任務(wù)20:配置匯聚層交換機(jī)安全,限制子網(wǎng)訪問(wèn)服務(wù)_第1頁(yè)
任務(wù)20:配置匯聚層交換機(jī)安全,限制子網(wǎng)訪問(wèn)服務(wù)_第2頁(yè)
任務(wù)20:配置匯聚層交換機(jī)安全,限制子網(wǎng)訪問(wèn)服務(wù)_第3頁(yè)
任務(wù)20:配置匯聚層交換機(jī)安全,限制子網(wǎng)訪問(wèn)服務(wù)_第4頁(yè)
任務(wù)20:配置匯聚層交換機(jī)安全,限制子網(wǎng)訪問(wèn)服務(wù)_第5頁(yè)
已閱讀5頁(yè),還剩10頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、LOGO任務(wù)任務(wù)20 20 配置匯聚交換機(jī)安配置匯聚交換機(jī)安全,限制子網(wǎng)訪問(wèn)服務(wù)全,限制子網(wǎng)訪問(wèn)服務(wù)網(wǎng)絡(luò)設(shè)備安裝與調(diào)試技術(shù)網(wǎng)絡(luò)設(shè)備安裝與調(diào)試技術(shù)目錄目錄一、任務(wù)描述一、任務(wù)描述二、任務(wù)分析二、任務(wù)分析三、知識(shí)準(zhǔn)備三、知識(shí)準(zhǔn)備20.1 訪問(wèn)控制列表分類(lèi)訪問(wèn)控制列表分類(lèi)20.2 什么是擴(kuò)展訪問(wèn)控制列表什么是擴(kuò)展訪問(wèn)控制列表20.3 擴(kuò)展的訪問(wèn)控制列表特征擴(kuò)展的訪問(wèn)控制列表特征20.4 配置擴(kuò)展訪問(wèn)控制列表技術(shù)配置擴(kuò)展訪問(wèn)控制列表技術(shù)20.5 配置命名的擴(kuò)展的訪問(wèn)控制列表配置命名的擴(kuò)展的訪問(wèn)控制列表四、任務(wù)實(shí)施四、任務(wù)實(shí)施20.6 綜合實(shí)訓(xùn):配置匯聚交換機(jī)安全,限制子網(wǎng)訪綜合實(shí)訓(xùn):配置匯聚交換機(jī)安全

2、,限制子網(wǎng)訪問(wèn)服務(wù)問(wèn)服務(wù)知識(shí)拓展知識(shí)拓展認(rèn)證測(cè)試認(rèn)證測(cè)試任務(wù)描述任務(wù)描述浙江科技工程學(xué)校多媒體實(shí)訓(xùn)中心機(jī)房,和學(xué)校的網(wǎng)絡(luò)中心相連。之前為了建設(shè)數(shù)字化校園,學(xué)校在網(wǎng)絡(luò)中心搭建了多臺(tái)服務(wù)器,包括WEB服務(wù)器、FTP服務(wù)器、DNS服務(wù)器等,方便學(xué)校師生員工之間共享數(shù)字化資源。由于網(wǎng)絡(luò)中心的FTP服務(wù)器上,主要存儲(chǔ)的是教學(xué)資源,如考試試卷、學(xué)生的各門(mén)課程的成績(jī)冊(cè),由于多媒體實(shí)訓(xùn)中心機(jī)房和網(wǎng)絡(luò)中心服務(wù)器機(jī)房相連,經(jīng)常有學(xué)生違紀(jì)登陸學(xué)校的FTP服務(wù)器,訪問(wèn)考試等不允許學(xué)生訪問(wèn)的資料。為了加強(qiáng)網(wǎng)絡(luò)信息安全管理,需要實(shí)施擴(kuò)展的訪問(wèn)控制列表技術(shù),限制學(xué)生機(jī)房子網(wǎng)的計(jì)算機(jī)訪問(wèn)網(wǎng)絡(luò)中心的FTP服務(wù)器,其他服務(wù)器資源

