最新-訪問(wèn)控制列表與端口安全-課件

第八章訪問(wèn)控制列表與端口安全

12/22/20221第八章訪問(wèn)控制列表與端口安全12/17/20221本章課題8.1訪問(wèn)控制列表簡(jiǎn)介8.2編號(hào)訪問(wèn)控制列表配置8.3命名訪問(wèn)控制列表8.4基于時(shí)間訪問(wèn)的控制列表8.5端口安全12/22/20222本章課題8.1訪問(wèn)控制列表簡(jiǎn)介12/17/20222網(wǎng)絡(luò)安全隱患（1）非人為的或自然力造成的故障、事故等。（2）人為但屬于操作人員無(wú)意的失誤造成的數(shù)據(jù)丟失或損壞。（3）來(lái)自園區(qū)網(wǎng)外部和內(nèi)部人員的惡意攻擊和破壞。12/22/20223網(wǎng)絡(luò)安全隱患（1）非人為的或自然力造成的故障、事故等。12現(xiàn)有網(wǎng)絡(luò)安全防御體制IDS68%殺毒軟件99%防火墻98%ACL71%現(xiàn)有網(wǎng)絡(luò)安全體制12/22/20224現(xiàn)有網(wǎng)絡(luò)安全I(xiàn)DS殺毒軟件防火墻ACL現(xiàn)有網(wǎng)絡(luò)安全體制12/VPN

虛擬專用網(wǎng)防火墻包過(guò)濾防病毒入侵檢測(cè)12/22/20225VPN虛擬專用網(wǎng)防火墻包過(guò)濾防病毒入侵檢測(cè)12/17/20什么是訪問(wèn)列表ISP√IPAccess-list：IP訪問(wèn)列表或訪問(wèn)控制列表，簡(jiǎn)稱IPACLIPACL就是對(duì)經(jīng)過(guò)網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包根據(jù)一定的規(guī)則進(jìn)行數(shù)據(jù)包的過(guò)濾。12/22/20226什么是訪問(wèn)列表ISP√IPAccess-list：IP訪問(wèn)訪問(wèn)列表的作用訪問(wèn)控制列表可以限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能、控制網(wǎng)絡(luò)通信流量等，同時(shí)ACL也是網(wǎng)絡(luò)訪問(wèn)控制的基本安全手段。在路由器或交換機(jī)的接口上配置訪問(wèn)控制列表后，可以對(duì)進(jìn)出接口及通過(guò)接口中繼的數(shù)據(jù)包進(jìn)行安全檢測(cè)。配置訪問(wèn)控制列表的目的主要基于以下兩點(diǎn)。（1）限制路由更新。（2）限制網(wǎng)絡(luò)訪問(wèn)。12/22/20227訪問(wèn)列表的作用訪問(wèn)控制列表可以限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能、控訪問(wèn)控制列表類型標(biāo)準(zhǔn)IP訪問(wèn)控制列表編號(hào)的標(biāo)準(zhǔn)IP訪問(wèn)控制列表命名的標(biāo)準(zhǔn)IP訪問(wèn)控制列表擴(kuò)展IP訪問(wèn)控制列表編號(hào)的擴(kuò)展IP訪問(wèn)控制列表命名的擴(kuò)展IP訪問(wèn)控制列表12/22/20228訪問(wèn)控制列表類型標(biāo)準(zhǔn)IP訪問(wèn)控制列表12/17/20228ACL的一些相關(guān)特性（1）每一個(gè)接口可以在進(jìn)入（Inbound）和離開(kāi)（Outbound）兩個(gè)方向上分別應(yīng)用一個(gè)ACL，且每個(gè)方向上只能應(yīng)用一個(gè)ACL。（2）ACL語(yǔ)句包括兩個(gè)動(dòng)作，一個(gè)是拒絕（Deny），一個(gè)是允許（Permit）。（3）在路由器或交換機(jī)接口接收到報(bào)文時(shí)，應(yīng)用在接口進(jìn)入方向的ACL（內(nèi)向ACL）起作用。（4）在路由選擇決定以后，數(shù)據(jù)準(zhǔn)備從某一個(gè)接口輸出報(bào)文時(shí)，應(yīng)用在接口離開(kāi)方向的ACL（外向ACL）起作用。（5）每個(gè)ACL的結(jié)尾有一個(gè)隱含的denyall（拒絕的所有數(shù)據(jù)包）語(yǔ)句。因此，如果包不匹配ACL中的任何語(yǔ)句，將被拒絕。

12/22/20229ACL的一些相關(guān)特性（1）每一個(gè)接口可以在進(jìn)入（InbouACL的內(nèi)向匹配過(guò)程路由器取出內(nèi)向ACL的數(shù)據(jù)包進(jìn)入路由器數(shù)據(jù)包進(jìn)入路由器路由器取出內(nèi)向ACL的第一條語(yǔ)句允許還是拒絕？匹配項(xiàng)與數(shù)據(jù)包中的各項(xiàng)進(jìn)行比較是否匹配匹配項(xiàng)與數(shù)據(jù)包是否匹配？允許還是拒絕？取出內(nèi)向ACL

下一條語(yǔ)句最后一條？允許進(jìn)行路由選擇拒絕決定轉(zhuǎn)發(fā)接口丟棄結(jié)束12/22/202210ACL的內(nèi)向匹配過(guò)程路由器取出內(nèi)向ACL的數(shù)據(jù)包進(jìn)入路由器ACL的外向匹配過(guò)程路由器取出外向ACL的第一條語(yǔ)句選擇離開(kāi)接口是否匹配？匹配項(xiàng)與數(shù)據(jù)包中的各項(xiàng)進(jìn)行比較取出外向ACL

下一條語(yǔ)句最后一條？允許還是拒絕？允許數(shù)據(jù)包從離開(kāi)接口送出結(jié)束丟棄拒絕12/22/202211ACL的外向匹配過(guò)程路由器取出外向ACL的第一條語(yǔ)句選擇離通配符掩碼通配符掩碼掩碼的二進(jìn)制形式描述00000000.00000000.00000000.00000000整個(gè)lP地址必須匹配5500000000.00000000.00000000.11111111只有前24位需要匹配5500000000.00000000.11111111.11111111只有前16位需要匹配5500000000.11111111.11111111.11111111只有前8位需要匹配5511111111.11111111.11111111.11111111全部不需要匹配5500000000.00000000.00001111.11111111只有前20位需要匹配5500000000.00000000.00000011.11111111只有前22位需要匹配12/22/202212通配符掩碼通配符掩碼掩碼的二進(jìn)制形式描述0.0.0IP地址與通配符掩碼的作用規(guī)則

