




版權說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權,請進行舉報或認領
文檔簡介
1、項目十二 安全策略與數(shù)據(jù)流量過濾,1.教學目標 掌握網(wǎng)絡安全策略布置原則,掌握IP標準及擴展訪問控制列表配置技能,能夠根據(jù)實際需求準確配置IP訪問控制列表,具體如下: (1)了解IP標準及擴展訪問控制列表的功能及用途 (2)掌握IP標準訪問控制列表配置技能 (3)掌握IP擴展訪問控制列表配置技能,2.工作任務 根據(jù)客戶工作任務的具體要求,配置IP標準或擴展訪問控制列表,實現(xiàn)網(wǎng)絡數(shù)據(jù)流量控制。,模塊1 IP標準訪問控制列表的建立及應用,. 教學目標 了解IP標準訪問控制列表的功能及用途 掌握路由器IP標準訪問控制列表配置技能 掌握交換機IP標準訪問控制列表配置技能,2. 工作任務 你是學校網(wǎng)絡管
2、理員,學校的財務處、教師辦公室和校辦企業(yè)財務科分屬不同的3個網(wǎng)段,三個部門之間通過路由器進行信息傳遞,為了安全起見,學校領導要求你對網(wǎng)絡的數(shù)據(jù)流量進行控制,實現(xiàn)校辦企業(yè)財務科的主機可以訪問財務處的主機,但是教師辦公室主機不能訪問財務處主機。,3. 相關實踐知識 首先對兩路由器進行基本配置,實現(xiàn)三個網(wǎng)段可以相互訪問;然后對距離控制目的地址較近的路由器RouterB配置IP標準訪問控制列表,允許網(wǎng)段(校辦企業(yè)財務科)主機發(fā)出的數(shù)據(jù)包通過,不允許網(wǎng)段(教師辦公室)主機發(fā)出的數(shù)據(jù)包通過,最后將這一策略加到路由器RouterB的Fa 0端口,如圖12.1所示。
3、,圖12.1路由器IP標準訪問控制列表,第1步:基本配置 路由器RouterA: R enable R #configure terminal R(config)#hostname RouterA RouterA (config)# line vty 0 4 RouterA (config-line)#login RouterA (config-line)#password 100 RouterA (config-line)#exit RouterA (config)# enable password 100 RouterA (config)#interface fastethernet 0
4、RouterA (config-if)#ip address RouterA (config-if)#no shutdown RouterA (config-if)#Exit,RouterA (config)#interface fastethernet 1 RouterA (config-if)#ip address RouterA (config-if)#no shutdown RouterA (config-if)#Exit RouterA (config)#interface fa
5、stethernet 2 RouterA (config-if)#ip address RouterA (config-if)#no shutdown RouterA (config-if)#Exit RouterA (config)#ip route 路由器RouterB同理配置,第2步:在路由器RouterB上配置IP標準訪問控制列表 RouterB (config)#access-list 1 deny 55 Router
6、B (config)#access-list 1 permit 55 驗證測試 RouterB #show access-list 1 第3步:應用在路由器RouterB的Fa 0接口輸出方向上 RouterB (config)#interface fastethernet 0 RouterB (config-if)#ip access-group 1 out 驗證測試 RouterB #show ip interface fastethernet 0,4. 相關理論知識 ACL概述 訪問控制列表(ACL)是在交換機或路由器上定義一些規(guī)則,對經(jīng)過網(wǎng)絡設備的
7、數(shù)據(jù)包根據(jù)一定規(guī)則進行過濾。 ACL分類 (1)編號訪問控制列表:在路由器配置的訪問控制列表是由編號來命名的,包括IP標準訪問控制列表和IP擴展訪問控制列表。 (2)命名訪問控制列表:在三層交換機配置的訪問控制列表是由字符串名字來命令的,包括IP標準訪問控制列表和IP擴展訪問控制列表。,編號標準訪問控制列表 (1)標準訪問控制列表 在路由器上建立的訪問控制列表,其編號取值范圍為199之間整數(shù)值,只根據(jù)源IP地址過濾流量。 在標準或擴展訪問列表的末尾,總有一個隱含的Deny all。這意味著如果數(shù)據(jù)包源地址與任何允許語句不匹配,則隱含的Deny all將會禁止該數(shù)據(jù)包通過。 (2)定義訪問控制列
8、表 R (config)#access-list access-list number permit/deny source source mask 其中: access-list number :訪問列表序號,范圍是1-99; Permit/deny:允許/禁止?jié)M足條件的數(shù)據(jù)包通過; Source :過濾數(shù)據(jù)包的源IP地址; Source mask: 通配屏蔽碼,1:不檢查位,0:必須匹配位。,【例12.3】定義訪問控制列表1拒絕特定主機的流量,但允許其它的所有主機。 R(config)#access-list 1 deny host R(c
9、onfig)#access-list 1 permit any (3)應用訪問控制列表 訪問控制列表需要應用到路由器的一個接口上,應用到一個接口上可選擇入棧(IN)或出棧(OUT)二個方向。 【例12.5】將訪問控制列表1應用到路由器的接口fastethernet 0的入棧方向上。 R#configure terminal R(config)# interface fastethernet 0 R(config-if)#ip access-group 1 in R(config-if)#end,命名標準訪問控制列表 在三層交換機上配置命名標準訪問控制列表,也是采用定義ACL、在接口上應用ACL
10、、查看ACL等步驟進行。 第1步:進入Access-list配置模式,用名字來定義一條標準訪問控制列表。 Switch(config)#ip access-list standard name Switch(config-std-nacl)# 第2步:定義訪問控制列表條件 Switch(config-std-nacl)#deny source source-wildcard|host source |any 或permitsource source-wildcard|host source|any。 Switch(config-std-nacl)#exit Switch(config)#,其中