3、則允許學(xué)生機(jī)房計(jì)算機(jī)訪問(wèn)。任務(wù)分析任務(wù)分析擴(kuò)展編號(hào)ACL不僅僅匹配數(shù)據(jù)包中源地址信息,還檢查數(shù)據(jù)包的目的地址,以及數(shù)據(jù)包的特定協(xié)議類(lèi)型、端口號(hào)等,為網(wǎng)絡(luò)的安全訪問(wèn)提供了更多的訪問(wèn)控制功能。安全訪問(wèn)控制是指定網(wǎng)絡(luò)中的指定的服務(wù),除需要對(duì)源網(wǎng)絡(luò)地址過(guò)濾外,還需要對(duì)目標(biāo)網(wǎng)絡(luò)地址進(jìn)行過(guò)濾的需求,還需要對(duì)IP數(shù)據(jù)包中的服務(wù)信息進(jìn)行檢查。顯然,使用標(biāo)準(zhǔn)IP ACL無(wú)法實(shí)現(xiàn)此需求,在這種場(chǎng)景下就需要用擴(kuò)展的IP ACL。擴(kuò)展IP ACL可以檢查元素有:源IP地址、目標(biāo)IP地址、協(xié)議、源端口號(hào)、目標(biāo)端口號(hào)。知識(shí)準(zhǔn)備知識(shí)準(zhǔn)備20.1 20.1 訪問(wèn)控制列表分類(lèi)訪問(wèn)控制列表分類(lèi)。根據(jù)訪問(wèn)控制標(biāo)準(zhǔn)的不同, ACL分

4、多種類(lèi)型,實(shí)現(xiàn)不同的網(wǎng)絡(luò)安全訪問(wèn)控制權(quán)限。常見(jiàn)ACL有兩類(lèi):標(biāo)準(zhǔn)訪問(wèn)控制列表(Standard IP ACL)和擴(kuò)展訪問(wèn)控制列表(Extended IP ACL),在規(guī)則中使用不同的編號(hào)區(qū)別,其中標(biāo)準(zhǔn)訪問(wèn)控制列表的編號(hào)取值范圍為199;擴(kuò)展訪問(wèn)控制列表的編號(hào)取值范圍為100199。知識(shí)準(zhǔn)備知識(shí)準(zhǔn)備20.2 20.2 什么是擴(kuò)展訪問(wèn)控制列表什么是擴(kuò)展訪問(wèn)控制列表?;诰幪?hào)擴(kuò)展訪問(wèn)控制列表(Extended IP ACL)重要特征是:一是通過(guò)編號(hào)100199來(lái)區(qū)別不同的IP ACL ;二是不僅檢查數(shù)據(jù)包源IP地址,還檢查數(shù)據(jù)包中目的IP地址,源端口,目的端口、建立連接和IP優(yōu)先級(jí)等特征信息。知識(shí)準(zhǔn)

5、備知識(shí)準(zhǔn)備20.3 20.3 擴(kuò)展的訪問(wèn)控制列表特征擴(kuò)展的訪問(wèn)控制列表特征。擴(kuò)展IP ACL訪問(wèn)控制列表,使用編號(hào)范圍從100到199的編號(hào)值,標(biāo)識(shí)區(qū)別同一接口上多條列表。和標(biāo)準(zhǔn)IP ACL相比,擴(kuò)展IP ACL也存在一些缺點(diǎn):一是配置管理難度加大,考慮不周容易限制正常訪問(wèn);其次擴(kuò)展IP ACL會(huì)消耗路由器更多CPU資源。所以中低檔路由器進(jìn)行網(wǎng)絡(luò)連接時(shí),應(yīng)盡量減少擴(kuò)展ACL條數(shù),以提高工作效率。知識(shí)準(zhǔn)備知識(shí)準(zhǔn)備20.4 20.4 配置擴(kuò)展訪問(wèn)控制列表技術(shù)配置擴(kuò)展訪問(wèn)控制列表技術(shù)。配置基于編號(hào)擴(kuò)展IP ACL指令格式如下:Access-list listnumber permit | deny

