所示。主機(jī)PC4無法ping通RouterB，如圖9-15所示。⑤要求3：在RouterB上進(jìn)行配置，使RouterA連接網(wǎng)絡(luò)號為奇數(shù)的局域網(wǎng)只能ping通RouterB，為偶數(shù)的只能ping通RouterC。9.2配置號碼式訪問控制列表限制計算機(jī)訪問訪問控制技術(shù)在RouterB路由器上進(jìn)行如下配置：9.2配置號碼式訪問控制列表限制計算機(jī)訪問訪問控制技術(shù)在RouterB路由器上進(jìn)行如下配置：9.2配置號碼式訪問控制列表限制計算機(jī)訪問訪問控制技術(shù)主機(jī)PC1能夠ping通RouterB，如圖9-16所示。主機(jī)PC1無法ping通RouterC，如圖9-17所示。9.2配置號碼式訪問控制列表限制計算機(jī)訪問訪問控制技術(shù)主機(jī)PC2無法ping通RouterB，如圖9-18所示。主機(jī)PC2能夠ping通RouterC，如圖9-19所示。9.2配置號碼式訪問控制列表限制計算機(jī)訪問訪問控制技術(shù)主機(jī)PC3能夠ping通RouterB，如圖9-20所示。主機(jī)PC3無法ping通RouterC，如圖9-21所示。9.2配置號碼式訪問控制列表限制計算機(jī)訪問訪問控制技術(shù)主機(jī)PC4無法ping通RouterB，如圖9-22所示。主機(jī)PC4能夠ping通RouterC，如圖9-23所示。9.2配置號碼式訪問控制列表限制計算機(jī)訪問訪問控制技術(shù)⑥要求4：在RouterC上進(jìn)行配置，使得主機(jī)可以Telnet路由器RouterC，其他主機(jī)不允許Telnet路由器RouterC。在RouterC路由器上進(jìn)行如下配置：主機(jī)PC1能夠Telnet路由器RouterC，如圖9-24所示。主機(jī)PC2不允許Telnet路由器RouterC，如圖9-25所示。9.2配置號碼式訪問控制列表限制計算機(jī)訪問訪問控制技術(shù)主機(jī)PC3不允許Telnet路由器RouterC，如圖9-26所示。主機(jī)PC4不允許Telnet路由器RouterC，如圖9-27所示。⑦要求5：在RouterB上進(jìn)行配置，僅允許Telnet路由器RouterB，其他的地址不允許Telnet路由器RouterB。在RouterB路由器上進(jìn)行如下配置：9.2配置號碼式訪問控制列表限制計算機(jī)訪問訪問控制技術(shù)主機(jī)PC1能夠Telnet路由器RouterB，如圖9-28所示。主機(jī)PC2不允許Telnet路由器RouterB，如圖9-29所示。主機(jī)PC3不允許Telnet路由器RouterB，如圖9-30所示。主機(jī)PC4不允許Telnet路由器RouterB，如圖9-31所示。9.2配置號碼式訪問控制列表限制計算機(jī)訪問訪問控制技術(shù)⑧要求6：RouterA、RouterB、RouterC之間采用RIPv2路由協(xié)議發(fā)送路由信息，在RouterB上配置，僅接受RouterC的RIPv2路由更新（不使用“passive-interface”命令）。RIP路由協(xié)議的路由信息更新包是端口號為520的UDP協(xié)議數(shù)據(jù)包。在設(shè)置ACL之前，先看一下各個路由器的路由表，RouterB的路由表如圖9-32所示，可以看到RouterB中有通過路由協(xié)議從RouterA得到的路由和從RouterC得到的路由。在RouterB路由器上進(jìn)行下面的ACL設(shè)置：9.3配置命名式訪問控制列表限制計算機(jī)訪問訪問控制技術(shù)訪問控制技術(shù)9.3配置命名式訪問控制列表限制計算機(jī)訪問號碼式ACL不能從列表中刪除某一條控制條目，刪除一條相當(dāng)于去除整個訪問控制列表。而命名式訪問控制列表可以刪除某一特定的條目，有助于網(wǎng)絡(luò)管理員修改ACL。