《銳捷RCNA路由與交換技術(shù)實(shí)戰(zhàn)》 課件 項(xiàng)目12 基于基本ACL的網(wǎng)絡(luò)訪問控制

項(xiàng)目12基于基本ACL的網(wǎng)絡(luò)訪問控制項(xiàng)目描述相關(guān)知識(shí)項(xiàng)目規(guī)劃設(shè)計(jì)項(xiàng)目實(shí)施項(xiàng)目驗(yàn)證項(xiàng)目拓展目錄項(xiàng)目描述項(xiàng)目描述Jan16公司有開發(fā)部、市場部和財(cái)務(wù)部，各有計(jì)算機(jī)若干臺(tái)、財(cái)務(wù)系統(tǒng)服務(wù)器1臺(tái)，使用三層交換機(jī)進(jìn)行局域網(wǎng)組建，并通過路由器連接至外部網(wǎng)絡(luò)。出于數(shù)據(jù)安全的考慮，需要在交換機(jī)上進(jìn)行訪問控制。項(xiàng)目拓?fù)淙鐖D12-1所示。具體要求如下：（1）SW上為開發(fā)部、市場部、財(cái)務(wù)部及財(cái)務(wù)系統(tǒng)分別創(chuàng)建了VLAN10、20、30、40；（2）要求財(cái)務(wù)系統(tǒng)服務(wù)器僅允許財(cái)務(wù)部進(jìn)行訪問；（3）財(cái)務(wù)系統(tǒng)服務(wù)器僅在內(nèi)網(wǎng)使用，不允許訪問外部網(wǎng)絡(luò)；（4）測試計(jì)算機(jī)、交換機(jī)和路由器的IP和接口信息如拓?fù)渌?。?xiàng)目描述圖12-1網(wǎng)絡(luò)拓?fù)鋱D相關(guān)知識(shí)12.2.1ACL的基本概念訪問控制列表ACL（AccessControlList）是由一系列規(guī)則組成的集合，ACL通過這些規(guī)則對報(bào)文進(jìn)行分類，從而使設(shè)備可以對不同類報(bào)文進(jìn)行不同的處理。一個(gè)ACL通常由若干條“deny｜permit”語句組成，每條語句就是該ACL的一條規(guī)則，每條語句中的“deny｜permit”就是與這條規(guī)則相對應(yīng)的處理動(dòng)作。處理動(dòng)作“permit”的含義是“允許”，處理動(dòng)作“deny”的含義是“拒絕”。特別需要說明的是，ACL技術(shù)總是與其他技術(shù)結(jié)合在一起使用的，因此，所結(jié)合的技術(shù)不同，“允許（permit）”及“拒絕（deny）”的內(nèi)涵及作用也會(huì)不同。例如，當(dāng)ACL技術(shù)與流量過濾技術(shù)結(jié)合使用時(shí)，“permit”就是“允許通行”的意思，“deny”就是“拒絕通行”的意思。12.2.1ACL的基本概念A(yù)CL是一種應(yīng)用非常廣泛的網(wǎng)絡(luò)安全技術(shù)，配置了ACL的網(wǎng)絡(luò)設(shè)備的工作過程可以分為以下兩個(gè)步驟。（1）根據(jù)事先設(shè)定好的報(bào)文匹配規(guī)則對經(jīng)過該設(shè)備的報(bào)文進(jìn)行匹配。（2）對匹配的報(bào)文執(zhí)行事先設(shè)定好的處理動(dòng)作。注意：這些匹配規(guī)則及相應(yīng)的處理動(dòng)作是根據(jù)具體的網(wǎng)絡(luò)需求而設(shè)定的。處理動(dòng)作的不同以及匹配規(guī)則的多樣性，使得ACL可以發(fā)揮出各種各樣的功效。12.2.2ACL分類根據(jù)ACL所具備的特性不同，我們可以將ACL分成不同的類型。分別是IP標(biāo)準(zhǔn)ACL、IP擴(kuò)展ACL、MAC擴(kuò)展ACL、專家級(jí)ACL、自定義ACL（ACL80）、IPV6ACL，其中應(yīng)用最為廣泛的是IP標(biāo)準(zhǔn)ACL和IP擴(kuò)展ACL。在網(wǎng)絡(luò)設(shè)備上配置ACL時(shí)，每一個(gè)ACL都需要分配一個(gè)編號(hào)，稱為ACL編號(hào)。IP標(biāo)準(zhǔn)ACL的編號(hào)范圍為1-99，1300-1999；IP擴(kuò)展ACL的編號(hào)范圍為100-199，2000-2699。配置ACL時(shí)，ACL的類型應(yīng)該與相應(yīng)的編號(hào)范圍保持一致。各種類型ACL的區(qū)別，如表12-1所示。