任務(wù)：配置匯聚層交換機安全,限制子網(wǎng)訪問服務(wù)

任務(wù)20配置匯聚交換機安全，限制子網(wǎng)訪問服務(wù)《網(wǎng)絡(luò)設(shè)備安裝與調(diào)試技術(shù)》目錄一、任務(wù)描述 二、任務(wù)分析 三、知識準備 20.1訪問控制列表分類 20.2什么是擴展訪問控制列表 20.3擴展的訪問控制列表特征 20.4配置擴展訪問控制列表技術(shù) 20.5配置命名的擴展的訪問控制列表 四、任務(wù)實施 20.6綜合實訓(xùn)：配置匯聚交換機安全，限制子網(wǎng)訪問服務(wù) 知識拓展 認證測試

任務(wù)描述浙江科技工程學(xué)校多媒體實訓(xùn)中心機房，和學(xué)校的網(wǎng)絡(luò)中心相連。之前為了建設(shè)數(shù)字化校園，學(xué)校在網(wǎng)絡(luò)中心搭建了多臺服務(wù)器，包括WEB服務(wù)器、FTP服務(wù)器、DNS服務(wù)器等，方便學(xué)校師生員工之間共享數(shù)字化資源。由于網(wǎng)絡(luò)中心的FTP服務(wù)器上，主要存儲的是教學(xué)資源，如考試試卷、學(xué)生的各門課程的成績冊，由于多媒體實訓(xùn)中心機房和網(wǎng)絡(luò)中心服務(wù)器機房相連，經(jīng)常有學(xué)生違紀登陸學(xué)校的FTP服務(wù)器，訪問考試等不允許學(xué)生訪問的資料。為了加強網(wǎng)絡(luò)信息安全管理，需要實施擴展的訪問控制列表技術(shù)，限制學(xué)生機房子網(wǎng)的計算機訪問網(wǎng)絡(luò)中心的FTP服務(wù)器，其他服務(wù)器資源則允許學(xué)生機房計算機訪問。任務(wù)分析擴展編號ACL不僅僅匹配數(shù)據(jù)包中源地址信息，還檢查數(shù)據(jù)包的目的地址，以及數(shù)據(jù)包的特定協(xié)議類型、端口號等，為網(wǎng)絡(luò)的安全訪問提供了更多的訪問控制功能。安全訪問控制是指定網(wǎng)絡(luò)中的指定的服務(wù)，除需要對源網(wǎng)絡(luò)地址過濾外，還需要對目標網(wǎng)絡(luò)地址進行過濾的需求，還需要對IP數(shù)據(jù)包中的服務(wù)信息進行檢查。顯然，使用標準IPACL無法實現(xiàn)此需求，在這種場景下就需要用擴展的IPACL。擴展IPACL可以檢查元素有：源IP地址、目標IP地址、協(xié)議、源端口號、目標端口號。知識準備20.1訪問控制列表分類。根據(jù)訪問控制標準的不同，ACL分多種類型，實現(xiàn)不同的網(wǎng)絡(luò)安全訪問控制權(quán)限。常見ACL有兩類：標準訪問控制列表（StandardIPACL）和擴展訪問控制列表（ExtendedIPACL），在規(guī)則中使用不同的編號區(qū)別，其中標準訪問控制列表的編號取值范圍為1~99；擴展訪問控制列表的編號取值范圍為100~199。知識準備20.2什么是擴展訪問控制列表?；诰幪枖U展訪問控制列表（ExtendedIPACL）重要特征是：一是通過編號100~199來區(qū)別不同的IPACL；二是不僅檢查數(shù)據(jù)包源IP地址，還檢查數(shù)據(jù)包中目的IP地址，源端口，目的端口、建立連接和IP優(yōu)先級等特征信息。知識準備20.3擴展的訪問控制列表特征。擴展IPACL訪問控制列表，使用編號范圍從100到199的編號值，標識區(qū)別同一接口上多條列表。和標準IPACL相比，擴展IPACL也存在一些缺點：一是配置管理難度加大，考慮不周容易限制正常訪問；其次擴展IPACL會消耗路由器更多CPU資源。所以中低檔路由器進行網(wǎng)絡(luò)連接時，應(yīng)盡量減少擴展ACL條數(shù)，以提高工作效率。知識準備20.4配置擴展訪問控制列表技術(shù)。配置基于編號擴展IPACL指令格式如下：Access-listlistnumber{permit|deny}protocolsourcesource-wildcard–maskdestinationdestination-wildcard–mask[operatoroperand]知識準備20.5配置命名的擴展的訪問控制列表。使用編號IPACL不容易識別，數(shù)字不容易區(qū)分，特別是基于編號的IPACL在修改上非常不方便。基于名稱IPACL在技術(shù)開發(fā)上，避免基于編號IPACL應(yīng)用上不足。如果實施基于名稱擴展訪問控制列表，語法規(guī)則如下：ipaccess-listextended{name|access-list-number}!指定命名ACL的類型以及ACL名稱，啟用名稱IPACL規(guī)則{permit|deny}protocol{any|sourcesource-wildcard}[operatorport]{any|destinationdestination-wildcard}[operatorport][time-rangetime-range-name][dscpdscp][fragment]！允許或者拒絕操作，命令中各個參數(shù)含義均與編號ACL相同。任務(wù)勒實施【網(wǎng)絡(luò)舉場景】如圖馬所示厲的網(wǎng)鉆絡(luò)拓海撲是效學(xué)校病在網(wǎng)再絡(luò)中懇心搭勻建了蹈多臺斤服務(wù)炎器，匹包括WE莖B服務(wù)寧器、FT疲P服務(wù)導(dǎo)器、DN曾S服務(wù)薄器等受，為徐了加核強網(wǎng)驢絡(luò)信死息安繪全管刮理，弦需要疤實施俯擴展忘的訪足問控罪制列戶表技叮術(shù)，倆限制雁學(xué)生馳機房瞧子網(wǎng)邪的計摘算機祥訪問希網(wǎng)絡(luò)梳中心院的FT固P服務(wù)繼器，上其他蓄服務(wù)利器資走源則掏允許盜學(xué)生渴機房緩計算執(zhí)機訪古問。其中澆，連瞇接網(wǎng)份絡(luò)中片心的斥路由裁器F1掌/2接口啊上連互接是悼一個未服務(wù)談器群疏，服垮務(wù)器室提供WE供B服務(wù)度，還爽有服蘭務(wù)器偷提供FT偶P服務(wù)飽。。任務(wù)曬實施【網(wǎng)絡(luò)棒場景】。任務(wù)旱實施【設(shè)備欣清單】：三層夕交換淚機（1臺）繁、眼計算稠機（>=秒3臺）城、賢雙獨絞線黨（若鍬干根鋪）?！緦嵤[過程】步驟止一：統(tǒng)安裝看網(wǎng)絡(luò)銜工作荒環(huán)境步驟室二：IP地址始規(guī)劃敵與設(shè)眼置步驟儉三：竭配置梨三層境交換盛機基腰本信再息步驟膠四：和網(wǎng)絡(luò)很測試妙（1）步驟償五：速配置賠三層育交換冬機名班稱擴使展訪兄問控襖制列陽表，根并應(yīng)澡用在弦接口按上步驟荷六：砍網(wǎng)絡(luò)朝測試得（2）知識債拓展本單霞元模疏塊主攏要介純紹交均換機多的基組于名間稱的您擴展鹽訪問明控制氧列表蝕技術(shù)疊。試試