命名式訪問控制列表是在標(biāo)準(zhǔn)ACL和擴(kuò)展ACL中使用一個名稱來代替ACL的表號。這個名稱是字母和數(shù)字的組合字符串。這個字符串可以用一個有意義的名字來幫助網(wǎng)絡(luò)管理員記憶所設(shè)置的訪問控制列表的用途。命名式訪問控制列表分為標(biāo)準(zhǔn)命名式ACL和擴(kuò)展命名式ACL。1.配置標(biāo)準(zhǔn)命名式ACL限制計算機(jī)訪問標(biāo)準(zhǔn)命名式ACL分兩步來定義：訪問控制技術(shù)可以看出，命名式ACL在定義時和號碼式有區(qū)別。list-name是標(biāo)準(zhǔn)命名式ACL的表名，可以是1~99中的數(shù)字或是字母和數(shù)字的任意組合。與標(biāo)準(zhǔn)號碼式的例子來做對比，標(biāo)準(zhǔn)號碼式配置如下：而如果采用標(biāo)準(zhǔn)命名式達(dá)到以上效果，則配置如下：列表號20被名字“denybzmm”代替了。9.3配置命名式訪問控制列表限制計算機(jī)訪問2.配置擴(kuò)展命名式ACL限制計算機(jī)訪問擴(kuò)展命名式ACL也分兩步來定義：訪問控制技術(shù)這里的“l(fā)ist-name”是擴(kuò)展命名式ACL的表名，可以是100~199的數(shù)字，也可以是字母和數(shù)字的任意組合。下面將擴(kuò)展命名式ACL的配置與擴(kuò)展號碼式做一個比較。還是利用前面的例子，擴(kuò)展號碼式配置如下：9.3配置命名式訪問控制列表限制計算機(jī)訪問而采用擴(kuò)展命名式ACL，利用名稱“denyftp”來代替列表號101，配置如下：訪問控制技術(shù)9.4訪問控制列表實(shí)訓(xùn)9.4.1標(biāo)準(zhǔn)訪問控制列表實(shí)訓(xùn)1.實(shí)訓(xùn)目標(biāo)（1）了解標(biāo)準(zhǔn)訪問控制列表的功能及用途。（2）掌握交換機(jī)IP標(biāo)準(zhǔn)訪問控制列表配置技能。2.實(shí)訓(xùn)任務(wù)你是公司網(wǎng)絡(luò)管理員，公司的技術(shù)部、業(yè)務(wù)部和財務(wù)部分屬不同的三個網(wǎng)段，三個部門之間通過三層交換機(jī)進(jìn)行信息傳遞，為了安全起見，公司要求你對網(wǎng)絡(luò)的數(shù)據(jù)流量進(jìn)行控制，實(shí)現(xiàn)技術(shù)部的主機(jī)可以訪問財務(wù)部的主機(jī)，但是業(yè)務(wù)部不能訪問財務(wù)部主機(jī)。3.任務(wù)分析首先對三層交換機(jī)進(jìn)行基本配置，實(shí)現(xiàn)三個網(wǎng)段可以相互訪問，然后對三層交換機(jī)配置IP標(biāo)準(zhǔn)訪問控制列表，允許網(wǎng)段（技術(shù)部）主機(jī)發(fā)出的數(shù)據(jù)包通過，不允許網(wǎng)段（業(yè)務(wù)部）主機(jī)發(fā)出的數(shù)據(jù)包通過，最后將這一策略加到三層交換機(jī)的相應(yīng)端口，如圖9-34所示。訪問控制技術(shù)9.4訪問控制列表實(shí)訓(xùn)9.4.1標(biāo)準(zhǔn)訪問控制列表實(shí)訓(xùn)4.任務(wù)實(shí)施1）配置各PC的IP地址在PacketTracer中單擊PC1，在彈出的窗口中選擇“桌面”選項卡下的“IP地址配置”選項，出現(xiàn)如圖9-35所示對話框，然后設(shè)置PC1的IP地址、子網(wǎng)掩碼和默認(rèn)網(wǎng)關(guān)，按照同樣方法設(shè)置其他PC的IP地址、子網(wǎng)掩碼和默認(rèn)網(wǎng)關(guān)。PC2主機(jī)的IP地址、子網(wǎng)掩碼和默認(rèn)網(wǎng)關(guān)配置如圖9-36所示。