IP地址與通配符掩碼的作用規(guī)則是：32位的IP地址與32位的通配符掩碼逐位進(jìn)行比較，通配符掩碼為0的位要求IP地址的對(duì)應(yīng)位必須匹配，通配符掩碼為1的位所對(duì)應(yīng)的IP地址位不必匹配，例如，IP地址 （相應(yīng)的二進(jìn)制為11000000101010000000000100000000）通配符掩碼 55 （相應(yīng)的二進(jìn)制為00000000000000000000000011111111）該通配符掩碼的前24位為0，對(duì)應(yīng)的IP地址位必須匹配，即必須保持原數(shù)不變，該通配符掩碼的后8位為1，對(duì)應(yīng)的IP地址位不必匹配，即IP地址的后8位可以為任意值。也就是說(shuō)IP地址和通配符掩碼55匹配的結(jié)果是這個(gè)網(wǎng)段內(nèi)的所有主機(jī)。12/22/202213IP地址與通配符掩碼的作用規(guī)則IP地址與通配符掩碼的作用兩個(gè)特殊的關(guān)鍵字Host：表示一種精確匹配，是通配符掩碼的簡(jiǎn)寫(xiě)形式。例如，只檢查IP地址為0的數(shù)據(jù)包，可使用以下兩種ACL語(yǔ)句。access-list10permit0或access-list10permithost0Any：表示全部不進(jìn)行匹配，是通配符掩碼55的簡(jiǎn)寫(xiě)形式。例如，允許所有的IP地址的數(shù)據(jù)都通過(guò)，可使用以下兩種ACL語(yǔ)句。access-list10permit055或access-list10permitany12/22/202214兩個(gè)特殊的關(guān)鍵字Host：表示一種精確匹配，是通配符掩碼0配置訪問(wèn)控制列表的步驟第一步是配置訪問(wèn)控制列表語(yǔ)句第二步是把配置好的訪問(wèn)控制列表應(yīng)用到某個(gè)端口上。12/22/202215配置訪問(wèn)控制列表的步驟第一步是配置訪問(wèn)控制列表語(yǔ)句12/17訪問(wèn)控制列表配置的注意事項(xiàng)（1）注意訪問(wèn)控制列表中語(yǔ)句的次序，盡量把作用范圍小的語(yǔ)句放在前面。（2）新的表項(xiàng)只能被添加到訪問(wèn)表的末尾，這意味著不可能改變已有訪問(wèn)表的功能。如果必須要改變，只有先刪除已存在的訪問(wèn)控制列表，然后創(chuàng)建一個(gè)新訪問(wèn)控制列表，將新訪問(wèn)控制列表用到相應(yīng)的接口上。（3）標(biāo)準(zhǔn)的IP訪問(wèn)控制列表只匹配源地址，一般都使用擴(kuò)展的IP訪問(wèn)控制列表以達(dá)到精確的要求。（4）標(biāo)準(zhǔn)的訪問(wèn)控制列表盡量靠近目的，擴(kuò)展的訪問(wèn)控制列表盡量靠近過(guò)濾源的位置，以免訪問(wèn)控制列表影響其他接口上的數(shù)據(jù)流。（5）在應(yīng)用訪問(wèn)控制列表時(shí)，要特別注意過(guò)濾的方向。（6）在編號(hào)ACL中所有未被允許的都是被拒絕的，所以允許的內(nèi)容一定要寫(xiě)全面。12/22/202216訪問(wèn)控制列表配置的注意事項(xiàng)（1）注意訪問(wèn)控制列表中語(yǔ)句的次配置標(biāo)準(zhǔn)IP訪問(wèn)控制列表access-listaccess-list-numberdenylpermitsource-addresssource-wildcard-maskaccess-list-number的范圍是1~99訪問(wèn)控制列表的動(dòng)作：denylpermit12/22/202217配置標(biāo)準(zhǔn)IP訪問(wèn)控制列表access-listacces應(yīng)用訪問(wèn)控制列表到接口Ipaccess-groupaccess-list-numberin|out訪問(wèn)控制列表只有被應(yīng)用到某個(gè)接口才能達(dá)到報(bào)文過(guò)濾的目的。接口上通過(guò)的報(bào)文有兩個(gè)方向，一個(gè)是通過(guò)接口進(jìn)入路由器的報(bào)文，即in方向的報(bào)文，一個(gè)是通過(guò)接口離開(kāi)路由器的報(bào)文，即out方向的報(bào)文，out也是訪問(wèn)控制列表的默認(rèn)方向。12/22/202218應(yīng)用訪問(wèn)控制列表到接口Ipaccess-groupac顯示訪問(wèn)控制列表配置Showaccess-list[access-list-number]其中，access-list-number是可選參數(shù)，如果指定則顯示指定編號(hào)的訪問(wèn)控制列表配置細(xì)節(jié)，如果不指定則顯示所有訪問(wèn)控制列表的配置細(xì)節(jié)。12/22/202219顯示訪問(wèn)控制列表配置Showaccess-list[ac例8-1請(qǐng)?jiān)谌鐖D8-3所示的路由器上配置ACL，實(shí)現(xiàn)PC1不能訪問(wèn)網(wǎng)段，而PC2能訪問(wèn)（假設(shè)各路由器各接口已配置好，并全網(wǎng)已連通）。