12.2.2ACL分類ACL類型編號(hào)范圍規(guī)則制訂的主要依據(jù)1-99，1300-1999僅匹配數(shù)據(jù)包的源IP地址IP擴(kuò)展ACL100-199，2000-2699報(bào)文的源IP地址、目的IP地址、報(bào)文優(yōu)先級(jí)、IP承載的協(xié)議類型及特性等三、四層信息。MAC擴(kuò)展ACL700-799報(bào)文的源MAC地址、目的MAC地址、802.1p優(yōu)先級(jí)、鏈路層協(xié)議類型等二層信息專家級(jí)ACL2700-2899報(bào)文的IP擴(kuò)展可匹配內(nèi)容，MAC擴(kuò)展可匹配內(nèi)容，VID，innerVID，innerCOS。表12-1ACL的分類12.2.3標(biāo)準(zhǔn)ACL的命令格式標(biāo)準(zhǔn)ACL只能基于IP報(bào)文的源IP地址、報(bào)文分片標(biāo)記和時(shí)間段信息來定義規(guī)則。配置基本ACL規(guī)則的命令具有如下結(jié)構(gòu)。access-listaccess-list-numberstandard{permit|deny}{any|sourcesource-wildcard}[time-rangetime-range-name]12.2.3標(biāo)準(zhǔn)ACL的命令格式對命令中各個(gè)組成項(xiàng)的解釋如下。（1）access-list-number：ACL編號(hào)，標(biāo)準(zhǔn)ACL編號(hào)為1~99和1300~1999。（2）permit|deny:permit表示允許數(shù)據(jù)包通過，deny表示拒絕數(shù)據(jù)包通過。（3）any: 表示任何源地址。（4）source：檢測源IP地址或網(wǎng)段。（5）source-wildcard：檢測源IP地址的反向子網(wǎng)掩碼。（6）time-rangetime-range-name：規(guī)則生效的時(shí)間范圍，指定時(shí)間范圍名稱。項(xiàng)目規(guī)劃設(shè)計(jì)項(xiàng)目規(guī)劃設(shè)計(jì)三層交換機(jī)的訪問控制策略主要是通過ACL訪問控制列表對不同VLAN的IP地址段進(jìn)行流量匹配控制。標(biāo)準(zhǔn)ACL可以對IP包進(jìn)行源地址匹配，即檢查通過IP包中的源地址信息，如果源地址與ACL中的規(guī)則相匹配，就執(zhí)行放行或攔截的操作。為了讓其它部門無法訪問財(cái)務(wù)系統(tǒng)服務(wù)器，可以在三層交換機(jī)中配置匹配財(cái)務(wù)部IP地址段、拒絕其他所有IP的ACL，并在G0/7接口的OUT方向上應(yīng)用；同時(shí)在添加拒絕財(cái)務(wù)部系統(tǒng)服務(wù)器IP地址段的ACL，在G0/8接口的OUT方向上應(yīng)用，組織財(cái)務(wù)部系統(tǒng)服務(wù)器訪問外部網(wǎng)絡(luò)。外部網(wǎng)絡(luò)連接方面，三層交換機(jī)配置默認(rèn)路由指向出口路由器。出口路由器可根據(jù)ISP接入方式采用對應(yīng)的路由協(xié)議，這里不作描述。項(xiàng)目規(guī)劃設(shè)計(jì)配置步驟如下：（1）配置交換機(jī)基礎(chǔ)環(huán)境。（2）配置路由器基礎(chǔ)環(huán)境。（3）配置基本ACL訪問控制。（4）配置各部門計(jì)算機(jī)的IP地址。項(xiàng)目規(guī)劃設(shè)計(jì)本項(xiàng)目的VLAN規(guī)劃、IP地址規(guī)劃、端口規(guī)劃見表12-2~表12-4。VLANIDIP地址段用途VLAN10192.168.10.0/24開發(fā)部PCVLAN20192.168.20.0/24市場部PCVLAN30192.168.30.0/24財(cái)務(wù)部PCVLAN40192.168.40.0/24財(cái)務(wù)系統(tǒng)SV1VLAN50192.168.1.0/24連接外部網(wǎng)絡(luò)表12-2VLAN規(guī)劃項(xiàng)目規(guī)劃設(shè)計(jì)設(shè)備接口IP地址網(wǎng)關(guān)R1G0/0192.168.1.1/24-R1G0/110.10.10.1/24-SWVLAN10192.168.10.254/24-SWVLAN20192.168.20.254/24-SWVLAN30192.168.30.254/24-SWVLAN40192