6、protocol source source-wildcardmask destination destination-wildcardmask operator operand 知識(shí)準(zhǔn)備知識(shí)準(zhǔn)備20.5 20.5 配置命名的擴(kuò)展的訪問(wèn)控制列表配置命名的擴(kuò)展的訪問(wèn)控制列表。使用編號(hào)IP ACL不容易識(shí)別,數(shù)字不容易區(qū)分,特別是基于編號(hào)的IP ACL在修改上非常不方便?;诿Q(chēng)IP ACL在技術(shù)開(kāi)發(fā)上,避免基于編號(hào)IP ACL應(yīng)用上不足。如果實(shí)施基于名稱(chēng)擴(kuò)展訪問(wèn)控制列表,語(yǔ)法規(guī)則如下:ip access-list extended name | access-list-number ! 指定命名

7、ACL的類(lèi)型以及ACL名稱(chēng),啟用名稱(chēng)IP ACL規(guī)則 permit | deny protocol any | source source-wildcard operator port any | destination destination-wildcard operator port time-range time-range-name dscp dscp fragment !允許或者拒絕操作,命令中各個(gè)參數(shù)含義均與編號(hào)ACL相同。任務(wù)實(shí)施任務(wù)實(shí)施【網(wǎng)絡(luò)場(chǎng)景網(wǎng)絡(luò)場(chǎng)景】 如圖所示的網(wǎng)絡(luò)拓?fù)涫菍W(xué)校在網(wǎng)絡(luò)中心搭建了多臺(tái)服務(wù)器,包括WEB服務(wù)器、FTP服務(wù)器、DNS服務(wù)器等,為了加強(qiáng)網(wǎng)絡(luò)信息安全

8、管理,需要實(shí)施擴(kuò)展的訪問(wèn)控制列表技術(shù),限制學(xué)生機(jī)房子網(wǎng)的計(jì)算機(jī)訪問(wèn)網(wǎng)絡(luò)中心的FTP服務(wù)器,其他服務(wù)器資源則允許學(xué)生機(jī)房計(jì)算機(jī)訪問(wèn)。 其中,連接網(wǎng)絡(luò)中心的路由器F1/2接口上連接是一個(gè)服務(wù)器群,服務(wù)器提供WEB服務(wù),還有服務(wù)器提供FTP服務(wù)。任務(wù)實(shí)施任務(wù)實(shí)施【網(wǎng)絡(luò)場(chǎng)景網(wǎng)絡(luò)場(chǎng)景】。任務(wù)實(shí)施任務(wù)實(shí)施【設(shè)備清單設(shè)備清單】:三層交換機(jī)(1臺(tái))、 計(jì)算機(jī)(=3臺(tái))、 雙絞線(若干根)?!緦?shí)施過(guò)程實(shí)施過(guò)程】步驟一:安裝網(wǎng)絡(luò)工作環(huán)境步驟一:安裝網(wǎng)絡(luò)工作環(huán)境步驟二:步驟二:IPIP地址規(guī)劃與設(shè)置地址規(guī)劃與設(shè)置步驟三:配置三層交換機(jī)基本信息步驟三:配置三層交換機(jī)基本信息步驟四:網(wǎng)絡(luò)測(cè)試(步驟四:網(wǎng)絡(luò)測(cè)試(1 1)步驟五:配置三層交換機(jī)名稱(chēng)擴(kuò)展訪問(wèn)控制列表,并應(yīng)步驟五:配置三層交換機(jī)名稱(chēng)擴(kuò)展訪問(wèn)控制列表,并應(yīng)用在接口上用在接口上步驟六

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論