《系統(tǒng)安全運行與維護項目化教程》項目二 網(wǎng)絡(luò)互聯(lián)設(shè)備安全配置

項目二網(wǎng)絡(luò)互聯(lián)設(shè)備安全配置模塊1安全管理路由器、交換機模塊2擴展訪問控制列表返回模塊1安全管理路由器、交換機任務(wù)10交換機的配置與維護網(wǎng)絡(luò)拓撲如圖10?1所示。（一）交換機的基礎(chǔ)配置1）配置交換機名字。通常要給交換機配置一個名字，用于表示交換機所處的位置或者負責(zé)的功能。Router>enableRouter#configureterminalRouter(config)#hostnameEAST-8EAST-8#下一頁返回模塊1安全管理路由器、交換機2）配置交換機口令。通常要給交換機配置登錄密碼，用來避免沒有管理權(quán)限的人訪問交換機，保證一定的安全性。Router(config)#enablesecretlevel150ruijieRouter(config)#此處配置了交換機的特權(quán)密碼為ruijie。并且采用加密的形式進行保存。3）配置交換機接口IP地址。交換機的接口要配置IP地址才能在網(wǎng)絡(luò)中進行通信。IP地址的相關(guān)知識在這里不作解釋。上一頁下一頁返回模塊1安全管理路由器、交換機在不同的接口配置不同的接口地址，只需要進入相應(yīng)的接口添加上IP地址即可。Router(config)#interfacefastethernet0/5Router(config-if)#ipaddressRouter(config-if)#exitRouter(config)#此處配置了交換機的快速以太網(wǎng)5口的IP地址為/24。4）保存交換機配置。上一頁下一頁返回模塊1安全管理路由器、交換機交換機配置完成后要進行保存，以免中途斷電后所有的配置都丟失掉。保存配置非常簡單，只需要將運行于內(nèi)存中的配置保存到閃存中即可。Router#copyrunning-configstartup-configRouter#（二）交換機的維護1）交換機軟件升級。交換機的操作系統(tǒng)通過不斷的升級變得越來越完善，并且在不改變硬件環(huán)境的前提下支持越來越多的功能。所以通常來講，我們會根據(jù)需求到官方網(wǎng)站上下載最新的交換機操作系統(tǒng)進行升級。上一頁下一頁返回模塊1安全管理路由器、交換機升級的命令如下：Router#copytftpflashtftpserver:00sourcefile:rgnos10.2.bindestinationfilename:[rgnos10.2.bin]########################################################################################################################################[ok!]2）交換機軟件備份。上一頁下一頁返回模塊1安全管理路由器、交換機通常我們都要進行交換機的操作系統(tǒng)備份，以免在交換機損壞的時候沒辦法恢復(fù)過來。備份的命令如下：Router#copyflash:Rgnos10.2.bintftptftpserver:00destinationfilename:[rgnos10.2.bin]########################################################################################################################################[ok!]3）修復(fù)崩潰的交換機。上一頁下一頁返回模塊1安全管理路由器、交換機交換機在使用過程中難免會因為各種原因而發(fā)生損壞，因此我們要掌握修復(fù)交換機的方法。首先是重啟交換機，將原來損壞的操作系統(tǒng)和配置文件刪掉，再將好的、新的操作系統(tǒng)安裝上。方法如下：Router#copytftpflashtftpserver:00sourcefile:rgnos10.2.bindestinationfilename:[rgnos10.2.bin]########################################################################################################################################[ok!]上一頁下一頁返回模塊1安全管理路由器、交換機Router#copytftpflashtftpserver:00sourcefile:config.textdestinationfilename:[config.text]########################################################################################################################################[ok!]（三）交換機安全管理（1）控制console和vty訪問。上一頁下一頁返回模塊1安全管理路由器、交換機1）配置訪問控制列表。Switch(config)#access-list10permithostRouter(config)#access-list10permithost2）控制console訪問。