網(wǎng)絡(luò)設(shè)備配置與管理項(xiàng)目式教程（第3版） 課件 3.3利用IP擴(kuò)展訪問控制列表實(shí)現(xiàn)網(wǎng)絡(luò)應(yīng)用服務(wù)訪問控制

利用IP擴(kuò)展訪問控制列表實(shí)現(xiàn)網(wǎng)絡(luò)應(yīng)用服務(wù)訪問控制教學(xué)目標(biāo)能夠在三層設(shè)備中利用擴(kuò)展訪問控制列表對(duì)網(wǎng)絡(luò)應(yīng)用服務(wù)進(jìn)行訪問控制；能夠根據(jù)訪問控制要求在網(wǎng)絡(luò)中選擇最佳的路由設(shè)備和接口配置擴(kuò)展訪問控制列表；能夠進(jìn)行擴(kuò)展訪問控制列表準(zhǔn)確性的檢驗(yàn)；能夠描述擴(kuò)展訪問控制列表的作用和基本規(guī)則；能夠按照網(wǎng)絡(luò)安全管理的基本規(guī)程進(jìn)行操作。工作任務(wù)

一個(gè)中小企業(yè)網(wǎng)絡(luò)，為三個(gè)部門劃分了子網(wǎng)，分別為生產(chǎn)部、管理部和財(cái)務(wù)部，對(duì)應(yīng)子網(wǎng)分別是VLAN10、VLAN20和VLAN30。企業(yè)內(nèi)網(wǎng)服務(wù)器SERVER1中運(yùn)行了WEB服務(wù)器、DNS服務(wù)器和FTP服務(wù)器等服務(wù)，其中WEB服務(wù)和DNS服務(wù)是面向內(nèi)網(wǎng)所有用戶的，F(xiàn)TP服務(wù)器保存了企業(yè)的核心數(shù)據(jù)，根據(jù)信息安全的要求，只允許管理部和財(cái)務(wù)部的計(jì)算機(jī)能夠訪問內(nèi)網(wǎng)服務(wù)器SERVER1的FTP服務(wù)器，不允許生產(chǎn)部的計(jì)算機(jī)訪問內(nèi)網(wǎng)服務(wù)器SERVER1的FTP服務(wù)器，作為網(wǎng)絡(luò)管理員，希望你進(jìn)行適當(dāng)?shù)呐渲茫诖_保各部門計(jì)算機(jī)對(duì)網(wǎng)絡(luò)共享資源訪問的條件下，限制生產(chǎn)部的計(jì)算機(jī)對(duì)內(nèi)網(wǎng)服務(wù)器SERVER1上FTP服務(wù)器的訪問，生產(chǎn)部對(duì)內(nèi)網(wǎng)服務(wù)器SERVER1的其它服務(wù)器的訪問不受限制。網(wǎng)絡(luò)拓?fù)淅脭U(kuò)展訪問控制列表進(jìn)行網(wǎng)絡(luò)應(yīng)用服務(wù)訪問控制操作步驟（演示）

步驟1．在三層交換機(jī)SW1上創(chuàng)建VLAN，將相應(yīng)端口加入

VLAN，并配置交換虛擬接口（SVI）地址。步驟2．配置路由器名稱和端口IP地址。步驟3．在三層交換機(jī)SW1、路由器RT1上配置路由。步驟4．測(cè)試網(wǎng)絡(luò)連通性。步驟5．在三層交換機(jī)SW1的虛擬接口VLAN10的進(jìn)入方向配置擴(kuò)展IP訪問控制列表步驟6．驗(yàn)證訪問控制的有效性步驟7．查看訪問控制列表的正確性操作要領(lǐng)