訪問控制技術(shù)9.4訪問控制列表實(shí)訓(xùn)9.4.1標(biāo)準(zhǔn)訪問控制列表實(shí)訓(xùn)PC3主機(jī)的IP地址、子網(wǎng)掩碼和默認(rèn)網(wǎng)關(guān)配置如圖9-37所示。訪問控制技術(shù)2）交換機(jī)基本配置（1）開啟三層交換機(jī)路由功能。（2）建立VLAN并分配端口。9.4訪問控制列表實(shí)訓(xùn)（3）配置三層交換機(jī)端口的路由功能。訪問控制技術(shù)3）交換機(jī)標(biāo)準(zhǔn)訪問控制的配置（1）定義標(biāo)準(zhǔn)訪問控制。（2）應(yīng)用在三層交換機(jī)S3560的VLAN30虛擬接口輸出方向上。（3）驗(yàn)證測試。主機(jī)PC1能夠ping通主機(jī)PC2，如圖9-38所示。9.4訪問控制列表實(shí)訓(xùn)9.4.1標(biāo)準(zhǔn)訪問控制列表實(shí)訓(xùn)主機(jī)PC1能夠ping通主機(jī)PC3，如圖9-39所示。業(yè)務(wù)部主機(jī)PC2無法ping通財務(wù)部主機(jī)PC3，如圖9-40所示。訪問控制技術(shù)9.4訪問控制列表實(shí)訓(xùn)9.4.2基于VTY的訪問控制實(shí)訓(xùn)1.實(shí)訓(xùn)目標(biāo)掌握利用標(biāo)準(zhǔn)訪問實(shí)現(xiàn)Telnet遠(yuǎn)程管理訪問控制的技能。2.實(shí)訓(xùn)任務(wù)你是單位網(wǎng)絡(luò)管理員或網(wǎng)絡(luò)公司技術(shù)支持工程師，客戶單位有一臺交換機(jī)具備遠(yuǎn)程Telnet管理功能，為了安全管理需求，客戶要求只允許管理員才可以Telnet管理交換機(jī)。3.任務(wù)分析（1）配置交換機(jī)特權(quán)密碼。（2）在交換機(jī)上配置管理VLAN接口IP地址。（3）在交換機(jī)上配置VTY終端密碼和允許登錄。（4）在交換機(jī)上定義標(biāo)準(zhǔn)訪問控制列表。（5）將訪問控制列表應(yīng)用在VTY終端上?；赩TY的訪問控制如圖9-41所示。訪問控制技術(shù)9.4訪問控制列表實(shí)訓(xùn)9.4.2基于VTY的訪問控制實(shí)訓(xùn)4.任務(wù)實(shí)施1）配置各PC的IP地址在PacketTracer中單擊PC1，在彈出的窗口中選擇“桌面”選項卡下的“IP地址配置”選項，出現(xiàn)如圖9-42所示對話框，然后設(shè)置PC1的IP地址和子網(wǎng)掩碼，按照同樣方法設(shè)置其他PC的IP地址和子網(wǎng)掩碼。由于所有計算機(jī)在同一網(wǎng)段，因此不需要配置網(wǎng)關(guān)。主機(jī)PC2的IP地址和子網(wǎng)掩碼配置如圖9-43所示。2）交換機(jī)基本配置（1）在交換機(jī)上配置特權(quán)密碼。訪問控制技術(shù)9.4訪問控制列表實(shí)訓(xùn)（2）在交換機(jī)上配置管理VLAN接口IP地址。訪問控制技術(shù)（3）在交換機(jī)上配置VTY終端。9.4.2基于VTY的訪問控制實(shí)訓(xùn)9.4訪問控制列表實(shí)訓(xùn)9.4.2基于VTY的訪問控制實(shí)訓(xùn)3）配置VTY標(biāo)準(zhǔn)訪問控制（1）定義訪問控制。訪問控制技術(shù)（2）在交換機(jī)上VTY終端上應(yīng)用訪問控制。（3）查看訪問控制列表配置。4）驗(yàn)證測試在主機(jī)PC1上對VTY標(biāo)準(zhǔn)訪問控制測試，如圖9-44所示。9.4訪問控制列表實(shí)訓(xùn)9.4.2基于VTY的訪問控制實(shí)訓(xùn)在主機(jī)PC2上對VTY標(biāo)準(zhǔn)訪問控制測試，如圖9-45所示。9.4.3擴(kuò)展訪問控制列表實(shí)訓(xùn)1.實(shí)訓(xùn)目標(biāo)（1）了解擴(kuò)展訪問控制列表的功能及用途。（2）掌握路由器IP擴(kuò)展訪問控制列表配置技能。2.實(shí)