網(wǎng)絡(luò)設(shè)備管理與維護(hù)實(shí)訓(xùn)教程-網(wǎng)絡(luò)的安全配置

主講人：授課班級：時間：項(xiàng)目四網(wǎng)絡(luò)的安全配置項(xiàng)目說明對于許多網(wǎng)絡(luò)管理員來說，配置路由器的訪問控制列表是一種經(jīng)常性的工作。可以說，路由器的訪問控制列表是網(wǎng)絡(luò)安全保障的第一道關(guān)卡。訪問列表提供了一種機(jī)制，它可以控制和過濾通過路由器的不同接口去往不同方向的信息流。這種機(jī)制允許用戶使用訪問列表來管理信息流，以制定公司內(nèi)部網(wǎng)絡(luò)的相關(guān)策略。這些策略可以描述安全功能，并且反映流量的優(yōu)先級別。例如，某個組織可能希望允許或拒絕Internet對內(nèi)部Web服務(wù)器的訪問，或者允許內(nèi)部局域網(wǎng)上一個或多個工作站能夠?qū)?shù)據(jù)流發(fā)到廣域網(wǎng)上。這些功能都可以通過訪問列表來達(dá)到目的。技能目標(biāo)任務(wù)一IP訪問列表任務(wù)二網(wǎng)絡(luò)地址轉(zhuǎn)換任務(wù)一IP訪問列表任務(wù)描述IPACL（IP訪問控制列表或IP訪問列表）是實(shí)現(xiàn)對流經(jīng)路由器或交換機(jī)的數(shù)據(jù)包根據(jù)一定的規(guī)則進(jìn)行過濾，從而提高網(wǎng)絡(luò)可管理性和安全性。主要分為標(biāo)準(zhǔn)IP訪問列表和擴(kuò)展IP訪問列表兩種。其中，標(biāo)準(zhǔn)IP訪問列表可以根據(jù)數(shù)據(jù)包的源IP地址定義規(guī)則，進(jìn)行數(shù)據(jù)包的過濾；擴(kuò)展IP訪問列表可以根據(jù)數(shù)據(jù)包的源IP、目的IP、源端口、目的端口、協(xié)議來定義規(guī)則，進(jìn)行數(shù)據(jù)包的過濾。IPACL是基于接口進(jìn)行規(guī)則的應(yīng)用，分為入棧應(yīng)用和出棧應(yīng)用。入棧應(yīng)用是指由外部經(jīng)該接口進(jìn)入路由器的數(shù)據(jù)包進(jìn)行過濾；出棧應(yīng)用是指路由器從該接口向外轉(zhuǎn)發(fā)數(shù)據(jù)時進(jìn)行數(shù)據(jù)包的過濾。IPACL的配置有兩種方式：按照編號的訪問列表；按照命名的訪問列表。標(biāo)準(zhǔn)IP訪問列表的編號范圍是1～99、1300～1999；擴(kuò)展IP訪問列表的編號范圍是100～199、2000～2699。本任務(wù)分以下3個訓(xùn)練進(jìn)行學(xué)習(xí)。訓(xùn)練1標(biāo)準(zhǔn)訪問控制列表的配置。訓(xùn)練2擴(kuò)展訪問控制列表的配置。訓(xùn)練3專家級訪問控制列表的配置。訓(xùn)練1標(biāo)準(zhǔn)訪問控制列表的配置訓(xùn)練描述你是一個公司的網(wǎng)絡(luò)管理員，公司的經(jīng)理部、財(cái)務(wù)部和銷售部分屬不同的3個網(wǎng)段，3部門之間用路由器進(jìn)行信息傳遞，為了安全起見，公司領(lǐng)導(dǎo)要求銷售部門不能對財(cái)務(wù)部進(jìn)行訪問，但經(jīng)理部可以對財(cái)務(wù)部進(jìn)行訪問。下面用一個訓(xùn)練來學(xué)習(xí)路由器標(biāo)準(zhǔn)訪問控制列表的配置方法，實(shí)驗(yàn)拓?fù)淙鐖D所示。其中，PC1代表經(jīng)理部的主機(jī)；PC2代表銷售部的主機(jī)；PC3代表財(cái)務(wù)部的主機(jī)。