.168.40.254/24-SWVLAN50192.168.1.254/24-財(cái)務(wù)系統(tǒng)服務(wù)器SV1-192.168.40.1/24192.168.40.254開發(fā)部PC-192.168.10.1/24192.168.10.254市場部PC-192.168.20.1/24192.168.20.254財(cái)務(wù)部PC-192.168.30.1/24192.168.30.254表12-3IP地址規(guī)劃項(xiàng)目規(guī)劃設(shè)計(jì)本端設(shè)備本端接口對端設(shè)備對端接口SWG0/1~2開發(fā)部PC-SWG0/3~4市場部PC-SWG0/5~6財(cái)務(wù)部PC-SWG0/7財(cái)務(wù)系統(tǒng)SV1-SWG0/8R1G0/0R1G0/0SWG0/8R1G0/1Internet-財(cái)務(wù)系統(tǒng)服務(wù)器SV1-SWG0/7開發(fā)部PC-SWG0/1~2市場部PC-SWG0/3~4財(cái)務(wù)部PC-SWG0/5~6表12-4端口規(guī)劃項(xiàng)目實(shí)施任務(wù)12-1配置交換機(jī)基礎(chǔ)環(huán)境任務(wù)描述根據(jù)項(xiàng)目規(guī)劃設(shè)計(jì)對交換機(jī)進(jìn)行基礎(chǔ)配置。任務(wù)實(shí)施（1）在交換機(jī)SW上為各部門創(chuàng)建相應(yīng)的VLAN，配置命令如下。SW>enable//進(jìn)入特權(quán)模式SW#config//進(jìn)入全局模式SW(config)#hostnameSW//將交換機(jī)名稱更改為SWSW(config)#vlanrange10,20,30,40,50//批量創(chuàng)建VLAN10、VLAN20、VLAN30、VLAN40、VLAN50任務(wù)12-1配置交換機(jī)基礎(chǔ)環(huán)境（2）在交換機(jī)SW上將各部門計(jì)算機(jī)所使用的端口類型轉(zhuǎn)換為ACCESS模式，并設(shè)置端口VLANID，將端口劃分到相應(yīng)的VLAN，配置命令如下。SW(config)#interfacerangegigabitEthernet0/1-2//批量進(jìn)入端口gigabitEthernet0/1到gigabitEthernet0/2SW(config-if-range)#switchportmodeaccess//修改端口類型為Assess模式SW(config-if-range)#switchportaccessvlan10//配置端口的默認(rèn)VALN為VLAN10SW(config-if-range)#exitSW(config)#interfacerangegigabitEthernet0/3-4SW(config-if-range)#switchportmodeaccessSW(config-if-range)#switchportaccessvlan20SW(config-if-range)#exitSW(config)#interfacerangegigabitEthernet0/5-6SW(config-if-range)#switchportmodeaccessSW(config-if-range)#switchportaccessvlan30SW(config-if-range)#exit任務(wù)12-1配置交換機(jī)基礎(chǔ)環(huán)境SW(config)#interfacegigabitEthernet0/7SW(config-if-GigabitEthernet0/7)#switchportmodeaccessSW(config-if-GigabitEthernet0/7)#switchportaccessvlan40SW(config-if-GigabitEthernet0/7)#exitSW(config)#interfacegigabitEthernet0/8SW(config-if-GigabitEthernet0/8)#switchportmodeaccessSW(config-if-GigabitEthernet0/8)#switchportaccessvlan50SW(config-if-GigabitEthernet0/8)#exit任務(wù)12-1配置交換機(jī)基礎(chǔ)環(huán)境（3）在交換機(jī)SW上配置VLAN接口的IP地址，作為各部門的網(wǎng)關(guān)，配置命令如下。SW(config)#interfacevlan10//創(chuàng)建VLAN接口并進(jìn)入VLAN接口模式SW(config-if-VLAN10)#ipaddress192.168.10.25424//配置IP地址為192.168.10.254，子網(wǎng)掩碼24位SW(config-if-VLAN10)#exitSW(config)#interfacevlan20SW(config-if-VLAN20)#ipaddress192.168.20.25424SW(config-if-VLAN20)#exitSW(config)#interfacevlan30SW(config-if-VLAN30)#ipaddress192.168.30.25424SW(config-if-VLAN30)#exitSW(config)#interfacevlan40SW(config-if-VLAN40)#ipaddress192.168.40.25424SW(config-if-VLAN40)#exitSW(config)#interfacevlan50SW(config-if-VLAN50)#ipaddress192.168.1.25424SW(config-if-VLAN50)#exit任務(wù)12-1配置交換機(jī)基礎(chǔ)環(huán)境（4）在交換機(jī)SW上配置默認(rèn)路由，配置命令如下。SW(config)#iproute0.0.0.00.0.0.0192.168.1.1//配置默認(rèn)路由，指定下一跳為192.168.1.1任務(wù)12-1配置交換機(jī)基礎(chǔ)環(huán)境任務(wù)驗(yàn)證（1）在SW上使用【showvlan】和【showinterfaceswitchport】命令查看vlan配置信息，配置命令如下。SW(config)#showvlanVLANNameStatusPorts--------------------------------------------------------------------------------------1VLAN0001STATICGi0/010VLAN0010STATICGi0/1,Gi0/220VLAN0020STATICGi0/3,Gi0/430VLAN0030STATICGi0/5,Gi0/640VLAN0040STATICGi0/750VLAN0050STATICGi0/8SW(config)#showinterfaceSwitchportInterfaceSwitchportModeAccessNativeProtectedVLANlists-------------------------------------------------------------------------------------GigabitEthernet0/0enabledACCESS11DisabledALLGigabitEthernet0/1enabledACCESS101DisabledALL任務(wù)12-1配置交換機(jī)基礎(chǔ)環(huán)境可以看到，SW上已經(jīng)創(chuàng)建了VLAN10、VLAN20、VLAN30、VLAN40和VLAN50，并將端口指定給了相應(yīng)VLAN。GigabitEthernet0/2enabledACCESS101DisabledALLGigabitEthernet0/3enabledACCESS201DisabledALLGigabitEthernet0/4enabledACCESS201DisabledALLGigabitEthernet0/5enabledACCESS301DisabledALLGigabitEthernet0/6enabledACCESS301DisabledALLGigabitEthernet0/7enabledACCESS401DisabledALLGigabitEthernet0/8enabledACCESS501DisabledALL任務(wù)12-1配置交換機(jī)基礎(chǔ)環(huán)境（2）在SW上使用【showipinterfacebrief】命令查看接口IP地址信息，配置命令如下?？梢钥吹?，SW上已經(jīng)為5個(gè)Vlan接口都配置了IP地址。SW(config)#showIPinterfacebriefInterfaceIP-Address(Pri)IP-Address(Sec)StatusProtocolVLAN1noaddressnoaddress