Switch(config)#enablesecrectlevel15ruijieSwitch(config)#lineconsole0Switch(config-line)#loginSwitch(config-line)#passwordstarSwitch(config-line)#exit上一頁下一頁返回模塊1安全管理路由器、交換機Switch(config)#Router(config)#enablesecrectlevel15ruijieRouter(config)#lineconsole0Router(config-line)#loginRouter(config-line)#passwordstarRouter(config-line)#exitRouter(config)#3）控制vty訪問。Switch(config)#linevty04上一頁下一頁返回模塊1安全管理路由器、交換機Switch(config-line)#ipaccess-group10inSwitch(config-line)#exitSwitch(config)#Router(config)#linevty04Router(config-line)#ipaccess-group10inRouter(config-line)#exitRouter(config)#（2）配置登錄認證。1）配置本地認證。上一頁下一頁返回模塊1安全管理路由器、交換機Switch(config)#usernameruijiepasswordstarSwitch(config)#lineconsole0Switch(config-line)#loginlocalSwitch(config-line)#exitSwitch(config)#linevty04Switch(config-line)#loginlocalSwitch(config-line)#exitSwitch(config)#Router(config)#usernameruijiepasswordstarRouter(config)#lineconsole0上一頁下一頁返回模塊1安全管理路由器、交換機Router(config-line)#loginlocalRouter(config-line)#exitRouter(config)#linevty04Router(config-line)#loginlocalRouter(config-line)#exitRouter(config)#2）配置AAA認證。Switch(config)#aaanew-modelSwitch(config)#usernameruijiepasswordstar上一頁下一頁返回模塊1安全管理路由器、交換機Switch(config)#aaaauthenticationlogintestgrouplocalSwitch(config)#linevty04Switch(config-line)#loginauthenticationtestSwitch(config-line)#exitSwitch(config)#Router(config)#aaanew-modelRouter(config)#usernameruijiepasswordstarRouter(config)#aaaauthenticationlogintestgrouplocalRouter(config)#linevty04Router(config-line)#loginauthenticationtest上一頁下一頁返回模塊1安全管理路由器、交換機Router(config-line)#exitRouter(config)#（3）配置SSH認證1）配置SSH服務(wù)。Switch(config)#enableservicesssh-serverSwitch(config)#CryptokeygeneratersaSwitch(config)#ipsshversion2Switch(config)#ipsshauthentication-retries3Switch(config)#Router(config)#enableservicesssh-server上一頁下一頁返回模塊1安全管理路由器、交換機Router(config)#CryptokeygeneratersaRouter(config)#ipsshversion2Router(config)#ipsshauthentication-retries3Router(config)#2）配置SSH客戶。可以使用SSH對設(shè)備進行管理，前提是必須打開SSHSERVER功能，默認情況下是關(guān)閉該功能的。由于Windows自帶的Telnet組件不支持SSH，因此必須使用第三方客戶端軟件。當(dāng)前兼容性較好的客戶端包括：Putty、Linux、SecureCRT。下面以客戶端軟件SecureCRT為例介紹SSH客戶端的配置，如圖10?2所示。上一頁下一頁返回模塊1安全管理路由器、交換機使用協(xié)議2進行登錄，因此選擇“SSH2”，“主機名”文本框輸入“00”，這里是主機的IP地址；端口為22，即SSH監(jiān)聽的默認端口號；用戶名為空，當(dāng)設(shè)備只要求密碼時，該用戶名不會起作用；身份驗證只支持用戶名密碼的認證方式。使用的密碼和Telnet密碼是一致的。任務(wù)11配置接入層安全管理網(wǎng)絡(luò)拓撲如圖11?1所示。1）在交換機SW-C和SW-D配置端口安全。上一頁下一頁返回模塊1安全管理路由器、交換機很多網(wǎng)絡(luò)癱瘓是因為員工私自在接口上連接客戶端，導(dǎo)致網(wǎng)絡(luò)負載超過設(shè)計要求，或是新接入的設(shè)備存在風(fēng)險。所以在接入層設(shè)備上一般來講要開啟端口安全功能。