訓(xùn)練1標(biāo)準(zhǔn)訪問控制列表的配置訓(xùn)練要求添加3臺計(jì)算機(jī)分別命名為PC1、PC2、PC3，根據(jù)實(shí)驗(yàn)拓?fù)鋱D配置IP地址；添加2臺路由，分別命名為Router1和Router2，為它們添加WIC-1T模塊，使用DCE串口線互聯(lián)；使用靜態(tài)路由實(shí)現(xiàn)全網(wǎng)互通；在Router2上配置標(biāo)準(zhǔn)訪問控制列表限制PC2所在的網(wǎng)絡(luò)不能訪問PC3所在的網(wǎng)絡(luò)，但允許PC1所在的網(wǎng)絡(luò)訪問PC3所在的網(wǎng)絡(luò)。訓(xùn)練分析根據(jù)實(shí)驗(yàn)拓?fù)鋱D為所有的計(jì)算機(jī)設(shè)置IP、掩碼和網(wǎng)關(guān)，使用正確的線纜連接所有的設(shè)備；兩個路由器之間使用默認(rèn)的廣域網(wǎng)HDLC協(xié)議封裝。訓(xùn)練1標(biāo)準(zhǔn)訪問控制列表的配置訓(xùn)練步驟Router1基本配置訓(xùn)練1標(biāo)準(zhǔn)訪問控制列表的配置訓(xùn)練步驟Router2基本配置訓(xùn)練1標(biāo)準(zhǔn)訪問控制列表的配置訓(xùn)練步驟配置靜態(tài)路由實(shí)現(xiàn)全網(wǎng)互通訓(xùn)練1標(biāo)準(zhǔn)訪問控制列表的配置訓(xùn)練步驟配置標(biāo)準(zhǔn)IP訪問控制列表訓(xùn)練1標(biāo)準(zhǔn)訪問控制列表的配置訓(xùn)練步驟應(yīng)用訪問控制列表在接口上訓(xùn)練練1標(biāo)標(biāo)準(zhǔn)準(zhǔn)訪訪問問控控制制列列表表的的配配置置訓(xùn)練測試在PC1上測測試PC3，，結(jié)果是通的的。在PC2上測測試PC3，，結(jié)果是不通通的。訓(xùn)練小結(jié)結(jié)（1）注意在在訪問控制列列表的網(wǎng)絡(luò)掩掩碼是反掩碼碼。（2）標(biāo)準(zhǔn)控控制列表要應(yīng)應(yīng)用在盡量靠靠近目的地址址的接口。訓(xùn)練2擴(kuò)擴(kuò)展訪問控控制列表的配配置訓(xùn)練描述你是學(xué)校的網(wǎng)網(wǎng)絡(luò)管理員，，在3560-24PS交換機(jī)上連連著學(xué)校提供供的Web和和FTP的服服務(wù)器，另外外還連接著學(xué)學(xué)生宿舍樓和和教工宿舍樓樓，學(xué)校規(guī)定定學(xué)生只能對對服務(wù)器進(jìn)行行FTP訪問問，不能進(jìn)行行Web訪問問，教工則沒沒有此限制。。實(shí)驗(yàn)拓?fù)淙缛鐖D所示。訓(xùn)練2擴(kuò)擴(kuò)展訪問控控制列表的配配置訓(xùn)練要求添加2臺計(jì)算算機(jī)和1臺服服務(wù)器，1臺臺PC代表學(xué)學(xué)生宿舍樓的的計(jì)算機(jī)，一一臺PC代表表教師所用的的計(jì)算機(jī)，服服務(wù)器為學(xué)校校的Web、、FTP服務(wù)務(wù)器。添加1臺3560交換機(jī)機(jī)，在交換機(jī)機(jī)上劃分3個個Vlan，，分別為Vlan10、、Vlan20、Vlan30，開開啟三層路由由功能實(shí)現(xiàn)全全網(wǎng)互通。在交換機(jī)上配配置擴(kuò)展訪問問控制列表限限制學(xué)生機(jī)只只能訪問服務(wù)務(wù)器上的FTP服務(wù)，而而不能使用Web服務(wù)，，但教師機(jī)不不受限制。