12/22/202220例8-1請(qǐng)?jiān)谌鐖D8-3所示的路由器上配置ACL，實(shí)現(xiàn)PC1擴(kuò)展IP訪問(wèn)控制列表的配置access-listaccess-list-numberpermit|denyprotocolsource-addresssource-wildcard-masksource-portdestination-addressdestination-wildcard-maskdestination-portlogoptions擴(kuò)展IP訪問(wèn)控制列表的編號(hào)范圍為100～199訪問(wèn)控制列表的動(dòng)作：permit或deny協(xié)議：IP、TCP、UDP、ICMP、EIGRP、GRE等。源端口號(hào)：端口號(hào)的范圍是0~6553512/22/202221擴(kuò)展IP訪問(wèn)控制列表的配置access-listacce端口范圍運(yùn)算符運(yùn)算符及其語(yǔ)法描述例eqportnumber等于，用于指定單個(gè)的端口eq21或eqftpgtportnumber大于，用于指定大于某個(gè)端口的一個(gè)端口范圍gt1024ltportnumber小于，用于指定小于某個(gè)端口的一個(gè)端口范圍lt1024neqportnumber不等于，用于指定除了某個(gè)端口以外的所有端口neq21rangeportnumber1portnumber2指位于兩個(gè)端口號(hào)間的一個(gè)端口范圍range13514512/22/202222端口范圍運(yùn)算符運(yùn)算符及其語(yǔ)法描述例eqportn命名訪問(wèn)控制列表的引入不管是標(biāo)準(zhǔn)IP訪問(wèn)控制列表，還是擴(kuò)展的IP訪問(wèn)控制列表，其編號(hào)的范圍都不超過(guò)100個(gè)，這樣，就可能出現(xiàn)編號(hào)不夠用的情況；還有就是僅用編號(hào)區(qū)分的訪問(wèn)控制列表不便于網(wǎng)絡(luò)管理員對(duì)訪問(wèn)控制列表作用的識(shí)別。命名IP訪問(wèn)控制列表是通過(guò)一個(gè)名稱而不是一個(gè)編號(hào)來(lái)引用的。命名的訪問(wèn)控制列表可用于標(biāo)準(zhǔn)的和擴(kuò)展的訪問(wèn)表中。名稱的使用是區(qū)分大小寫(xiě)的，并且必須以字母開(kāi)頭。在名稱的中間可以包含任何字母數(shù)字混合使用的字符，名稱的最大長(zhǎng)度為100個(gè)字符。12/22/202223命名訪問(wèn)控制列表的引入不管是標(biāo)準(zhǔn)IP訪問(wèn)控制列表，還是擴(kuò)展編號(hào)IP訪問(wèn)控制列表和命名IP訪問(wèn)控制列表的主要區(qū)別（1）名字能更直觀地反映出訪問(wèn)控制列表完成的功能。（2）命名訪問(wèn)控制列表突破了99個(gè)標(biāo)準(zhǔn)訪問(wèn)控制列表和100個(gè)擴(kuò)展訪問(wèn)控制列表的數(shù)目限制，能夠定義更多的訪問(wèn)控制列表。（3）單個(gè)路由器上命名訪問(wèn)控制列表的名稱在所有協(xié)議和類型的命名訪問(wèn)控制列表中必須是唯一的，而不同路由器上的命名訪問(wèn)控制列表名稱可以相同。（4）命名訪問(wèn)控制列表是一個(gè)全局命令，它將使用者進(jìn)入到命名IP列表的子模式，在該子模式下建立匹配和允許／拒絕動(dòng)作的相關(guān)語(yǔ)句。（5）命名IP訪問(wèn)控制列表允許刪除個(gè)別語(yǔ)句，當(dāng)一個(gè)命名訪問(wèn)控制列表中的語(yǔ)句要被刪除時(shí)，只需將該語(yǔ)句刪除即可，而編號(hào)訪問(wèn)控制列表中則需要將訪問(wèn)控制列表中的所有語(yǔ)句刪除后再重新輸入。（6）命名訪問(wèn)控制列表的命令為ipaccess-list，在命令中用standard和extended來(lái)區(qū)別標(biāo)準(zhǔn)訪問(wèn)控制列表和擴(kuò)展訪問(wèn)控制列表，而編號(hào)訪問(wèn)控制列表的配置命令為access-list，并用編號(hào)來(lái)區(qū)別標(biāo)準(zhǔn)和擴(kuò)展。12/22/202224編號(hào)IP訪問(wèn)控制列表和命名IP訪問(wèn)控制列表的主要區(qū)別（1）創(chuàng)建標(biāo)準(zhǔn)命名IPACL的步驟（1）configureterminal進(jìn)入全局配置模式。（2）ipaccess-liststandard{name}用數(shù)字或名字來(lái)定義一條StandardIPACL并進(jìn)入access-list配置模式。（3）deny{sourcesource-wildcard|hostsource|any}或permit{sourcesource-wildcard|hostsource|any}在access-list配置模式聲明一個(gè)或多個(gè)的允許通過(guò)（permit）或丟棄（deny）的條件以用于決定報(bào)文是轉(zhuǎn)發(fā)或還是丟棄。hostsource代表一臺(tái)源主機(jī)，any代表任意主機(jī)。（4）end退回到特權(quán)模式。（5）showaccess-lists[name]顯示該接入控制列表，如果不指定access-list及name參數(shù)，則顯示所有接入控制列表。12/22/202225創(chuàng)建標(biāo)準(zhǔn)命名IPACL的步驟（1）configurete例8-3在三層交換機(jī)上進(jìn)行ACL設(shè)置，以實(shí)現(xiàn)VLAN10的主機(jī)不能與VLAN30內(nèi)的主機(jī)進(jìn)行通信，能與VLAN20內(nèi)的主機(jī)進(jìn)行通信，而VLAN20可以和VLAN30的主機(jī)進(jìn)行通信。12/22/202226例8-3在三層交換機(jī)上進(jìn)行ACL設(shè)置，以實(shí)現(xiàn)VLAN10的命名擴(kuò)展IP訪問(wèn)控制列表配置（1）configureterminal進(jìn)入全局配置模式。（2）ipaccess-listextended{name}用數(shù)字或名字來(lái)定義一條ExtendedIPACL并進(jìn)入access-list配置模式。（3）{deny|permit}protocol{sourcesource-wildcard|hostsource|any}[operatorport]{destinationdestination-wildcard|hostdestination|any}[operatorport]在access-list配置模式，聲明一個(gè)或多個(gè)的允許通過(guò)（permit）或丟棄（deny）的條件以用于決定匹配條件的報(bào)文是轉(zhuǎn)發(fā)或還是丟棄。以如下方式定義TCP或UDP的目的或源端口。操作符（operator）只能為eq。如果操作符在sourcesource-wildcard之后，則報(bào)文的源端口匹配指定值條件生效。如果操作符在destinationdestination-wildcard之后，則報(bào)文的目的端口匹配指定值條件生效。port為十進(jìn)制值，它代表TCP或UDP的端口號(hào)，值范圍為0～65535。protocol可以為IP、TCP、UDP、IGMP、ICMP等協(xié)議。（4）end退回到特權(quán)模式。（5）showaccess-lists[name]顯示該接入訪問(wèn)控制列表，如果不指定name參數(shù)，則顯示所有接入訪問(wèn)控制列表。12/22/202227命名擴(kuò)展IP訪問(wèn)控制列表配置（1）configurete基于時(shí)間的訪問(wèn)控制列表基于時(shí)間的訪問(wèn)控制列表能夠應(yīng)用于編號(hào)訪問(wèn)控制列表和命名訪問(wèn)控制列表。為了實(shí)現(xiàn)基于時(shí)間的ACL功能，首先應(yīng)定義一個(gè)Time-range接口來(lái)指明日期時(shí)間范圍，與其他接口一樣，Time-range接口通過(guò)名稱來(lái)標(biāo)識(shí)。然后，將Time-range接口與對(duì)應(yīng)的ACL關(guān)聯(lián)起來(lái)，這是通過(guò)在ACL中用Time-range引用時(shí)間范圍實(shí)現(xiàn)的。12/22/202228基于時(shí)間的訪問(wèn)控制列表基于時(shí)間的訪問(wèn)控制列表能夠應(yīng)用于編號(hào)路由器時(shí)鐘設(shè)置路由器時(shí)鐘設(shè)置在特權(quán)模式下進(jìn)行，分為兩步：首先設(shè)置系統(tǒng)日期時(shí)間，然后用當(dāng)前系統(tǒng)時(shí)鐘更新路由器實(shí)時(shí)時(shí)鐘。配置命令為：Clocksethh:mm:ssdaymonthyear //設(shè)置系統(tǒng)日期時(shí)間Clockupdate-calender //更新路由器實(shí)時(shí)時(shí)鐘12/22/202229路由器時(shí)鐘設(shè)置路由器時(shí)鐘設(shè)置在特權(quán)模式下進(jìn)行，分為兩步：首定義Time-range接口time-rangetime-range-name此命令的作用是定義Time-range接口的名稱，參數(shù)time-range-name為T(mén)ime-range接口的名稱，接口名稱長(zhǎng)度為1～32個(gè)字符，中間不能有空格。Time-range接口命名后，就進(jìn)入了時(shí)間定義模式，在此模式中還要使用absolute和periodic兩個(gè)命令定義具體的時(shí)間范圍。值得注意的是，一個(gè)時(shí)間范圍只能包括一個(gè)absolute絕對(duì)時(shí)間范圍和多個(gè)周期時(shí)間范圍。12/22/202230定義Time-range接口time-rangetim定義絕對(duì)時(shí)間范圍Absolute[startstart-ttmestart-date][endend-timeend-date]star-time、end-time分別用于指定開(kāi)始和結(jié)束時(shí)間，使用24小時(shí)表示，其格式為“小時(shí)：分鐘”，start-date和end-date分別用于指定開(kāi)始的日期和結(jié)束的日期，使用日/月/年的時(shí)間格式，而不是通常采用的月/日/年格式，這一點(diǎn)必須注意。命令中的start和end關(guān)鍵字都是可選的。當(dāng)省略start及其后面的時(shí)間、日期時(shí)，表示與之相聯(lián)系的ACL語(yǔ)句立即生效，并一直作用到end處的時(shí)間、日期為止；當(dāng)省略end及其后面的時(shí)間，表示與之相聯(lián)系的ACL語(yǔ)句在start處表示的時(shí)間、日期開(kāi)始生效，并且永遠(yuǎn)發(fā)生作用，當(dāng)然把訪問(wèn)控制列表刪除了的話就不會(huì)起作用了。12/22/202231定義絕對(duì)時(shí)間范圍Absolute[startstart常用的時(shí)間定義形式時(shí)間定義描述Absolutestart17:00Absolutestart17:001decemdber2000Absoluteend17:00Absoluteend17:00ldecemdber2000Absolutestart8:00end20:00Absolutestart17:001decemdber2000end5:0031decemdber2000從配置的當(dāng)天17:00開(kāi)始直到永遠(yuǎn)從2000年12月1日17:00開(kāi)始直到永遠(yuǎn)從配置時(shí)開(kāi)始直到當(dāng)天的17:00結(jié)束從配置時(shí)開(kāi)始直到2000年12月1日17:00結(jié)束從8點(diǎn)開(kāi)始到20點(diǎn)結(jié)束從2000年12月1日17:00開(kāi)始直到2000年12月31日5:00結(jié)束12/22/202232常用的時(shí)間定義形式時(shí)間定義描述Abso定義周期、重復(fù)使用的時(shí)間范圍