SW-C(config)#SW-C(config)#interfacefastethernet0/1SW-C(config-if)#switchportport-securitySW-C(config-if)#switchportport-securitymac-address000c.000c.000cSW-C(config-if)#switchportport-securitymaximum1SW-C(config-if)#switchportport-securityviolationshutdown上一頁下一頁返回模塊1安全管理路由器、交換機SW-C(config-if)#exitSW-D(config)#interfacefastethernet0/1SW-D(config-if)#switchportport-securitySW-D(config-if)#switchportport-securitymac-address000c.000c.000cSW-D(config-if)#switchportport-securitymaximum1SW-D(config-if)#switchportport-securityviolationshutdownSW-D(config-if)#exitSW-D(config)#上一頁下一頁返回模塊1安全管理路由器、交換機2）在交換機SW-C和SW-D配置ARP檢查。ARP欺騙是一種原理十分簡單、危害極大的網(wǎng)絡(luò)威脅。因此在網(wǎng)絡(luò)的接入層必須開啟ARP檢查功能，以盡量減少和避免因客戶端中毒導(dǎo)致的ARP欺騙威脅。SW-C(config)#SW-C(config)#arp-checkmodestandardSW-C(config)#interfacefastethernet0/1SW-C(config-if)#switchportport-securitySW-C(config-if)#switchportport-securitymac-address000c.000c.000cip-address上一頁下一頁返回模塊1安全管理路由器、交換機SW-C(config-if)#exitSW-C(config)#SW-D(config)#SW-D(config)#arp-checkmodestandardSW-D(config)#interfacefastethernet0/1SW-D(config-if)#switchportport-securitySW-D(config-if)#switchportport-securitymac-address000d.000d.000dip-addressSW-D(config-if)#exit上一頁下一頁返回模塊1安全管理路由器、交換機SW-D(config)#3）配置DHCP監(jiān)聽。為了保證合法的DHCP服務(wù)器能夠分配正確的IP地址，在涉及的交換機上要采用DHCP監(jiān)聽功能，用來避免非法的DHCP服務(wù)器在網(wǎng)絡(luò)上提供服務(wù)。SW-A(config)#ipdhcpsnoopingSW-A(config)#vlan10SW-A(config-vlan)#exitSW-A(config)#vlan20SW-A(config-vlan)#exit上一頁下一頁返回模塊1安全管理路由器、交換機SW-A(config)#vlan100SW-A(config-vlan)#exitSW-A(config)#interfacevlan10SW-A(config-if)#ipaddress54SW-A(config-if)#exitSW-A(config)#interfacevlan20SW-A(config-if)#ipaddress54SW-A(config-if)#exitSW-A(config)#interfacevlan100SW-A(config-if)#ipaddress54上一頁下一頁返回模塊1安全管理路由器、交換機SW-A(config-if)#exitSW-A(config)#interfacerangefastethernet0/21-24SW-A(config-if-range)#switchportmodetrunkSW-A(config-if-range)#exitSW-A(config)#interfacerangefastethernet0/21-22SW-A(config-if-range)#ipdhcpsnoopingtrustSW-A(config-if-range)#exitSW-A(config)#SW-B(config)#ipdhcpsnooping上一頁下一頁返回模塊1安全管理路由器、交換機SW-B(config)#vlan10SW-B(config-vlan)#exitSW-B(config)#vlan20SW-B(config-vlan)#exitSW-B(config)#vlan100SW-B(config-vlan)#exitSW-B(config)#interfacevlan10SW-B(config-if)#ipaddress53SW-B(config-if)#exit上一頁下一頁返回模塊1安全管理路由器、交換機SW-B(config)#interfacevlan20SW-B(config-if)#ipaddress53SW-B(config-if)#exitSW-B(config)#interfacevlan100SW-B(config-if)#ipaddress53SW-B(config-if)#exitSW-B(config)#interfacerangefastethernet0/22-24,0/20SW-B(config-if-range)#switchportmodetrunk上一頁下一頁返回模塊1安全管理路由器、交換機SW-B(config-if-range)#exitSW-B(config)#interfacerangefastethernet0/20,0/22SW-B(config-if-range)#ipdhcpsnoopingtrustSW-B(config-if-range)#exitSW-B(config)#iSW-C(config)#ipdhcpsnoopingSW-C(config)#vlan10SW-C(config-vlan)#exitSW-C(config)#interfacefastethernet0/1SW-C(config-if)#switchportaccessvlan10上一頁下一頁返回模塊1安全管理路由器、交換機SW-C(config-if)#exitSW-C(config)#interfacerangefastethernet0/23-24SW-C(config-if-range)#switchportmodetrunkSW-C(config-if-range)#ipdhcpsnoopingtrustSW-C(config-if-range)#exitSW-C(config)#SW-D(config)#ipdhcpsnoopingSW-D(config)#vlan20SW-D(config-vlan)#exitSW-D(config)#interfacefastethernet0/1上一頁下一頁返回模塊1安全管理路由器、交換機SW-D(config-if)#switchportaccessvlan20SW-D(config-if)#exitSW-D(config)#interfacerangefastethernet0/23-24SW-D(config-if-range)#switchportmodetrunkSW-D(config-if-range)#ipdhcpsnoopingtrustSW-D(config-if-range)#exitSW-D(config)#SW-E(config)#ipdhcpsnoopingSW-E(config)#vlan10SW-E(config-vlan)#exit上一頁下一頁返回模塊1安全管理路由器、交換機SW-E(config)#vlan20SW-E(config-vlan)#exitSW-E(config)#vlan100SW-E(config-vlan)#exitSW-E(config)#interfacevlan100SW-E(config-if)#ipaddress52SW-E(config-if)#exitSW-E(config)#interfacerangefastethernetf0/18-19SW-E(config-if-range)#switchportaccessvlan100SW-E(config-if-range)#exit上一頁下一頁返回模塊1安全管理路由器、交換機SW-E(config)#interfacerangefastethernet0/19-21SW-E(config-if-range)#ipdhcpsnoopingtrustSW-E(config-if-range)#exitSW-E(config)#interfacerangefastethernet0/20-21SW-E(config-if-range)#switchportmodetrunkSW-E(config-if-range)#exitSW-E(config)#servicedhcpSW-E(config)#iphelper-addressSW-E(config)#4）配置DAI。上一頁下一頁返回模塊1安全管理路由器、交換機SW-C(config)#iparpinspectionvlan10SW-C(config)#interfacerangefastethernet0/23-24SW-C(config-if-range)#iparpinspectiontrustSW-C(config-if-range)#exitSW-C(config)#SW-D(config)#iparpinspectionvlan20SW-D(config)#interfacerangefastethernet0/23-24SW-D(config-if-range)#iparpinspectiontrustSW-D(config-if-range)#exitSW-D(config)#上一頁下一頁返回模塊1安全管理路由器、交換機5）配置端口阻塞。配置端口阻塞用于減少交換機泛洪數(shù)據(jù)包的情況，使交換機利用更多的硬件資源去轉(zhuǎn)發(fā)有用的數(shù)據(jù)。SW-C(config)#interfacefastethernet0/1SW-C(config-if)#swithcportblockunicastSW-C(config-if)#exitSW-C(config)#SW-D(config)#interfacefastethernet0/1SW-D(config-if)#swithcportblockunicastSW-D(config-if)#exit上一頁下一頁返回模塊1安全管理路由器、交換機SW-D(config)#此處如果接入層交換機還有其他端口連接客戶端，需要重復(fù)上面步驟在每一個連接客戶端的端口上開啟端口阻塞功能，來提高交換機工作效率。6）配置風(fēng)暴控制。為了避免因為交換機的廣播風(fēng)暴而導(dǎo)致整個網(wǎng)絡(luò)癱瘓，需要在可能發(fā)生風(fēng)暴的端口上開啟風(fēng)暴控制功能，為端口配置一個風(fēng)暴閾值。當(dāng)風(fēng)暴來臨時不會超過這個閾值導(dǎo)致交換機癱瘓。SW-C(config)#interfacefastethernet0/1SW-C(config-if)#storm-controlbroadcastpps64000上一頁下一頁返回模塊1安全管理路由器、交換機SW-C(config-if)#exitSW-C(config)#SW-D(config)#interfacefastethernet0/1SW-D(config-if)#storm-controlbroadcastpps64000SW-D(config-if)#exitSW-D(config)#7）配置系統(tǒng)保護。一切攻擊的最初動作都是端口掃描和地址掃描。在可能產(chǎn)生威脅的端口上開啟系統(tǒng)保護，以保護此端口當(dāng)遭受到掃描的時候能夠自我保護。