updownVLAN10192.168.10.254/24noaddressup

upVLAN20192.168.20.254/24noaddressup

upVLAN30192.168.30.254/24noaddressupupVLAN40192.168.40.254/24noaddressup

upVLAN50192.168.1.254/24noaddress

up

up任務(wù)12-2配置路由器基礎(chǔ)環(huán)境任務(wù)描述根據(jù)項(xiàng)目規(guī)劃設(shè)計(jì)對各臺(tái)路由器進(jìn)行配置。任務(wù)實(shí)施（1）在路由器R1接口上配置IP地址，配置命令如下。Ruijie>enableRuijie#configRuijie(config)#hostnameR1R1(config)#interfacegigabitEthernet0/0R1(config-if-GigabitEthernet0/0)#ipaddress192.168.1.124R1(config-if-GigabitEthernet0/0)#exit任務(wù)12-2配置路由器基礎(chǔ)環(huán)境（2）在路由器R1上配置靜態(tài)路由，配置命令如下。R1(config)#iproute192.168.10.0255.255.255.0192.168.1.254R1(config)#iproute192.168.20.0255.255.255.0192.168.1.254R1(config)#iproute192.168.30.0255.255.255.0192.168.1.254R1(config)#iproute192.168.40.0255.255.255.0192.168.1.254任務(wù)12-2配置路由器基礎(chǔ)環(huán)境任務(wù)驗(yàn)證（1）在R1上使用【showipinterfacebrief】命令查看接口IP信息，配置命令如下?？梢钥吹揭呀?jīng)在接口上配置了IP地址。R1(config)#showipinterfacebriefInterface

IP-Address(Pri)

IP-Address(Sec)