擴(kuò)展訪問控制列表應(yīng)盡量放置在接近數(shù)據(jù)流源的路由設(shè)備端口，以減少被過濾數(shù)據(jù)對(duì)網(wǎng)絡(luò)資源的占用；標(biāo)準(zhǔn)訪問控制列表應(yīng)盡量放置在接近數(shù)據(jù)流目的地的路由設(shè)備端口，以減小標(biāo)準(zhǔn)訪問控制列表對(duì)被過濾源IP地址對(duì)應(yīng)主機(jī)對(duì)網(wǎng)絡(luò)其它資源的訪問影響。訪問控制列表中IP地址后面是通配符掩碼（Wildcard），通配符掩碼也是32位，與子網(wǎng)掩碼的含義不同，通配符掩碼中的0表示比較

IP地址時(shí)，該位必須匹配；1表示比較時(shí)，該位可以忽略，不進(jìn)行比較。相關(guān)知識(shí)—訪問列表規(guī)則的定義標(biāo)準(zhǔn)訪問列表根據(jù)數(shù)據(jù)包源IP地址進(jìn)行規(guī)則定義擴(kuò)展訪問列表根據(jù)數(shù)據(jù)包中源IP、目的IP、源端口、目的端口、協(xié)議進(jìn)行規(guī)則定義源地址TCP/UDP數(shù)據(jù)IP

eg.HDLC1-99

1300-1999號(hào)列表

相關(guān)知識(shí)—IP標(biāo)準(zhǔn)訪問列表目的地址源地址協(xié)議端口號(hào)

相關(guān)知識(shí)—IP擴(kuò)展訪問列表TCP/UDP數(shù)據(jù)IP

eg.HDLC100-199

2000-2699號(hào)列表

相關(guān)知識(shí)—IP擴(kuò)展訪問列表的配置1.定義擴(kuò)展的ACL編號(hào)的擴(kuò)展ACLRouter(config)#access-list<100-199>{permit/deny}協(xié)議源地址反掩碼[源端口]目的地址反掩碼[目的端口]命名的擴(kuò)展ACLswitch(config)#ipaccess-listextended{name}switch(config-exd-nacl){permit/deny}協(xié)議源地址反掩碼[源端口]目的地址反掩碼[目的端口]2.應(yīng)用ACL到接口Router(config-if)#ipaccess-group<100-199>{in|out}

相關(guān)知識(shí)—IP擴(kuò)展訪問列表配置實(shí)例(一)創(chuàng)建一條擴(kuò)展ACL該ACL有一條ACE，用于允許指定網(wǎng)絡(luò)（192.168.x..x）的所有主機(jī)以HTTP訪問服務(wù)器，但拒絕其它所有主機(jī)使用網(wǎng)絡(luò)Router(config)#access-list103permittcp55hosteqwwwRouter#showaccess-lists103

access-list115denyudpanyanyeq69

access-list115denytcpanyanyeq135

access-list115denyudpanyanyeq135

access-list115denyudpanyanyeq137

access-list115denyudpanyanyeq138

access-list115denytcpanyanyeq139

access-list115denyudpanyanyeq139

access-list115denytcpanyanyeq445

access-list115denytcpanyanyeq593

access-list115denytcpanyanyeq4444

access-list115permitipanyany

interface<type><number>

ipaccess-group115in

ipaccess-group115out

相關(guān)知識(shí)—IP擴(kuò)展訪問列表配置實(shí)例(二)利用ACL隔離沖擊波病毒

相關(guān)知識(shí)—訪問列表的驗(yàn)證顯示全部的訪問列表Router#showaccess-lists顯示指定的訪問列表Router#showaccess-lists<1-199>顯示接口的訪問列表應(yīng)用Router#showipinterface接口名稱接口編號(hào)

相關(guān)知識(shí)—RGNOS支持協(xié)議列表協(xié)議描述eigrpCiscoeigrp路由選擇協(xié)議greGRE隧道協(xié)議icmpInternet控制消息協(xié)議igmpInternet網(wǎng)關(guān)消息協(xié)議ipinternet協(xié)議ipinipIP隧道中IP協(xié)議nosKA9QNOS兼容IP之上的IP隧道協(xié)議