上一頁下一頁返回模塊1安全管理路由器、交換機SW-C(config)#interfacefastethernet0/1SW-C(config-if)#system-guardenableSW-C(config-if)#system-guardscan-dest-ip-attack-packets100SW-C(config-if)#system-guardisolate-time600SW-C(config-if)#exitSW-C(config)#SW-D(config)#interfacefastethernet0/1SW-D(config-if)#system-guardenableSW-D(config-if)#system-guardscan-dest-ip-attack-packets100上一頁下一頁返回模塊1安全管理路由器、交換機SW-D(config-if)#system-guardisolate-time600SW-D(config-if)#exitSW-D(config)#任務(wù)12在路由器上配置標準訪問控制列表【任務(wù)情境】蘇州帝聯(lián)信息科技有限公司信息中心為提高辦公網(wǎng)絡(luò)的傳輸效率，在網(wǎng)絡(luò)擴建過程中，把辦公網(wǎng)分割成多個局域網(wǎng)，減少網(wǎng)絡(luò)之間的干擾。為實施辦公網(wǎng)絡(luò)的整體安全，公司希望針對辦公網(wǎng)中的不同區(qū)域，通過在路由器上配置訪問控制列表技術(shù)，實現(xiàn)辦公網(wǎng)之間的安全隔離，保護信息在網(wǎng)絡(luò)中的傳輸安全。要求：上一頁下一頁返回模塊1安全管理路由器、交換機（1）局域子網(wǎng)A與局域子網(wǎng)B相互訪問（2）配置標準訪問控制列表，實現(xiàn)A子網(wǎng)計算機不能訪問B子網(wǎng)的計算機。網(wǎng)絡(luò)地址規(guī)劃如表12?1所示?！静僮鞑襟E】（一）局域子網(wǎng)A與局域子網(wǎng)B相互訪問（1）根據(jù)網(wǎng)絡(luò)拓撲，組建網(wǎng)絡(luò)如圖12?1所示。（2）配置路由器設(shè)備的基本信息，實現(xiàn)網(wǎng)絡(luò)通信。1）配置路由器端口。上一頁下一頁返回模塊1安全管理路由器、交換機Router#configureterminalRouter(config)#interfacefastethernet0/0Router(config-if)ipaddressRouter(config-if)noshutdownRouter(config-if)exitRouter(config)#Router(config)#interfacefastethernet0/1Router(config-if)ipaddressRouter(config-if)noshutdown上一頁下一頁返回模塊1安全管理路由器、交換機2）配置主機IP，如圖12?2、圖12?3所示。PC0主機IP地址如下：PC1主機IP地址如下：3）測試連通性，如圖12?4所示。（二）配置標準訪問控制列表，實現(xiàn)A子網(wǎng)計算機不能訪問B子網(wǎng)的計算機（1）創(chuàng)建標準訪問控制列表。Router(config)#access-list10deny55Router(config)#access-list10permitany上一頁下一頁返回模塊1安全管理路由器、交換機（2）應(yīng)用訪問控制列表。Router(config)#Router(config)#interfacefastethernet0/0Router(config-if)ipaddress-group10inRouter(config-if)exit（3）驗證測試。1）為驗證

網(wǎng)段的主機均不能訪問，修改信息中心服務(wù)器主機IP為，測試連通性，結(jié)果如圖12?5所示。2）為驗證

網(wǎng)段的主機均不能訪問，修改信息中心服務(wù)器主機IP為，測試連通性，結(jié)果如圖12?6所示。上一頁下一頁返回模塊1安全管理路由器、交換機3）取消標號為10的訪問控制列表。Router(config)#Router(config)#interfacefastEthernet0/0Router(config-if)#noipaccess-group10inRouter(config-if)exit4）測試結(jié)果如圖12?7所示。任務(wù)13在交換機上配置標準訪問控制列表【任務(wù)情境】上一頁下一頁返回模塊1安全管理路由器、交換機蘇州帝聯(lián)信息科技有限公司信息中心為提高辦公網(wǎng)絡(luò)的傳輸效率，在網(wǎng)絡(luò)擴建過程中，把辦公網(wǎng)分割成多個局域網(wǎng)，減少了網(wǎng)絡(luò)之間的干擾。為實施辦公網(wǎng)絡(luò)的整體安全，公司希望針對辦公網(wǎng)中的不同區(qū)域，通過在交換機上配置訪問控制列表技術(shù)，實現(xiàn)辦公網(wǎng)之間的安全隔離，保護信息在網(wǎng)絡(luò)中的傳輸安全。要求：（1）配置主機IP、三層交換機，實現(xiàn)全網(wǎng)互通。（2）在三層交換機上配置擴展訪問控制列表。（3）在F0/5端口上應(yīng)用訪問控制列表。網(wǎng)絡(luò)拓撲如圖13?1所示。上一頁下一頁返回模塊1安全管理路由器、交換機【操作步驟】（一）配置主機IP、三層交換機，實現(xiàn)全網(wǎng)互通（1）三層交換機配置如下。