Periodicdays-of-the-weekhh:mmtodays-of-the-weekhh:mmperiodic是以星期為參數(shù)來(lái)定義時(shí)間范圍的一個(gè)命令。它可以使用大量的參數(shù)，其范圍可以是一個(gè)星期中的某一天、某幾天的組合，或者使用關(guān)鍵字daily、weekdays、weekend等。12/22/202233定義周期、重復(fù)使用的時(shí)間范圍Periodicdays-operiodic中的參數(shù)參數(shù)描述Monday，Tuesday，Wednesday，Thursday，F(xiàn)riday，Staturday，SundayDailyWeekdayWeekend某一天或某幾天的結(jié)合每天從星期一到星期五星期六和星期日12/22/202234periodic中的參數(shù)參數(shù)描述Monda常用的時(shí)間范圍定義形式時(shí)間范圍定義描述Periodicweekend7:00to19:00Periodicweekday8:00to17:00Periodicdaily7:00to17:00Periodicstaturday17:00toMonday7:00PeriodicMondayFriday7:00to20:00星期六早上7:00到星期日晚上7:00星期一早上8:00到星期五下午5:00每天的早上7:00到下午5:00星期六下午5:00到星期一早上7:00星期一和星期五的早上7:00到晚上8:0012/22/202235常用的時(shí)間范圍定義形式時(shí)間范圍定義描述Period應(yīng)用時(shí)間訪問(wèn)控制列表的注意事項(xiàng)

由于使用帶時(shí)間范圍的訪問(wèn)控制列表依賴于路由器的系統(tǒng)時(shí)鐘，所以要保證路由器時(shí)鐘設(shè)置的準(zhǔn)確性。在time-range范圍命令中同時(shí)使用absolute和periodic語(yǔ)句12/22/202236應(yīng)用時(shí)間訪問(wèn)控制列表的注意事項(xiàng)由于使用帶時(shí)間范圍的訪問(wèn)控制例8-5要求從2019年1月1日起在每周工作時(shí)間段8:00到18:00內(nèi)禁止網(wǎng)段的主機(jī)訪問(wèn)HTTP的數(shù)據(jù)流。12/22/202237例8-5要求從2019年1月1日起在每周工作時(shí)間段8:00交換機(jī)端口安全利用交換機(jī)的端口安全功能可以防止局域網(wǎng)大部分的內(nèi)部攻擊對(duì)用戶、網(wǎng)絡(luò)設(shè)備造成的破壞。如MAC地址攻擊、ARP攻擊、IP/MAC地址欺騙等。交換機(jī)端口安全的基本功能限制交換機(jī)端口的最大連接數(shù)端口的安全地址綁定12/22/202238交換機(jī)端口安全利用交換機(jī)的端口安全功能可以防止局域網(wǎng)大部分的交換機(jī)端口安全如果一個(gè)端口被配置為一個(gè)安全端口，當(dāng)其安全地址的數(shù)目已經(jīng)達(dá)到允許的最大個(gè)數(shù)后;如果該端口收到一個(gè)源地址不屬于端口上的安全地址的包時(shí)，一個(gè)安全違例將產(chǎn)生。

當(dāng)安全違例產(chǎn)生時(shí)，你可以選擇多種方式來(lái)處理違例：Protect：當(dāng)安全地址個(gè)數(shù)滿后，安全端口將丟棄未知名地址（不是該端口的安全地址中的任何一個(gè)）的包。RestrictTrap：當(dāng)違例產(chǎn)生時(shí)，將發(fā)送一個(gè)Trap通知。Shutdown：當(dāng)違例產(chǎn)生時(shí)，將關(guān)閉端口并發(fā)送一個(gè)Trap通知。12/22/202239交換機(jī)端口安全如果一個(gè)端口被配置為一個(gè)安全端口，當(dāng)其安全地址配置安全端口