StatusProtocolGigabitEthernet0/0

192.168.1.1/24

noaddress

upupGigabitEthernet0/1

10.10.10.1/24

noaddress

upupVLAN1

noaddress

noaddress

updown任務(wù)12-2配置路由器基礎(chǔ)環(huán)境（2）在路由器R1上使用【showiproute】命令查看路由表配置信息，配置命令如下。R1(config)#showiprouteCodes:C-Connected,L-Local,S-StaticR-RIP,O-OSPF,B-BGP,I-IS-IS,V-OverflowrouteN1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2E1-OSPFexternaltype1,E2-OSPFexternaltype2SU-IS-ISsummary,L1-IS-ISlevel-1,L2-IS-ISlevel-2IA-Interarea,EV-BGPEVPN,A-ArptohostLA-Localaggregateroute*-candidatedefault任務(wù)12-2配置路由器基礎(chǔ)環(huán)境可以看到配置的靜態(tài)路由已經(jīng)生效。GatewayoflastresortisnosetC10.10.10.0/24isdirectlyconnected,GigabitEthernet0/1C10.10.10.1/32islocalhost.C192.168.1.0/24isdirectlyconnected,GigabitEthernet0/0C192.168.1.1/32islocalhost.S192.168.10.0/24[1/0]via192.168.1.254S192.168.20.0/24[1/0]via192.168.1.254S192.168.30.0/24[1/0]via192.168.1.254S192.168.40.0/24[1/0]via192.168.1.254任務(wù)12-3配置標(biāo)準(zhǔn)ACL控制訪問任務(wù)描述根據(jù)項(xiàng)目規(guī)劃設(shè)計(jì)在交換機(jī)SW上配置ACL控制訪問。任務(wù)實(shí)施（1）在交換機(jī)SW上配置ACL規(guī)則，允許數(shù)據(jù)包源網(wǎng)段為192.168.30.0的報(bào)文通過。將規(guī)則應(yīng)用到G0/7的端口上，配置命令如下。SW(config)#ipaccess-liststandard20//創(chuàng)建一個(gè)編號(hào)20的基本ACLSW(config-std-nacl)#permit192.168.30.00.0.0.255//允許源地址網(wǎng)段為192.168.30.0/24的報(bào)文通過SW(config-std-nacl)#denyany//拒絕所有訪問SW(config-std-nacl)#exitSW(config)#interfacegigabitEthernet0/7SW(config-if-GigabitEthernet0/7)#ipaccess-group20out//在接口出方向基于ACL20進(jìn)行報(bào)文過濾SW(config-if-GigabitEthernet0/7)#exit任務(wù)12-3配置標(biāo)準(zhǔn)ACL控制訪問（2）在交換機(jī)SW上配置ACL規(guī)則，拒絕數(shù)據(jù)包源網(wǎng)段為192.168.40.0的報(bào)文通過。將規(guī)則應(yīng)用到G0/8的端口上，配置命令如下。SW(config)#ipaccess-liststandard21SW(config-std-nacl)#deny192.168.40.00.0.0.255SW(config-std-nacl)#permitanySW(config-std-nacl)#exitSW(config)#interfacegigabitEthernet0/8SW(config-if-GigabitEthernet0/8)#ipaccess-group21outSW(config-if-GigabitEthernet0/8)#exit任務(wù)12-3配置標(biāo)準(zhǔn)ACL控制訪問任務(wù)驗(yàn)證在SW上使用【showaccess-lists】查看訪問控制列表配置，配置命令如下?？梢钥吹揭呀?jīng)根據(jù)規(guī)劃配置了訪問控制列表。SW(config)#showaccess-listipaccess-liststandard2010permit192.168.30.00.0.0.25520denyanyipaccess-liststandard2110deny192.168.40.00.0.0.25520permitany任務(wù)12-4配置各部門計(jì)算機(jī)的IP地址任務(wù)描述根據(jù)項(xiàng)目規(guī)劃設(shè)計(jì)中的IP地址規(guī)劃表為各臺(tái)計(jì)算機(jī)配置IP地址。任務(wù)實(shí)施財(cái)務(wù)系統(tǒng)服務(wù)器的IP地址配置結(jié)果如圖12-2所示，同理完成其他的PC的IP地址配置。圖12-2財(cái)務(wù)系統(tǒng)服務(wù)器IP配置圖任務(wù)12-4配置各部門計(jì)算機(jī)的IP地址任務(wù)驗(yàn)證（1）在財(cái)務(wù)部服務(wù)器上使用【ipconfig】命令查看IP地址，配置命令如下。可以看到接口已配置了IP地址。（2）在其他PC上同樣使用【ipconfig】命令查看IP地址。C:\Users\Administrator>ipconfig本地連接:連接特定的DNS后綴.......:IPv4地址............:192.168.40.1(首選)子網(wǎng)掩碼............:255.255.255.0默認(rèn)網(wǎng)關(guān).............:192.168.40.254項(xiàng)目驗(yàn)證項(xiàng)目驗(yàn)證（1）通過【Ping】命令，測試各部門內(nèi)部通信息的情況。