網絡設備配置與調試案例教程 課件 第四章 路由設備配置4.4

主講人：萬鵬第四章

路由設備配置網絡設備配置與調試案例教程CONTENTS教學目標路由器是網絡的核心，負責在網絡間將數(shù)據(jù)包從初始源位置轉發(fā)到最終目的地；路由器可以實現(xiàn)路由、網絡訪問控制、防止廣播風暴，提高網絡安全等功能；路由器的安裝和調試比較復雜，相對其他網絡互連設備的價格較高?！局R目標】?了解路由器的類型。?掌握路由器基本原理。?掌握各種路由的常用命令?！炯寄苣繕恕?能夠配置靜態(tài)路由、動態(tài)路由，是網絡暢通。?能夠用OSPF路由完成路由配置，使網絡暢通。?能夠配置標準ACL實現(xiàn)網絡基本流量控制。?能夠配置DHCP服務實現(xiàn)內部網絡地址動態(tài)獲取。?能夠配置靜態(tài)NAT、動態(tài)NAT，實現(xiàn)內網和外網的互訪。?能夠配置三層交換機實現(xiàn)VLAN間的路由轉發(fā)。CONTENTS4.1路由器基本配置4.24.34.44.54.64.7靜態(tài)路由動態(tài)路由訪問控制列表DHCP與NAT廣域網鏈路三層交換機配置4.4訪問控制列表網絡設備配置與調試案例教程4.4.1項目背景1.需求分析

隨著企業(yè)開放式網絡的不斷開發(fā)和建設，網絡面臨的威脅越來越多。數(shù)據(jù)在網絡上的任意流動會給網絡帶來很多安全問題，網絡的可用性和安全性成為網絡管理員最為關心的問題。一方面，為了業(yè)務的發(fā)展，必須允許對網絡資源開放訪問權限；另一方面，又必須確保數(shù)據(jù)和資源的盡可能安全。

網絡安全采用的技術很多，而訪問控制列表是最重要的技術之一。本項目將說明管理員如何使用訪問控制列表實現(xiàn)網絡安全定義，阻止不合理的和非法

的流雖，允許特定流量的同時阻止網絡中的所有其他流量，從而保護中型企業(yè)的分支機構網絡。

2.環(huán)境準備

?設備：路由器2臺，PC3臺，服務器1臺。?線纜：標準交叉線3根，串行電纜2組，控制臺電纜1根。?每組2名學生，各操作一臺PC，協(xié)同進行實訓。4.4訪問控制列表網絡設備配置與調試案例教程3.技能準備

（1）訪問控制列表簡介

訪問控制列表（ACL）是一種路由器配置腳本，它根據(jù)從數(shù)據(jù)包報頭中發(fā)現(xiàn)的條件（源地址、目的地址、源端口、目的端口和協(xié)議等）來控制路由器應該允許還是拒絕數(shù)據(jù)包通過，從而達到訪問控制的目的。ACL可以實現(xiàn)的主要功能如下：

①檢查和過濾數(shù)據(jù)包。

②限制網絡流量，提高網絡性能。③限制或減少路由更新的內容。④提供網絡訪問的基本安全級別。

問控制列表ACL（AccessControlList）可以定義一系列不同的規(guī)則，設備根據(jù)這些規(guī)則對數(shù)據(jù)包進行分類，并針對不同類型的報文進行不同的處理，從而可以實現(xiàn)對網絡訪問行為的控制、限制網絡流量、提高網絡性能、防止網絡攻擊等等。默認情況下，路由器上沒有配置任何ACL，不會過濾流量。進入路由器的流量根據(jù)路由表進行路由。如果路由器上沒有使用ACL，所有可以被路由器路由的數(shù)據(jù)包都會經過路由器到達下一個網段。4.4訪問控制列表網絡設備配置與調試案例教程（2）配置ACL的原則

①順序處理原則。對ACL表項的檢查是按照自上而下的順序進行的，從第1行起，直到找到第1個符合條件的行為止，其余的行不再繼續(xù)比較。因此必須考慮在訪問控制列表中放入語句的次序，如測試性的語句最好放在ACL的最頂部。②最小特權原則。對ACL表項的設置應只給受控對象完成任務所必需的最小的權限。如果沒有ACL，則等于permitany。一旦添加了ACL，默認在每個ACL中最后一行為隱含的拒絕（denyany）。如果之前沒找到一條許可（permit）語句，意味著包將被丟棄。因此每個ACL必須至少有一行permit語句，除非用戶想將所有數(shù)據(jù)包丟棄。③最靠近受控對象原則。盡量考慮將擴展的ACL放在靠近源地址的位置上這樣創(chuàng)建的過濾器就不會反過來影響其他接口上的數(shù)據(jù)流。另外，盡量使標準的ACL靠近目的地址，由于標準ACL只使用源地址，如果將其靠近源地址會阻止報文流向其他端口。4.4訪問控制列表網絡設備配置與調試案例教程

（3）ACL類型①標準ACL，比較簡單，根據(jù)數(shù)據(jù)包的源IP地址進行過濾。其表號范圍是1—99或1300?1999。②擴展ACL，根據(jù)多種屬性（協(xié)議類型、源IP地址、目的IP地址、源TCP或UDP端口、目的TCP或UDP端口）過濾IP數(shù)據(jù)包，并可依據(jù)協(xié)議類型信息進行更為精確的控制。其表號范圍是100?199或2000?2699。