端口安全最大連接數(shù)配置switchportport-security 打開(kāi)該接口的端口安全功能switchportport-securitymaximumvalue 設(shè)置接口上安全地址的最大個(gè)數(shù)，范圍是1－128，缺省值為128。switchportport-securityviolation{protect|restrict|shutdown} 設(shè)置處理違例的方式注：1、端口安全功能只能在access端口上進(jìn)行配置。2、當(dāng)端口因?yàn)檫`例而被關(guān)閉后，在全局配置模式下使用命令errdisablerecovery來(lái)將接口從錯(cuò)誤狀態(tài)中恢復(fù)過(guò)來(lái)。12/22/202240配置安全端口端口安全最大連接數(shù)配置注：1、端口安全功能只能配置安全端口端口的安全地址綁定switchportport-security打開(kāi)該接口的端口安全功能switchportport-security[mac-addressmac-address][ip-addressip-address] 手工配置接口上的安全地址。注：1、端口安全功能只能在access端口上進(jìn)行配置。2、端口的安全地址綁定方式有:單MAC、單IP、MAC+IP12/22/202241配置安全端口端口的安全地址綁定注：1、端口安全功能只能在ac端口安全的限制（1）一個(gè)安全端口不能是一個(gè)AggregatePort。（2）一個(gè)安全端口只能是一個(gè)AccessPort。（3）在端口上聲明的安全地址的數(shù)量限制。一個(gè)靜態(tài)模塊上的百兆端口（FastEthernet，固定在交換機(jī)上）上最多支持20個(gè)同時(shí)聲明IP地址和MAC地址的安全地址，一個(gè)動(dòng)態(tài)模塊（可插拔模塊）上的端口最多支持110個(gè)同時(shí)聲明IP地址和MAC地址的安全地址。另外，由于這種同時(shí)聲明IP地址和MAC地址的安全地址占用的硬件資源與ACLs所占用的系統(tǒng)硬件資源共享，因此在某一個(gè)端口上應(yīng)用了ACLs，則相應(yīng)地該端口上所能設(shè)置的聲明IP地址的安全地址個(gè)數(shù)將會(huì)減少。（4）一個(gè)安全端口上的安全地址的格式保持一致，即一個(gè)端口上的安全地址要么全是綁定了IP地址的安全地址，要么都是綁定MAC地址的安全地址。12/22/202242端口安全的限制（1）一個(gè)安全端口不能是一個(gè)Aggregat例8-6在一個(gè)交換機(jī)上的端口fastethernet0/3上應(yīng)用端口安全功能，設(shè)置最大地址個(gè)數(shù)為2，設(shè)置違例方式為protect。12/22/202243例8-6在一個(gè)交換機(jī)上的端口fastethernet0/例8-7為接口fastethernet0/3配置一個(gè)安全地址：00d0.f800.075c，并為其綁定一個(gè)IP地址：。12/22/202244例8-7為接口fastethernet0/3配置一個(gè)安全地安全地址的老化時(shí)間在沒(méi)有為一個(gè)接口上的所有安全地址配置老化時(shí)間時(shí)，所有的安全地址永遠(yuǎn)不失效。但由于有的安全地址很長(zhǎng)時(shí)間未訪問(wèn)端口，這個(gè)安全地址由于沒(méi)有失效還是要占用一安全端口的個(gè)數(shù)。如果設(shè)置了老化時(shí)間，在一個(gè)老化時(shí)間允許的時(shí)間內(nèi)，一個(gè)安全地址沒(méi)有訪問(wèn)端口，則從安全地址表中將這個(gè)安全地址刪除，空出一個(gè)安全地址位置，以讓其他地址成為安全地址。當(dāng)設(shè)置安全地址的最大個(gè)數(shù)后，可以讓交換機(jī)自動(dòng)地增加和刪除接口上的安全地址了。12/22/202245安全地址的老化時(shí)間在沒(méi)有為一個(gè)接口上的所有安全地址配置老化設(shè)置老化時(shí)間Static：表示老化時(shí)間將同時(shí)應(yīng)用于手工配置的安全地址和自動(dòng)學(xué)習(xí)的地址，否則只應(yīng)用于自動(dòng)學(xué)習(xí)的地址。Time：表示這個(gè)端口上安全地址的老化時(shí)間，范圍是0～1440，單位是分鐘。如果老化時(shí)間被設(shè)置為0，則老化功能實(shí)際上被關(guān)閉。老化時(shí)間按照絕對(duì)的方式的計(jì)時(shí)，也就是一個(gè)地址成為一個(gè)端口的安全地址后，經(jīng)過(guò)Time指定的時(shí)間后，這個(gè)地址就將被自動(dòng)刪除。Time的默認(rèn)值為0。12/22/202246設(shè)置老化時(shí)間Static：表示老化時(shí)間將同時(shí)應(yīng)用于手工配置關(guān)閉安全地址老化功能在接口配置模式下使用如下命令來(lái)關(guān)閉一個(gè)接口的安全地址老化功能（老化時(shí)間為0）。noswitchportport-securityagingtime使用命令來(lái)使老化時(shí)間僅應(yīng)用于動(dòng)態(tài)學(xué)習(xí)到的安全地址。noswitchportport-securityagingstatic12/22/202247關(guān)閉安全地址老化功能在接口配置模式下使用如下命令來(lái)關(guān)閉一個(gè)查看端口安全信息（1）查看接口的端口安全配置信息。showport-securityinterface[interface-id]（2）查看安全地址信息。showport-securityaddress（3）顯示某個(gè)接口上的安全地址信息。showport-security[interface-id]address（4）顯示所有安全端口的統(tǒng)計(jì)信息，包括最大安全地址數(shù)、當(dāng)前安全地址數(shù)以及違例處理方式等。showport-security12/22/202248查看端口安全信息（1）查看接口的端口安全配置信息。12/1Q&A12/22/202249Q&A12/17/202249第八章訪問(wèn)控制列表與端口安全

12/22/202250第八章訪問(wèn)控制列表與端口安全12/17/20221本章課題8.1訪問(wèn)控制列表簡(jiǎn)介8.2編號(hào)訪問(wèn)控制列表配置8.3命名訪問(wèn)控制列表8.4基于時(shí)間訪問(wèn)的控制列表8.5端口安全12/22/202251本章課題8.1訪問(wèn)控制列表簡(jiǎn)介12/17/20222網(wǎng)絡(luò)安全隱患（1）非人為的或自然力造成的故障、事故等。（2）人為但屬于操作人員無(wú)意的失誤造成的數(shù)據(jù)丟失或損壞。（3）來(lái)自園區(qū)網(wǎng)外部和內(nèi)部人員的惡意攻擊和破壞。12/22/202252網(wǎng)絡(luò)安全隱患（1）非人為的或自然力造成的故障、事故等。12現(xiàn)有網(wǎng)絡(luò)安全防御體制IDS68%殺毒軟件99%防火墻98%ACL71%現(xiàn)有網(wǎng)絡(luò)安全體制12/22/202253現(xiàn)有網(wǎng)絡(luò)安全I(xiàn)DS殺毒軟件防火墻ACL現(xiàn)有網(wǎng)絡(luò)安全體制12/VPN

虛擬專用網(wǎng)防火墻包過(guò)濾防病毒入侵檢測(cè)12/22/202254VPN虛擬專用網(wǎng)防火墻包過(guò)濾防病毒入侵檢測(cè)12/17/20什么是訪問(wèn)列表ISP√IPAccess-list：IP訪問(wèn)列表或訪問(wèn)控制列表，簡(jiǎn)稱IPACLIPACL就是對(duì)經(jīng)過(guò)網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包根據(jù)一定的規(guī)則進(jìn)行數(shù)據(jù)包的過(guò)濾。12/22/202255什么是訪問(wèn)列表ISP√IPAccess-list：IP訪問(wèn)訪問(wèn)列表的作用訪問(wèn)控制列表可以限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能、控制網(wǎng)絡(luò)通信流量等，同時(shí)ACL也是網(wǎng)絡(luò)訪問(wèn)控制的基本安全手段。在路由器或交換機(jī)的接口上配置訪問(wèn)控制列表后，可以對(duì)進(jìn)出接口及通過(guò)接口中繼的數(shù)據(jù)包進(jìn)行安全檢測(cè)。配置訪問(wèn)控制列表的目的主要基于以下兩點(diǎn)。（1）限制路由更新。（2）限制網(wǎng)絡(luò)訪問(wèn)。12/22/202256訪問(wèn)列表的作用訪問(wèn)控制列表可以限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能、控訪問(wèn)控制列表類型標(biāo)準(zhǔn)IP訪問(wèn)控制列表編號(hào)的標(biāo)準(zhǔn)IP訪問(wèn)控制列表命名的標(biāo)準(zhǔn)IP訪問(wèn)控制列表擴(kuò)展IP訪問(wèn)控制列表編號(hào)的擴(kuò)展IP訪問(wèn)控制列表命名的擴(kuò)展IP訪問(wèn)控制列表12/22/202257訪問(wèn)控制列表類型標(biāo)準(zhǔn)IP訪問(wèn)控制列表12/17/20228ACL的一些相關(guān)特性（1）每一個(gè)接口可以在進(jìn)入（Inbound）和離開(kāi)（Outbound）兩個(gè)方向上分別應(yīng)用一個(gè)ACL，且每個(gè)方向上只能應(yīng)用一個(gè)ACL。（2）ACL語(yǔ)句包括兩個(gè)動(dòng)作，一個(gè)是拒絕（Deny），一個(gè)是允許（Permit）。（3）在路由器或交換機(jī)接口接收到報(bào)文時(shí)，應(yīng)用在接口進(jìn)入方向的ACL（內(nèi)向ACL）起作用。（4）在路由選擇決定以后，數(shù)據(jù)準(zhǔn)備從某一個(gè)接口輸出報(bào)文時(shí)，應(yīng)用在接口離開(kāi)方向的ACL（外向ACL）起作用。（5）每個(gè)ACL的結(jié)尾有一個(gè)隱含的denyall（拒絕的所有數(shù)據(jù)包）語(yǔ)句。因此，如果包不匹配ACL中的任何語(yǔ)句，將被拒絕。