interfacefastethernet0/1interfacefastethernet0/2interfacefastethernet0/3interfacefastethernet0/4interfacefastethernet0/5noswitchportipaddress0上一頁下一頁返回模塊1安全管理路由器、交換機duplexautospeedautointerfacefastethernet0/6interfacefastethernet0/10switchportaccessvlan20switchportmodeaccessinterfacefastethernet0/11interfacefastethernet0/13interfacefastethernet0/24switchportaccessvlan30上一頁下一頁返回模塊1安全管理路由器、交換機interfacegigabitethernet0/1interfacegigabitethernet0/2interfacevlan1noipaddressshutdowninterfacevlan10ipaddress!interfacevlan20上一頁下一頁返回模塊1安全管理路由器、交換機ipaddressinterfacevlan30ipaddressipclassless（2）實現(xiàn)全網(wǎng)互通，保存測試結(jié)果，如圖13?2、圖13?3所示。（二）在三層交換機上配置擴展訪問控制列表配置訪問控制規(guī)則，保證主機2不能訪問主機4。access-list10deny55access-list10permitany（三）在F0/5端口上應(yīng)用訪問控制列表上一頁下一頁返回模塊1安全管理路由器、交換機（1）應(yīng)用訪問控制規(guī)則。interfaceFastEthernet0/5noswitchportipaddress0ipaccess-group10induplexautospeedauto（2）驗證結(jié)果，并記錄保存，如圖13?4所示。上一頁返回模塊2擴展訪問控制列表任務(wù)14配置擴展訪問控制列表【任務(wù)情境】蘇州帝聯(lián)信息科技有限公司信息中心為提高對信息中心服務(wù)器訪問的安全性，決定授權(quán)銷售部計算機訪問信息中心計算機，但是不允許外部客戶訪問公司信息中心服務(wù)器資源。通過創(chuàng)建擴展訪問控制列表技術(shù)，實現(xiàn)對服務(wù)器的安全訪問。要求：（1）局域子網(wǎng)A與局域子網(wǎng)B相互訪問。（2）配置擴展訪問控制列表，實現(xiàn)A子網(wǎng)計算機不能訪問B子網(wǎng)的計算機。下一頁返回模塊2擴展訪問控制列表網(wǎng)絡(luò)地址規(guī)劃如表14-1所示。【操作步驟】（1）根據(jù)網(wǎng)絡(luò)拓撲，組建網(wǎng)絡(luò)，如圖14?1所示。（2）配置路由器設(shè)備的基本信息，實現(xiàn)網(wǎng)絡(luò)通信。1）配置路由器端口。Router#configureterminalRouter(config)#interfacefastethernet0/0Router(config-if)ipaddressRouter(config-if)noshutdownRouter(config-if)exit上一頁下一頁返回模塊2擴展訪問控制列表Router(config)#Router(config)#interfacefastethernet0/1Router(config-if)ipaddressRouter(config-if)noshutdown2）測試連通性，如圖14?2所示。（3）創(chuàng)建擴展訪問控制列表。Router#configureterminalRouter(config)#access-list110denytcp55hosteq80上一頁下一頁返回模塊2擴展訪問控制列表!配置擴展訪問控制列表，拒絕

網(wǎng)絡(luò)中計算機訪問服務(wù)器

上的web服務(wù)Router(config)#access-list110permitipanyany!允許其他一切訪問。（4）應(yīng)用擴展訪問控制列表。Router(config)#Router(config)#interfacefastethernet0/1Router(config-if)ipaddress-group110in!把定義好的規(guī)則應(yīng)用到連接路由器的0/1口進入方向數(shù)據(jù)流的檢查中上一頁下一頁返回模塊2擴展訪問控制列表Router(config-if)exit（5）驗證測試，如圖14?3所示。任務(wù)15配置時間訪問控制列表【任務(wù)情境】蘇州帝聯(lián)信息科技有限公司信息中心為保護信息中心服務(wù)器的資源，在核心路由器上實施擴展訪問控制列表，允許銷售部計算機和信息中心計算機進行通信。由于禁止銷售部計算機訪問信息中心的Web服務(wù)器，給公司銷售部員工帶來了網(wǎng)絡(luò)訪問的不方便。因此在信息中心的監(jiān)控下，允許銷售部計算機在工作時間使用信息中心服務(wù)器上的Web服務(wù)，但在非工作時間內(nèi)不可以使用服務(wù)器上的Web服務(wù)。上一頁下一頁返回模塊2擴展訪問控制列表通過創(chuàng)建時間訪問控制列表，開放信息中心服務(wù)器網(wǎng)絡(luò)訪問權(quán)限?！静僮鞑襟E】（1）根據(jù)網(wǎng)絡(luò)拓撲，組建網(wǎng)絡(luò)，如圖15?1所示。（2）配置路由器設(shè)備的基本信息，實現(xiàn)網(wǎng)絡(luò)通信。1）配置路由器端口。Router#configureterminalRouter(config)#interfacefastethernet0/0Router(config-if)ipaddressRouter(config-if)noshutdown上一頁下一頁返回模塊2擴展訪問控制列表Router(config-if)exitRouter(config)#Router(config)#interfacefastethernet0/1Router(config-if)ipaddressRouter(config-if)noshutdown2）測試連通性，如圖15?2所示。