訓(xùn)練分析本任務(wù)只是要要求限制學(xué)生生機(jī)對校服務(wù)務(wù)器的Web服務(wù)，此限限制只是根據(jù)據(jù)服務(wù)器提供供的某種服務(wù)務(wù)進(jìn)行控制，，是基于服務(wù)務(wù)端口進(jìn)行控控制的，因此此不能使用標(biāo)標(biāo)準(zhǔn)訪問列表表來實(shí)現(xiàn)。訓(xùn)練2擴(kuò)擴(kuò)展訪問控控制列表的配配置訓(xùn)練步驟交換機(jī)的基本本配置訓(xùn)練2擴(kuò)擴(kuò)展訪問控控制列表的配配置訓(xùn)練步驟配置命名擴(kuò)展展IP訪問控控制列表訓(xùn)練2擴(kuò)擴(kuò)展訪問控控制列表的配配置訓(xùn)練步驟查看配置把訪問控制列列表在接口下下應(yīng)用訓(xùn)練2擴(kuò)擴(kuò)展訪問控控制列表的配配置訓(xùn)練測試分別在學(xué)生機(jī)機(jī)所在的網(wǎng)段段和教師機(jī)所所在的網(wǎng)段使使用1臺主機(jī)機(jī)，訪問Web服務(wù)器。。測試發(fā)現(xiàn)，，學(xué)生網(wǎng)段不不能訪問網(wǎng)頁頁，教學(xué)宿舍舍網(wǎng)段可以訪訪問網(wǎng)頁。訓(xùn)練小結(jié)結(jié)（1）訪問控控制列表要在在接口下應(yīng)用用。（2）要注意意deny某某個網(wǎng)段后要要permit其他網(wǎng)段段。訓(xùn)練3專專家級訪訪問控制列表表的配置訓(xùn)練描述你是某公司的的網(wǎng)絡(luò)管理員員，最近你懷懷疑有人可能能利用一些工工具進(jìn)行網(wǎng)絡(luò)絡(luò)攻擊和訪問問。為了提高高網(wǎng)絡(luò)訪問的的安全性，你你需要利用專專家級的訪問問列表，根據(jù)據(jù)用戶的IP地址和MAC地址進(jìn)行行網(wǎng)絡(luò)訪問的的控制。實(shí)驗(yàn)驗(yàn)拓?fù)淙鐖D所所示。訓(xùn)練3專專家級訪訪問控制列表表的配置訓(xùn)練要求添加2臺計(jì)算算機(jī)和1臺服服務(wù)器，2臺臺PC代表公公司內(nèi)部的計(jì)計(jì)算機(jī)，服務(wù)務(wù)器為公司的的Web和FTP服務(wù)器器。添加1臺3560交換機(jī)機(jī)和1臺2811路由器器。在交換機(jī)上配配置限制PC1不能訪問問服務(wù)器任何何服務(wù)，但PC2不受限限制。訓(xùn)練分析專家級訪問控控制列表可以以利用MAC地址、IP地址、Vlan號、傳傳輸端口號、、協(xié)議類型、、時間ACL等元素進(jìn)行行靈活組合，，定義規(guī)則。。從而更加靈靈活地控制網(wǎng)網(wǎng)絡(luò)的流量，，保證網(wǎng)絡(luò)的的安全運(yùn)行。。本訓(xùn)練中限限制PC1不不能訪問服務(wù)務(wù)器，但能訪訪問其他計(jì)算算機(jī)或服務(wù)。。訓(xùn)練3專專家級訪訪問控制列表表的配置訓(xùn)練步驟路由器基本配配置驗(yàn)證路由器配配置訓(xùn)練3專專家級訪訪問控制列表表的配置訓(xùn)練步驟在交換機(jī)上配配置專家級訪訪問控制列表表驗(yàn)證訪問列表表配置在接口上應(yīng)用用專家級訪問問控制列表訓(xùn)練3專專家級訪訪問控制列表表的配置訓(xùn)練測試PC1可ping通PC2，但不能能訪問服務(wù)器器。PC2可ping通PC1，也能訪訪問服務(wù)器。。訓(xùn)練小結(jié)結(jié)專家級訪問列列表用于過濾濾二層和三層層、四層數(shù)據(jù)據(jù)流。