12/22/202258ACL的一些相關(guān)特性（1）每一個(gè)接口可以在進(jìn)入（InbouACL的內(nèi)向匹配過(guò)程路由器取出內(nèi)向ACL的數(shù)據(jù)包進(jìn)入路由器數(shù)據(jù)包進(jìn)入路由器路由器取出內(nèi)向ACL的第一條語(yǔ)句允許還是拒絕？匹配項(xiàng)與數(shù)據(jù)包中的各項(xiàng)進(jìn)行比較是否匹配匹配項(xiàng)與數(shù)據(jù)包是否匹配？允許還是拒絕？取出內(nèi)向ACL

下一條語(yǔ)句最后一條？允許進(jìn)行路由選擇拒絕決定轉(zhuǎn)發(fā)接口丟棄結(jié)束12/22/202259ACL的內(nèi)向匹配過(guò)程路由器取出內(nèi)向ACL的數(shù)據(jù)包進(jìn)入路由器ACL的外向匹配過(guò)程路由器取出外向ACL的第一條語(yǔ)句選擇離開(kāi)接口是否匹配？匹配項(xiàng)與數(shù)據(jù)包中的各項(xiàng)進(jìn)行比較取出外向ACL

下一條語(yǔ)句最后一條？允許還是拒絕？允許數(shù)據(jù)包從離開(kāi)接口送出結(jié)束丟棄拒絕12/22/202260ACL的外向匹配過(guò)程路由器取出外向ACL的第一條語(yǔ)句選擇離通配符掩碼通配符掩碼掩碼的二進(jìn)制形式描述00000000.00000000.00000000.00000000整個(gè)lP地址必須匹配5500000000.00000000.00000000.11111111只有前24位需要匹配5500000000.00000000.11111111.11111111只有前16位需要匹配5500000000.11111111.11111111.11111111只有前8位需要匹配5511111111.11111111.11111111.11111111全部不需要匹配5500000000.00000000.00001111.11111111只有前20位需要匹配5500000000.00000000.00000011.11111111只有前22位需要匹配12/22/202261通配符掩碼通配符掩碼掩碼的二進(jìn)制形式描述0.0.0IP地址與通配符掩碼的作用規(guī)則

IP地址與通配符掩碼的作用規(guī)則是：32位的IP地址與32位的通配符掩碼逐位進(jìn)行比較，通配符掩碼為0的位要求IP地址的對(duì)應(yīng)位必須匹配，通配符掩碼為1的位所對(duì)應(yīng)的IP地址位不必匹配，例如，IP地址 （相應(yīng)的二進(jìn)制為11000000101010000000000100000000）通配符掩碼 55 （相應(yīng)的二進(jìn)制為00000000000000000000000011111111）該通配符掩碼的前24位為0，對(duì)應(yīng)的IP地址位必須匹配，即必須保持原數(shù)不變，該通配符掩碼的后8位為1，對(duì)應(yīng)的IP地址位不必匹配，即IP地址的后8位可以為任意值。也就是說(shuō)IP地址和通配符掩碼55匹配的結(jié)果是這個(gè)網(wǎng)段內(nèi)的所有主機(jī)。12/22/202262IP地址與通配符掩碼的作用規(guī)則IP地址與通配符掩碼的作用兩個(gè)特殊的關(guān)鍵字Host：表示一種精確匹配，是通配符掩碼的簡(jiǎn)寫(xiě)形式。例如，只檢查IP地址為0的數(shù)據(jù)包，可使用以下兩種ACL語(yǔ)句。access-list10permit0或access-list10permithost0Any：表示全部不進(jìn)行匹配，是通配符掩碼55的簡(jiǎn)寫(xiě)形式。例如，允許所有的IP地址的數(shù)據(jù)都通過(guò)，可使用以下兩種ACL語(yǔ)句。access-list10permit055或access-list10permitany12/22/202263兩個(gè)特殊的關(guān)鍵字Host：表示一種精確匹配，是通配符掩碼0配置訪問(wèn)控制列表的步驟第一步是配置訪問(wèn)控制列表語(yǔ)句第二步是把配置好的訪問(wèn)控制列表應(yīng)用到某個(gè)端口上。12/22/202264配置訪問(wèn)控制列表的步驟第一步是配置訪問(wèn)控制列表語(yǔ)句12/17訪問(wèn)控制列表配置的注意事項(xiàng)（1）注意訪問(wèn)控制列表中語(yǔ)句的次序，盡量把作用范圍小的語(yǔ)句放在前面。（2）新的表項(xiàng)只能被添加到訪問(wèn)表的末尾，這意味著不可能改變已有訪問(wèn)表的功能。如果必須要改變，只有先刪除已存在的訪問(wèn)控制列表，然后創(chuàng)建一個(gè)新訪問(wèn)控制列表，將新訪問(wèn)控制列表用到相應(yīng)的接口上。（3）標(biāo)準(zhǔn)的IP訪問(wèn)控制列表只匹配源地址，一般都使用擴(kuò)展的IP訪問(wèn)控制列表以達(dá)到精確的要求。（4）標(biāo)準(zhǔn)的訪問(wèn)控制列表盡量靠近目的，擴(kuò)展的訪問(wèn)控制列表盡量靠近過(guò)濾源的位置，以免訪問(wèn)控制列表影響其他接口上的數(shù)據(jù)流。（5）在應(yīng)用訪問(wèn)控制列表時(shí)，要特別注意過(guò)濾的方向。（6）在編號(hào)ACL中所有未被允許的都是被拒絕的，所以允許的內(nèi)容一定要寫(xiě)全面。12/22/202265訪問(wèn)控制列表配置的注意事項(xiàng)（1）注意訪問(wèn)控制列表中語(yǔ)句的次配置標(biāo)準(zhǔn)IP訪問(wèn)控制列表access-listaccess-list-numberdenylpermitsource-addresssource-wildcard-maskaccess-list-number的范圍是1~99訪問(wèn)控制列表的動(dòng)作：denylpermit12/22/202266配置標(biāo)準(zhǔn)IP訪問(wèn)控制列表access-listacces應(yīng)用訪問(wèn)控制列表到接口Ipaccess-groupaccess-list-numberin|out訪問(wèn)控制列表只有被應(yīng)用到某個(gè)接口才能達(dá)到報(bào)文過(guò)濾的目的。接口上通過(guò)的報(bào)文有兩個(gè)方向，一個(gè)是通過(guò)接口進(jìn)入路由器的報(bào)文，即in方向的報(bào)文，一個(gè)是通過(guò)接口離開(kāi)路由器的報(bào)文，即out方向的報(bào)文，out也是訪問(wèn)控制列表的默認(rèn)方向。12/22/202267應(yīng)用訪問(wèn)控制列表到接口Ipaccess-groupac顯示訪問(wèn)控制列表配置Showaccess-list[access-list-number]其中，access-list-number是可選參數(shù)，如果指定則顯示指定編號(hào)的訪問(wèn)控制列表配置細(xì)節(jié)，如果不指定則顯示所有訪問(wèn)控制列表的配置細(xì)節(jié)。12/22/202268顯示訪問(wèn)控制列表配置Showaccess-list[ac例8-1請(qǐng)?jiān)谌鐖D8-3所示的路由器上配置ACL，實(shí)現(xiàn)PC1不能訪問(wèn)網(wǎng)段，而PC2能訪問(wèn)（假設(shè)各路由器各接口已配置好，并全網(wǎng)已連通）。