（3）創(chuàng)建時間訪問控制列表和時間范圍，實現(xiàn)A子網(wǎng)（/24）計算機受限訪問B（/24）子網(wǎng)的計算機。上一頁下一頁返回模塊2擴展訪問控制列表Router#configureterminalRouter(config)#time-rangeoff-workRouter(config-time-range)#periodicweekdays09:00to18:00Router(config-time-range)#exitRouter(config)#access-list100permittcp55hosteq80time-rangeoff-work（4）應(yīng)用訪問控制列表。Router(config)#interfacefastethernet0/1Router(config-if)#ipaccess-group100in上一頁下一頁返回模塊2擴展訪問控制列表Router(config-if)#exit（5）測試驗證。在銷售部的計算機上，啟動瀏覽器，輸入服務(wù)器B的IP地址，則在工作日時間段9:00～18:00，可以訪問服務(wù)器B，非工作日時間不可以訪問服務(wù)器B。任務(wù)16配置專家訪問控制列表【任務(wù)情境】蘇州帝聯(lián)信息科技有限公司信息中心為保護信息中心服務(wù)器的資源，在核心路由器上實施擴展訪問控制列表，允許銷售部計算機和信息中心計算機進行通信。上一頁下一頁返回模塊2擴展訪問控制列表為了維護安全，只允許MAC地址為000c.000c.000c，IP地址為0的PC機專家訪問

的Web服務(wù)，其他

網(wǎng)段的主機可以訪問

其他網(wǎng)段的主機。網(wǎng)絡(luò)拓撲如圖16?1所示?！静僮鞑襟E】路由器之間的互聯(lián)互通同前，這里不再贅述。（1）創(chuàng)建專家訪問控制列表。Router(config)#expertaccess-listextendedallow上一頁下一頁返回模塊2擴展訪問控制列表Router(config-exp-nacl)#permittcphost0host000c.000c.000chosthost000e.000e.000eeq80Router(config-exp-nacl)#denytcpanyanyhosthost000e.000e.000eeq80Router(config-exp-nacl)#permitip55any55anyRouter(config-exp-nacl)#exitRouter(config)#（2）應(yīng)用訪問控制列表。Router(config)#interfacefastethernet0/1上一頁下一頁返回模塊2擴展訪問控制列表Router(config-if)#expertaccess-groupallowinRouter(config-if)#exitRouter(config)#（3）驗證測試。只有MAC地址為000c.000c.000c，且IP地址為0的主機可以訪問的Web服務(wù)。任務(wù)17配置MAC訪問控制列表【任務(wù)情境】上一頁下一頁返回模塊2擴展訪問控制列表蘇州帝聯(lián)信息科技有限公司信息中心為保護信息中心服務(wù)器的資源，在核心路由器上實施擴展訪問控制列表，允許銷售部計算機和信息中心計算機進行通信。通過限定某MAC地址的PC機訪問網(wǎng)絡(luò)。網(wǎng)絡(luò)拓撲如圖17?1所示。【操作步驟】路由器之間的互聯(lián)互通同前，這里不再贅述。（1）創(chuàng)建MAC訪問控制列表。SWA(config)#macaccess-listextendedper-vaildSWA(config-mac-nacl)#denyhost000c.000c.000cany上一頁下一頁返回模塊2擴展訪問控制列表SWA(config-mac-nacl)#permitanyanySWA(config-mac-nacl)#exitSWA(config)#（2）應(yīng)用訪問控制列表。SWA(config)#interfacefastethernet0/1SWA(config-if)#macaccess-groupper-vaildin（3）驗證測試。MAC地址為000c.000c.000c的主機不可以訪問任務(wù)主機服務(wù)。任務(wù)18訪問控制列表綜合應(yīng)用上一頁下一頁返回模塊2擴展訪問控制列表【任務(wù)情境】蘇州帝聯(lián)信息技術(shù)有限公司接到一個小型網(wǎng)絡(luò)項目，涉及三個核心交換機，需要對網(wǎng)絡(luò)進行規(guī)劃設(shè)計，實現(xiàn)互聯(lián)互通。為增強安全性，需要進行網(wǎng)絡(luò)安全部署，在交換機上設(shè)置設(shè)備安全管理，并進行標準訪問控制列表和擴展訪問控制列表操作，另外要求在交換機上禁止廣播風(fēng)暴操作。要求：（1）搭建拓撲，實現(xiàn)互聯(lián)互通。（2）在三層交換機A、C上設(shè)置設(shè)備管理安全。（3）在三層交換機C上進行MAC地址綁定，最大數(shù)為2，違例：shutdown。上一頁下一頁返回模塊2擴展訪問控制列表（4）設(shè)置三層交換機A上的標準訪問控制列表，使PCA不能訪問PCB，但能訪問PCC。（5）在交換機B上禁止廣播風(fēng)暴。（6）在交換機B上創(chuàng)建擴展訪問控制列表，使PCB不能訪問PCC的Web服務(wù)。【操作步驟】（一）搭建網(wǎng)絡(luò)拓撲，實現(xiàn)互聯(lián)互通網(wǎng)絡(luò)拓撲如圖18?1所示。（1）劃分VLAN。