專家級訪問列列表可以使用用源MAC地地址、目的MAC地址、、以太網(wǎng)類型型、源IP、、目的IP以以及可選的協(xié)協(xié)議類型信息息作為匹配的的條件。任務(wù)二網(wǎng)絡(luò)絡(luò)地址轉(zhuǎn)換任務(wù)描述NAT（NetworkAddressTranslation，網(wǎng)絡(luò)地址址轉(zhuǎn)換）的功功能是將企業(yè)業(yè)內(nèi)部自行定定義的私有IP地址轉(zhuǎn)換換為Internet公公網(wǎng)上可識別別的合法IP地址。由于于現(xiàn)行IP地地址標(biāo)準(zhǔn)———IPv4的的限制，Internet面臨著IP地址空間間短缺的問題題，從ISP申請并給企企業(yè)的每位員員工分配一個個合法IP地地址是不現(xiàn)實(shí)實(shí)的。NAT技術(shù)能較好好地解決現(xiàn)階階段IPv4地址短缺缺的問題。NAT是指將將網(wǎng)絡(luò)地址從從一個地址空空間轉(zhuǎn)換為另另一個地址空空間的行為。。NAT將網(wǎng)網(wǎng)絡(luò)劃分為內(nèi)內(nèi)部網(wǎng)絡(luò)（Inside）和外部網(wǎng)網(wǎng)絡(luò)（Outside））兩部分。局局域網(wǎng)主機(jī)利利用NAT訪訪問網(wǎng)絡(luò)時，，是將局域網(wǎng)網(wǎng)內(nèi)部的本地地地址轉(zhuǎn)換為為了全局地址址（互聯(lián)網(wǎng)合合法IP地址址）后轉(zhuǎn)發(fā)數(shù)數(shù)據(jù)包。NAT主要分分為兩種類型型：NAT（（網(wǎng)絡(luò)地址轉(zhuǎn)轉(zhuǎn)換）和NAPT（網(wǎng)絡(luò)絡(luò)地址端口轉(zhuǎn)轉(zhuǎn)換）。因此此本任務(wù)分以以下兩個訓(xùn)練練進(jìn)行學(xué)習(xí)。。訓(xùn)練1利利用動態(tài)NAPT實(shí)現(xiàn)局局域網(wǎng)訪問因因特網(wǎng)。訓(xùn)練2利利用NAT實(shí)實(shí)現(xiàn)外網(wǎng)主機(jī)機(jī)訪問內(nèi)網(wǎng)服服務(wù)器。訓(xùn)練1利利用動態(tài)NAPT實(shí)現(xiàn)現(xiàn)局域網(wǎng)訪問問因特網(wǎng)訓(xùn)練描述你是某公司的的網(wǎng)絡(luò)管理員員，公司只向向ISP申請請了一個公網(wǎng)網(wǎng)IP地址，，希望全公司司的主機(jī)都能能訪問外網(wǎng)，，請你實(shí)現(xiàn)。。實(shí)驗(yàn)拓?fù)淙缛鐖D所示：：訓(xùn)練1利利用動態(tài)NAPT實(shí)現(xiàn)現(xiàn)局域網(wǎng)訪問問因特網(wǎng)訓(xùn)練要求添加1臺計(jì)算算機(jī)代表公司司內(nèi)部的計(jì)算算機(jī)，1臺服服務(wù)器代表公公網(wǎng)上的一臺臺Web服務(wù)務(wù)器。添加2臺2811路由器器使用DCE串口線互聯(lián)聯(lián)模擬與公網(wǎng)網(wǎng)互聯(lián)。在Lan-router上進(jìn)行NAPT配置，，實(shí)現(xiàn)內(nèi)網(wǎng)的的計(jì)算機(jī)能通通過公網(wǎng)地址址訪問因特網(wǎng)網(wǎng)上的服務(wù)器器。訓(xùn)練分析公司通過路由由器與外網(wǎng)互互聯(lián)，公司只只有一個公網(wǎng)網(wǎng)地址，那就就是與公網(wǎng)直直連的路由器器端口的IP，即，要實(shí)現(xiàn)現(xiàn)內(nèi)網(wǎng)訪問因因特網(wǎng)，只能能在內(nèi)網(wǎng)路由由器上進(jìn)行NAPT配置置才能實(shí)現(xiàn)。。