12/22/202269例8-1請(qǐng)?jiān)谌鐖D8-3所示的路由器上配置ACL，實(shí)現(xiàn)PC1擴(kuò)展IP訪問(wèn)控制列表的配置access-listaccess-list-numberpermit|denyprotocolsource-addresssource-wildcard-masksource-portdestination-addressdestination-wildcard-maskdestination-portlogoptions擴(kuò)展IP訪問(wèn)控制列表的編號(hào)范圍為100～199訪問(wèn)控制列表的動(dòng)作：permit或deny協(xié)議：IP、TCP、UDP、ICMP、EIGRP、GRE等。源端口號(hào)：端口號(hào)的范圍是0~6553512/22/202270擴(kuò)展IP訪問(wèn)控制列表的配置access-listacce端口范圍運(yùn)算符運(yùn)算符及其語(yǔ)法描述例eqportnumber等于，用于指定單個(gè)的端口eq21或eqftpgtportnumber大于，用于指定大于某個(gè)端口的一個(gè)端口范圍gt1024ltportnumber小于，用于指定小于某個(gè)端口的一個(gè)端口范圍lt1024neqportnumber不等于，用于指定除了某個(gè)端口以外的所有端口neq21rangeportnumber1portnumber2指位于兩個(gè)端口號(hào)間的一個(gè)端口范圍range13514512/22/202271端口范圍運(yùn)算符運(yùn)算符及其語(yǔ)法描述例eqportn命名訪問(wèn)控制列表的引入不管是標(biāo)準(zhǔn)IP訪問(wèn)控制列表，還是擴(kuò)展的IP訪問(wèn)控制列表，其編號(hào)的范圍都不超過(guò)100個(gè)，這樣，就可能出現(xiàn)編號(hào)不夠用的情況；還有就是僅用編號(hào)區(qū)分的訪問(wèn)控制列表不便于網(wǎng)絡(luò)管理員對(duì)訪問(wèn)控制列表作用的識(shí)別。命名IP訪問(wèn)控制列表是通過(guò)一個(gè)名稱而不是一個(gè)編號(hào)來(lái)引用的。命名的訪問(wèn)控制列表可用于標(biāo)準(zhǔn)的和擴(kuò)展的訪問(wèn)表中。名稱的使用是區(qū)分大小寫(xiě)的，并且必須以字母開(kāi)頭。在名稱的中間可以包含任何字母數(shù)字混合使用的字符，名稱的最大長(zhǎng)度為100個(gè)字符。12/22/202272命名訪問(wèn)控制列表的引入不管是標(biāo)準(zhǔn)IP訪問(wèn)控制列表，還是擴(kuò)展編號(hào)IP訪問(wèn)控制列表和命名IP訪問(wèn)控制列表的主要區(qū)別（1）名字能更直觀地反映出訪問(wèn)控制列表完成的功能。（2）命名訪問(wèn)控制列表突破了99個(gè)標(biāo)準(zhǔn)訪問(wèn)控制列表和100個(gè)擴(kuò)展訪問(wèn)控制列表的數(shù)目限制，能夠定義更多的訪問(wèn)控制列表。（3）單個(gè)路由器上命名訪問(wèn)控制列表的名稱在所有協(xié)議和類型的命名訪問(wèn)控制列表中必須是唯一的，而不同路由器上的命名訪問(wèn)控制列表名稱可以相同。（4）命名訪問(wèn)控制列表是一個(gè)全局命令，它將使用者進(jìn)入到命名IP列表的子模式，在該子模式下建立匹配和允許／拒絕動(dòng)作的相關(guān)語(yǔ)句。（5）命名IP訪問(wèn)控制列表允許刪除個(gè)別語(yǔ)句，當(dāng)一個(gè)命名訪問(wèn)控制列表中的語(yǔ)句要被刪除時(shí)，只需將該語(yǔ)句刪除即可，而編號(hào)訪問(wèn)控制列表中則需要將訪問(wèn)控制列表中的所有語(yǔ)句刪除后再重新輸入。（6）命名訪問(wèn)控制列表的命令為ipaccess-list，在命令中用standard和extended來(lái)區(qū)別標(biāo)準(zhǔn)訪問(wèn)控制列表和擴(kuò)展訪問(wèn)控制列表，而編號(hào)訪問(wèn)控制列表的配置命令為access-list，并用編號(hào)來(lái)區(qū)別標(biāo)準(zhǔn)和擴(kuò)展。12/22/202273編號(hào)IP訪問(wèn)控制列表和命名IP訪問(wèn)控制列表的主要區(qū)別（1）創(chuàng)建標(biāo)準(zhǔn)命名IPACL的步驟（1）configureterminal進(jìn)入全局配置模式。（2）ipaccess-liststandard{name}用數(shù)字或名字來(lái)定義一條StandardIPACL并進(jìn)入access-list配置模式。（3）deny{sourcesource-wildcard|hostsource|any}或permit{sourcesource-wildcard|hostsource|any}在access-list配置模式聲明一個(gè)或多個(gè)的允許通過(guò)（permit）或丟棄（deny）的條件以用于決定報(bào)文是轉(zhuǎn)發(fā)或還是丟棄。hostsource代表一臺(tái)源主機(jī)，any代表任意主機(jī)。（4）end退回到特權(quán)模式。（5）showaccess-lists[name]顯示該接入控制列表，如果不指定access-list及name參數(shù)，則顯示所有接入控制列表。12/22/202274創(chuàng)建標(biāo)準(zhǔn)命名IPACL的步驟（1）configurete例8-3在三層交換機(jī)上進(jìn)行ACL設(shè)置，以實(shí)現(xiàn)VLAN10的主機(jī)不能與VLAN30內(nèi)的主機(jī)進(jìn)行通信，能與VLAN20內(nèi)的主機(jī)進(jìn)行通信，而VLAN20可以和VLAN30的主機(jī)進(jìn)行通信。12/22/202275例8-3在三層交換機(jī)上進(jìn)行ACL設(shè)置，以實(shí)現(xiàn)VLAN10的命名擴(kuò)展IP訪問(wèn)控制列表配置（1）configureterminal進(jìn)入全局配置模式。（2）ipaccess-listextended{name}用數(shù)字或名字來(lái)定義一條ExtendedIPACL并進(jìn)入access-list配置模式。（3）{deny|permit}protocol{sourcesource-wildcard|hostsource|any}[operatorport]{destinationdestination-wildcard|hostdestination|any}[operatorport]在access-list配置模式，聲明一個(gè)或多個(gè)的允許通過(guò)（permit）或丟棄（deny）的條件以用于決定匹配條件的報(bào)文是轉(zhuǎn)發(fā)或還是丟棄。以如下方式定義TCP或UDP的目的或源端口。操作符（operator）只能為eq。如果操作符在sourcesource-wildcard之后，則報(bào)文的源端口匹配指定值條件生效。如果操作符在destinationdestination-wildcard之后，則報(bào)文的目的端口匹配指定值條件生效。port為十進(jìn)制值，它代表TCP或UDP的端口號(hào)，值范圍為0～65535。protocol可以為IP、TCP、UDP、IGMP、ICMP等協(xié)議。（4）end退回到特權(quán)模式。（5）showaccess-lists[name]顯示該接入訪問(wèn)控制列表，如果不指定name參數(shù)，則顯示所有接入訪問(wèn)控制列表。12/22/202276命名擴(kuò)展IP訪問(wèn)控制列表配置（1）configurete基于時(shí)間的訪問(wèn)控制列表基于時(shí)間的訪問(wèn)控制列表能夠應(yīng)用于編號(hào)訪問(wèn)控制列表和命名訪問(wèn)控制列表。為了實(shí)現(xiàn)基于時(shí)間的ACL功能，首先應(yīng)定義一個(gè)Time-range接口來(lái)指明日期時(shí)間范圍，與其他接口一樣，Time-range接口通過(guò)名稱來(lái)標(biāo)識(shí)。然后，將Time-range接口與對(duì)應(yīng)的ACL關(guān)聯(lián)起來(lái)，這是通過(guò)在ACL中用Time-range引用時(shí)間范圍實(shí)現(xiàn)的。12/22/202277基于時(shí)間的訪問(wèn)控制列表基于時(shí)間的訪問(wèn)控制列表能夠應(yīng)用于編號(hào)路由器時(shí)鐘設(shè)置路由器時(shí)鐘設(shè)置在特權(quán)模式下進(jìn)行，分為兩步：首先設(shè)置系統(tǒng)日期時(shí)間，然后用當(dāng)前系統(tǒng)時(shí)鐘更新路由器實(shí)時(shí)時(shí)鐘。配置命令為：Clocksethh:mm:ssdaymonthyear //設(shè)置系統(tǒng)日期時(shí)間Clockupdate-calender //更新路由器實(shí)時(shí)時(shí)鐘12/22/202278路由器時(shí)鐘設(shè)置路由器時(shí)鐘設(shè)置在特權(quán)模式下進(jìn)行，分為兩步：首定義Time-range接口time-rangetime-range-name此命令的作用是定義Time-range接口的名稱，參數(shù)time-range-name為T(mén)ime-range接口的名稱，接口名稱長(zhǎng)度為1～32個(gè)字符，中間不能有空格。Time-range接口命名后，就進(jìn)入了時(shí)間定義模式，在此模式中還要使用absolute和periodic兩個(gè)命令定義具體的時(shí)間范圍。值得注意的是，一個(gè)時(shí)間范圍只能包括一個(gè)absolute絕對(duì)時(shí)間范圍和多個(gè)周期時(shí)間范圍。12/22/202279定義Time-range接口time-rangetim定義絕對(duì)時(shí)間范圍Absolute[startstart-ttmestart-date][endend-timeend-date]star-time、end-time分別用于指定開(kāi)始和結(jié)束時(shí)間，使用24小時(shí)表示，其格式為“小時(shí)：分鐘”，start-date和end-date分別用于指定開(kāi)始的日期和結(jié)束的日期，使用日/月/年的時(shí)間格式，而不是通常采用的月/日/年格式，這一點(diǎn)必須注意。命令中的start和end關(guān)鍵字都是可選的。當(dāng)省略start及其后面的時(shí)間、日期時(shí)，表示與之相聯(lián)系的ACL語(yǔ)句立即生效，并一直作用到end處的時(shí)間、日期為止；當(dāng)省略end及其后面的時(shí)間，表示與之相聯(lián)系的ACL語(yǔ)句在start處表示的時(shí)間、日期開(kāi)始生效，并且永遠(yuǎn)發(fā)生作用，當(dāng)然把訪問(wèn)控制列表刪除了的話就不會(huì)起作用了。12/22/202280定義絕對(duì)時(shí)間范圍Absolute[startstart常用的時(shí)間定義形式時(shí)間定義描述Absolutestart17:00Absolutestart17:001decemdber2000Absoluteend17:00Absoluteend17:00ldecemdber2000Absolutestart8:00end20:00Absolutestart17:001decemdber2000end5:0031decemdber2000從配置的當(dāng)天17:00開(kāi)始直到永遠(yuǎn)從2000年12月1日17:00開(kāi)始直到永遠(yuǎn)從配置時(shí)開(kāi)始直到當(dāng)天的17:00結(jié)束從配置時(shí)開(kāi)始直到2000年12月1日17:00結(jié)束從8點(diǎn)開(kāi)始到20點(diǎn)結(jié)束從2000年12月1日17:00開(kāi)始直到2000年12月31日5:00結(jié)束12/22/202281常用的時(shí)間定義形式時(shí)間定義描述Abso定義周期、重復(fù)使用的時(shí)間范圍