交換機A上的配置：上一頁下一頁返回模塊2擴展訪問控制列表!interfacevlan10ipaddress54!interfacevlan20ipaddress54!interfacevlan100ipaddress54!上一頁下一頁返回模塊2擴展訪問控制列表交換機B上的配置：!interfacevlan10ipaddress53!interfacevlan20ipaddress53!interfacevlan100ipaddress53上一頁下一頁返回模塊2擴展訪問控制列表!交換機C上的配置：!interfacevlan100ipaddress52!（2）將各端口添加到VLAN中。交換機A上操作：!interfacefastethernet0/1上一頁下一頁返回模塊2擴展訪問控制列表switchportaccessvlan10!!interfacefastethernet0/2switchportaccessvlan20!interfacefastethernet0/5switchportaccessvlan100!交換機B上操作：上一頁下一頁返回模塊2擴展訪問控制列表interfacefastethernet0/1noswitchportswitchportaccessvlan20!interfacefastethernet0/2switchportaccessvlan10!interfacefastethernet0/10switchportaccessvlan100!上一頁下一頁返回模塊2擴展訪問控制列表交換機C上操作：!interfaceFastEthernet0/1switchportaccessvlan100!interfaceFastEthernet0/5switchportaccessvlan100!interfaceFastEthernet0/10switchportaccessvlan100上一頁下一頁返回模塊2擴展訪問控制列表!（3）設(shè)置路由協(xié)議。交換機A上操作：!routerospf10log-adjacency-changesnetwork55area0network55area0network55area0!上一頁下一頁返回模塊2擴展訪問控制列表交換機B上操作：!routerospf10log-adjacency-changesnetwork55area0network55area0network55area0!（4）測試連通性，如圖18?2～圖18?6所示。上一頁下一頁返回模塊2擴展訪問控制列表（二）在三層交換機A、C上設(shè)置設(shè)備管理安全（1）設(shè)置控制臺登錄權(quán)限。Switch#configureterminalSwitch(config)#enablesecretlevel15ruijieSwitch(config)#usernameruijiepasswordstarSwitch(config)#linecon0Switch(config-line)#loginlocalSwitch(config-line)#exit（2）測試驗證，如圖18?7所示。上一頁下一頁返回模塊2擴展訪問控制列表（三）在三層交換機C上進行MAC地址綁定，最大數(shù)為2，違例：shutdown（1）MAC地址綁定。1）運行CMD，使用ipconfig/all獲得PCC的MAC地址，如圖18?8所示。2）綁定到端口0/1。Switch(config)#interfacefastEthernet0/1Switch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymac-address00D0.D3A8.C0B4上一頁下一頁返回模塊2擴展訪問控制列表（2）設(shè)置端口MAC地址綁定最大數(shù)為2。Switch#configureterminalSwitch(config)#interfacefastEthernet0/1Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportport-securitymaximum2（3）違例設(shè)置。Switch#configureterminalSwitch(config)#interfacefastEthernet0/1Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportport-securityviolationshutdown上一頁下一頁返回模塊2擴展訪問控制列表（4）驗證測試，如圖18?9所示。（四）設(shè)置三層交換機A上的標準訪問控制列表，使PCA不能訪問PCB，但能訪問PCC分析：PCA到PCB有兩條鏈路，因此可以在兩條鏈路上制作訪問控制列表。（1）在交換機A上創(chuàng)建訪問控制列表。access-list10denyaccess-list10permitany（2）設(shè)置交換機A端口為路由模式。上一頁下一頁返回模塊2擴展訪問控制列表1）先取消VLAN10的地址，否則出現(xiàn)地址沖突。Switch#configureterminalSwitch(config)#interfacevlan10Switch(config-if)#noipaddress查看命令是否生效Switch#showrunning-config!interfacevlan10noipaddress!上一頁下一頁返回模塊2擴展訪問控制列表2）設(shè)置端口為路由模式。Switch#configureterminalSwitch(config)#interfacefastethernet0/1Switch(config-if)#noswitchport3）設(shè)置端口IP地址。Switch(config-if)#ipaddress54（3）在端口上應(yīng)用訪問控制列表。Switch#configure