使用開發(fā)部PCPing市場部及財(cái)務(wù)部的PC，配置命令如下。C:\Users\Administrator>ping192.168.20.1正在Ping192.168.20.1具有32字節(jié)的數(shù)據(jù):來自192.168.20.1的回復(fù):字節(jié)=32時(shí)間=2msTTL=127來自192.168.20.1的回復(fù):字節(jié)=32時(shí)間=1msTTL=127來自192.168.20.1的回復(fù):字節(jié)=32時(shí)間=1msTTL=127來自192.168.20.1的回復(fù):字節(jié)=32時(shí)間=1msTTL=127192.168.20.1的Ping統(tǒng)計(jì)信息:數(shù)據(jù)包:已發(fā)送=4，已接收=4，丟失=0(0%丟失)，往返行程的估計(jì)時(shí)間(以毫秒為單位):最短=1ms，最長=2ms，平均=1ms項(xiàng)目驗(yàn)證結(jié)果顯示開發(fā)部PC可以與市場部和財(cái)務(wù)部的PC通信。C:\Users\Administrator>ping192.168.30.1正在Ping192.168.30.1具有32字節(jié)的數(shù)據(jù):來自192.168.30.1的回復(fù):字節(jié)=32時(shí)間=1msTTL=127來自192.168.30.1的回復(fù):字節(jié)=32時(shí)間=1msTTL=127來自192.168.30.1的回復(fù):字節(jié)=32時(shí)間=1msTTL=127來自192.168.30.1的回復(fù):字節(jié)=32時(shí)間=1msTTL=127192.168.30.1的Ping統(tǒng)計(jì)信息:數(shù)據(jù)包:已發(fā)送=4，已接收=4，丟失=0(0%丟失)，往返行程的估計(jì)時(shí)間(以毫秒為單位):最短=1ms，最長=1ms，平均=1ms項(xiàng)目驗(yàn)證（2）測試各部門與財(cái)務(wù)服務(wù)器的連接性。①使用開發(fā)部的計(jì)算機(jī)Ping財(cái)務(wù)服務(wù)器，配置命令如下。結(jié)果顯示，開發(fā)部計(jì)算機(jī)無法與財(cái)務(wù)服務(wù)器通信。C:\Users\Administrator>ping192.168.40.1正在Ping192.168.40.1具有32字節(jié)的數(shù)據(jù):請求超時(shí)。請求超時(shí)。請求超時(shí)。請求超時(shí)。192.168.40.1的Ping統(tǒng)計(jì)信息:數(shù)據(jù)包:已發(fā)送=4，已接收=0，丟失=4(100%丟失)，項(xiàng)目驗(yàn)證②使用財(cái)務(wù)部的計(jì)算機(jī)Ping財(cái)務(wù)系統(tǒng)，配置命令如下。結(jié)果顯示，財(cái)務(wù)部PC可以與財(cái)務(wù)服務(wù)器通信。C:\Users\Administrator>ping192.168.40.1正在Ping192.168.40.1具有32字節(jié)的數(shù)據(jù):來自192.168.40.1的回復(fù):字節(jié)=32時(shí)間=2msTTL=127來自192.168.40.1的回復(fù):字節(jié)=32時(shí)間=2msTTL=127來自192.168.40.1的回復(fù):字節(jié)=32時(shí)間=2msTTL=127來自192.168.40.1的回復(fù):字節(jié)=32時(shí)間=1msTTL=127192.168.40.1的Ping統(tǒng)計(jì)信息:數(shù)據(jù)包:已發(fā)送=4，已接收=4，丟失=0(0%丟失)，往返行程的估計(jì)時(shí)間(以毫秒為單位):最短=1ms，最長=2ms，平均=1ms項(xiàng)目驗(yàn)證（3）通過【Ping】命令，測試各部門PC及財(cái)務(wù)系統(tǒng)服務(wù)器是否能夠訪問外網(wǎng)。①使用開發(fā)部的計(jì)算機(jī)Ping外部網(wǎng)絡(luò)，配置命令如下。結(jié)果顯示，其他部門均能訪問外部網(wǎng)絡(luò)C:\Users\Administrator>ping10.10.10.1正在Ping10.10.10.1具有32字節(jié)的數(shù)據(jù):來自10.10.10.1的回復(fù):字節(jié)=32時(shí)間=6msTTL=63來自10.10.10.1的回復(fù):字節(jié)=32時(shí)間=2msTTL=63來自10.10.10.1的回復(fù):字節(jié)=32時(shí)間=1msTTL=63來自10.10.10.1的回復(fù):字節(jié)=32時(shí)間=2msTTL=6310.10.10.1的Ping統(tǒng)計(jì)信息:數(shù)據(jù)包:已發(fā)送=4，已接收=4，丟失=0(0%丟失)，往返行程的估計(jì)時(shí)間(以毫秒為單位):最短=1ms，最長=6ms，平均=2ms項(xiàng)目驗(yàn)證②使用財(cái)務(wù)系統(tǒng)服務(wù)器Ping外部網(wǎng)絡(luò)，配置命令如下。結(jié)果顯示，財(cái)務(wù)系統(tǒng)服務(wù)器無法訪問外部網(wǎng)絡(luò)。C:\Users\Administrator>ping10.10.10.1正在Ping10.10.10.1具有32字節(jié)的數(shù)據(jù):請求超時(shí)。請求超時(shí)。請求超時(shí)。請求超時(shí)。192.168.40.1的Ping統(tǒng)計(jì)信息:數(shù)據(jù)包:已發(fā)送=4，已接收=0，丟失=4(100%丟失)，，項(xiàng)目拓展一、理論題1.二層ACL的編號(hào)范圍是（）？A.1-99，1300-1999B.100-199，2000-2699C.700-799D.2700-2899一、理論題2.下列說法正確的是()？A.缺省的ACL匹配順序是從上往下(rul