訓(xùn)練1利利用動態(tài)NAPT實(shí)現(xiàn)現(xiàn)局域網(wǎng)訪問問因特網(wǎng)訓(xùn)練步驟配置內(nèi)網(wǎng)路由由器訓(xùn)練1利利用動態(tài)NAPT實(shí)現(xiàn)現(xiàn)局域網(wǎng)訪問問因特網(wǎng)訓(xùn)練步驟配置因特網(wǎng)路路由器訓(xùn)練1利利用動態(tài)NAPT實(shí)現(xiàn)現(xiàn)局域網(wǎng)訪問問因特網(wǎng)訓(xùn)練步驟在內(nèi)網(wǎng)路由器器上配置默認(rèn)認(rèn)路由并驗(yàn)證證訓(xùn)練1利利用動態(tài)NAPT實(shí)現(xiàn)現(xiàn)局域網(wǎng)訪問問因特網(wǎng)訓(xùn)練步驟內(nèi)網(wǎng)路由器上上配置動態(tài)NAPT映射射訓(xùn)練1利利用動態(tài)NAPT實(shí)現(xiàn)現(xiàn)局域網(wǎng)訪問問因特網(wǎng)訓(xùn)練測試在主機(jī)0上測測試訪問/index.html。在路由器lan-router查看看NAPT映映射關(guān)系：lan-router#showipnattranslationsProInsideglobalInsidelocalOutsidelocalOutsideglobaltcp:10255:1025:80:80訓(xùn)練小結(jié)結(jié)不要把Inside和Outside應(yīng)用的接接口弄錯。要加上能使數(shù)數(shù)據(jù)包向外轉(zhuǎn)轉(zhuǎn)發(fā)的路由，，比如默認(rèn)路路由。盡量不要用廣廣域網(wǎng)接口地地址作為映射射的全局地址址，本例子中中特定僅有一一個公網(wǎng)地址址，實(shí)際工作作中不推薦。。訓(xùn)練2利利用NAT實(shí)現(xiàn)外網(wǎng)網(wǎng)主機(jī)訪問內(nèi)內(nèi)網(wǎng)服務(wù)器訓(xùn)練描述你是某公司的的網(wǎng)絡(luò)管理員員，公司只向向ISP申請請了一個公網(wǎng)網(wǎng)IP地址，，現(xiàn)公司的網(wǎng)網(wǎng)站在內(nèi)網(wǎng)，，要求在因特特網(wǎng)也可以訪訪問公司網(wǎng)站站，請你實(shí)現(xiàn)現(xiàn)。網(wǎng)絡(luò)拓?fù)鋼鋱D如圖所示示，其中，是是Web服務(wù)務(wù)器的IP地地址。訓(xùn)練2利利用NAT實(shí)現(xiàn)外網(wǎng)網(wǎng)主機(jī)訪問內(nèi)內(nèi)網(wǎng)服務(wù)器訓(xùn)練要求添加1臺計(jì)算算機(jī)代表因特特網(wǎng)上的計(jì)算算機(jī)，1臺服服務(wù)器代表公公司內(nèi)部的一一臺Web服服務(wù)器。添加2臺2811路由器器使用DCE串口線互聯(lián)聯(lián)，模擬與公公網(wǎng)互聯(lián)。在Lan-router上進(jìn)行NAT配置，實(shí)實(shí)現(xiàn)公網(wǎng)的計(jì)計(jì)算機(jī)能訪問問內(nèi)網(wǎng)服務(wù)器器上的Web服務(wù)。訓(xùn)練分析公司通過路由由器與外網(wǎng)互互聯(lián)，公司只只有一個公網(wǎng)網(wǎng)地址，那就就是與公網(wǎng)直直連的路由器器端口的IP，即。公網(wǎng)的的計(jì)算機(jī)是不不能直接訪問問內(nèi)網(wǎng)計(jì)算機(jī)機(jī)的，