除了使用數(shù)字定義ACL外，也可以使用命名的方法定義ACL，即命名ACL。包括標準命名ACL和擴展命名ACL兩種。

（4）復雜ACL

復雜ACL是指在標準ACL和擴展ACL的基礎上構建的實現(xiàn)更多功能的ACL，主要有3種類型：動態(tài)ACL、自反ACL和基于時間的ACL。①動態(tài)ACL：除非使用Telnet連接路由器并通過身份驗證，否則要求通過路由器的用戶都會遭到拒絕。②自反ACL：允許出站流量，而入站流量只能是對路由器內部發(fā)起的會話的響應。③基于時間的ACL：允許根據(jù)一周以及一天內的時間來控制訪問。4.4訪問控制列表網絡設備配置與調試案例教程4.4.2項目設計

作為一家公司的網絡管理員，可以通過訪問控制列表來實現(xiàn)公司網絡的安全策略。實現(xiàn)192.168.10.0網段無法ping通172.16.10.0網段

實現(xiàn)192.168.10.0網段中的Client1可以訪問172.16.10.0網段中的Server1web服務

1.拓撲設計

本項目的網絡拓撲如圖所示。

4.4訪問控制列表網絡設備配置與調試案例教程2.IP地址設計

為了簡化網絡實現(xiàn)而設計的設備接口地址方案見表。設備接口IP地址子網掩碼默認網關PC2網卡192.168.10.1255.255.255.0192.168.10.254PC3網卡172.16.10.1255.255.255.0172.16.10.254Client1網卡192.168.10.2255.255.255.0192.168.10.254Server1網卡172.16.10.1255.255.255.0172.16.10.254AR1G0/0/112.1.1.1255.255.255.0

AR2G0/0/012.1.1.2255.255.255.0

AR1G0/0/0192.168.10.254255.255.255.0

AR2G0/0/1G172.16.10.254255.255.255.0設備接口IP地址表4.4訪問控制列表網絡設備配置與調試案例教程4.4.3項目實施1.高級ACL

任務1：連接網絡并配置路由器，使網絡暢通。①按照拓撲圖連接網絡。②使用ping命令檢驗網絡連通性。

在進行ACL配置之前，先測試從PC1到PC3（或R3的G0/1接口）的連通性，連通性測試成功后才能應用ACL。4.4訪問控制列表網絡設備配置與調試案例教程

任務2：為路由器配置高級ACL。

要在路由器上配置ACL，必須先創(chuàng)建ACL，然后在接口上應用ACL。

①在ARB上創(chuàng)建并應用ACL3000。Aclnumber3000rule5denyicmpsource192.168.10.00.0.0.255destination172.16.10.20分類編號范圍參數(shù)基本ACL2000—2999源IP地址等高級ACL3000—3999源IP地址、目的地址、源端口、目的端口等二層ACL4000—4999源MAC地址、目的MAC地址、以太幀協(xié)議類型等?將ACL應用到接口或VTY線路上?？梢杂胻raffic-filter命令將ACL應用到具體的接口上以控制通過接口的流量，語法格式為：interfaceGigabitEthernet0/0/1ipaddress172.16.10.254255.255.255.0traffic-filteroutboundacl3000

ACL語句的順序應該從最具體到最概括，如ACL3000中拒絕網絡192.168.10.0/24的語句應在允許所有其他流量的語句（permitany）之前，否則拒絕語句將失去存在的必要。

想一想，是否可以將ACL1應用到R3的f0/0接口出方向上為什么？4.4訪問控制列表網絡設備配置與調試案例教程任務3：檢驗和測試ACL。

ping測試。

在

PC2上ping服務器server1（172.16.10.2），結果如圖4-15：

因為只限制了ICMP的ping協(xié)議，所以192.168.10.0段地址無法ping通172.16.10.0的任意地址。4.4訪問控制列表網絡設備配置與調試案例教程

使用Client1訪問SERVER1的web服務，結果如圖所示：

使用172.16.10.0段任意地址可以ping通192.168.10.0的任意地址，結果如圖所示：4.4訪問控制列表網絡設備配置與調試案例教程4.4.4項目總結與文檔1.項目總結本項目介紹了如何在公司網絡中通過訪問控制列表ACL來實現(xiàn)安全策略。ACL是一種路由器配置腳本，它根據(jù)某些規(guī)則來控制路由器應該允許還是拒絕數(shù)據(jù)包通過，從而達到訪問控制的目的。

標準ACL最簡單，只根據(jù)數(shù)據(jù)包的源IP地址進行過濾，其表號范圍是1~99或1300-1999；擴展ACL則根據(jù)源IP地址、目的IP地址、源端口、目的端口等過濾數(shù)據(jù)包，并可依據(jù)協(xié)議類型信息進行更為精確的控制，其表號范圍是100-199或2000-2699。命名ACL包括標準命名ACL和擴展命名ACL兩種，定義和修改起來比數(shù)字式的ACL更方便靈活。

復雜ACL主要有3種類型：動態(tài)ACL、自反ACL和基于時間的ACL?；跁r間的ACL是在標準ACL或擴展ACL后應用時間段選項（time-range）以實現(xiàn)基于