Periodicdays-of-the-weekhh:mmtodays-of-the-weekhh:mmperiodic是以星期為參數(shù)來(lái)定義時(shí)間范圍的一個(gè)命令。它可以使用大量的參數(shù)，其范圍可以是一個(gè)星期中的某一天、某幾天的組合，或者使用關(guān)鍵字daily、weekdays、weekend等。12/22/202282定義周期、重復(fù)使用的時(shí)間范圍Periodicdays-operiodic中的參數(shù)參數(shù)描述Monday，Tuesday，Wednesday，Thursday，F(xiàn)riday，Staturday，SundayDailyWeekdayWeekend某一天或某幾天的結(jié)合每天從星期一到星期五星期六和星期日12/22/202283periodic中的參數(shù)參數(shù)描述Monda常用的時(shí)間范圍定義形式時(shí)間范圍定義描述Periodicweekend7:00to19:00Periodicweekday8:00to17:00Periodicdaily7:00to17:00Periodicstaturday17:00toMonday7:00PeriodicMondayFriday7:00to20:00星期六早上7:00到星期日晚上7:00星期一早上8:00到星期五下午5:00每天的早上7:00到下午5:00星期六下午5:00到星期一早上7:00星期一和星期五的早上7:00到晚上8:0012/22/202284常用的時(shí)間范圍定義形式時(shí)間范圍定義描述Period應(yīng)用時(shí)間訪問(wèn)控制列表的注意事項(xiàng)

由于使用帶時(shí)間范圍的訪問(wèn)控制列表依賴于路由器的系統(tǒng)時(shí)鐘，所以要保證路由器時(shí)鐘設(shè)置的準(zhǔn)確性。在time-range范圍命令中同時(shí)使用absolute和periodic語(yǔ)句12/22/202285應(yīng)用時(shí)間訪問(wèn)控制列表的注意事項(xiàng)由于使用帶時(shí)間范圍的訪問(wèn)控制例8-5要求從2019年1月1日起在每周工作時(shí)間段8:00到18:00內(nèi)禁止網(wǎng)段的主機(jī)訪問(wèn)HTTP的數(shù)據(jù)流。12/22/202286例8-5要求從2019年1月1日起在每周工作時(shí)間段8:00交換機(jī)端口安全利用交換機(jī)的端口安全功能可以防止局域網(wǎng)大部分的內(nèi)部攻擊對(duì)用戶、網(wǎng)絡(luò)設(shè)備造成的破壞。如MAC地址攻擊、ARP攻擊、IP/MAC地址欺騙等。交換機(jī)端口安全的基本功能限制交換機(jī)端口的最大連接數(shù)端口的安全地址綁定12/22/202287交換機(jī)端口安全利用交換機(jī)的端口安全功能可以防止局域網(wǎng)大部分的交換機(jī)端口安全如果一個(gè)端口被配置為一個(gè)安全端口，當(dāng)其安全地址的數(shù)目已經(jīng)達(dá)到允許的最大個(gè)數(shù)后;如果該端口收到一個(gè)源地址不屬于端口上的安全地址的包時(shí)，一個(gè)安全違例將產(chǎn)生。

當(dāng)安全違例產(chǎn)生時(shí)，你可以選擇多種方式來(lái)處理違例：Protect：當(dāng)安全地址個(gè)數(shù)滿后，安全端口將丟棄未知名地址（不是該端口的安全地址中的任何一個(gè)）的包。RestrictTrap：當(dāng)違例產(chǎn)生時(shí)，將發(fā)送一個(gè)Trap通知。Shutdo