11、:permit允許通過;deny禁止通過; Source 是要被過濾數(shù)據(jù)包的源IP地址; source-wildcard 是通配屏蔽碼,指出該域中哪些位進行匹配,1表示允許這些位不同,0表示這些位必須匹配; Host source代表一臺源主機,其source-wildcard為; any代表任意主機,即source為,source-wildcard為55。 第3步:應用訪問控制列表 Switch(config)#interface vlan n 其中:n是指Vlan n,以實現(xiàn)進入SVI模式 Switch(config-if)#ip ac
12、cess-group namein|out 其中:name為訪問控制列表名稱,in或out為控制接口流量方向。 Switch(config-if)#,【例12.7】在交換機上配置訪問控制列表,實現(xiàn)只禁止網(wǎng)段上主機發(fā)出的數(shù)據(jù),而允許其它任意主機。 Switch#configure terminal Switch(config)# Switch(config)#ip access-list standard deny_2.0 Switch(config-std-nacl)#deny 55 Switch(config-std-nacl)#p
13、ermit any Switch(config-std-nacl)#exit Switch(config)#interface vlan 2 Switch(config-if)#ip access-group deny_2.0 in Switch(config-if)#end Switch#show access-lists,模塊2 IP擴展訪問控制列表的建立及應用,. 教學目標 了解IP擴展訪問控制列表功能及用途 掌握路由器IP擴展訪問控制列表配置技能 掌握交換機IP擴展訪問控制列表配置技能,2. 工作任務 你是學校網(wǎng)絡管理員,學校的網(wǎng)管中心分別架設FTP、Web服務器,其中FTP服務器供教
14、師專用,學生不可使用;Web服務器教師和學生都可訪問。FTP及Web服務器、教師辦公室和學生宿舍分屬不同的3個網(wǎng)段,三個網(wǎng)段之間通過路由器進行信息傳遞,要求你對路由器進行適當設置實現(xiàn)網(wǎng)絡的數(shù)據(jù)流量控制。,3. 相關實踐知識 首先對兩路由器進行基本配置,實現(xiàn)三個網(wǎng)段相互訪問;然后對離控制源地址較近的路由器RouterA配置IP擴展訪問控制列表,不允許網(wǎng)段(學生宿舍)主機發(fā)出的去網(wǎng)段的FTP數(shù)據(jù)包通過,允許網(wǎng)段主機發(fā)出的其它服務數(shù)據(jù)包通過,最后將這一策略加到路由器RouterA的Fa 0端口 ,如圖12.4所示 。,圖12.4路由器
15、IP擴展訪問控制列表,第1步:基本配置 路由器RouterA: Renable R#configure terminal R(config)#hostname RouterA RouterA (config)# line vty 0 4 RouterA (config-line)#login RouterA (config-line)#password 100 RouterA (config-line)#exit RouterA (config)# enable password 100 RouterA (config)#interface fastethernet 0 RouterA (co
16、nfig-if)#ip address RouterA (config-if)#no shutdown RouterA (config-if)#Exit,RouterA (config)#interface fastethernet 1 RouterA (config-if)#ip address RouterA (config-if)#no shutdown RouterA (config-if)#Exit RouterA (config)#interface fastethernet
17、2 RouterA (config-if)#ip address RouterA (config-if)#no shutdown RouterA (config-if)#Exit RouterA (config)#ip route 路由器RouterB同理配置,第2步:在路由器RouterA上配置IP擴展訪問控制列表 拒絕來自 網(wǎng)段去網(wǎng)段的FTP流量通過 RouterA (config)#access-list 101 d
18、eny TCP 55 55 eq FTP 允許其它服務的流量通過 RouterA (config)#access-list 101 permit IP any any 驗證測試 RouterA #show access-list 101 第3步:把訪問控制列表應用在路由器RouterA的Fa 0接口輸入方向上。 RouterA(config)#interface fastethernet 0 RouterA (config-if)#ip access-group 101 in,4. 相關理論知識 編號擴展訪問控制列表
19、擴展編號訪問控制列表同標準編號訪問控制列表一樣也是在路由器上創(chuàng)建的,其編號范圍為100到199之間。擴展IP訪問控制列表可以基于數(shù)據(jù)包源IP地址、目的IP地址、協(xié)議及端口號等信息來過濾流量。 配置編號擴展訪問控制列表 R(config)#access-list listnumber permit | deny protocol source source-wildcard-mask destination destination-wildcard-mask operator operand ,其中: Listnumber:規(guī)則序號,范圍為100-199。 Permit/deny:允許/或禁止?jié)M
20、足該規(guī)則的數(shù)據(jù)包通過 。 protocol :0-255之間協(xié)議號,也可用協(xié)議名(如IP、TCP和UDP。 operator operand :用于指定端口范圍,缺省為全部端口號0-65535,只有 TCP 和 UDP 協(xié)議需要指定端口范圍。 【例12.8】 在路由器R上配置訪問控制列表,實現(xiàn)只允許從網(wǎng)段的主機向網(wǎng)段的主機發(fā)送WWW報文,禁止其它報文通過。 R(config)#Access-list 100 permit tcp 55 55 eq www R(config)#
21、interface fastethernet 0 R(config-if )#ip access-group 100 in R#show access-lists, 命名擴展訪問控制列表 第1步:用名字來定義一個命名擴展訪問控制表,并進入擴展訪問控制列表配置模式 Switch(config)#ip access-listextended name witch(config-ext-nacl)# 第2步:定義訪問控制列表條件 Switch(config-ext-nacl)#deny|permit protocol source source-wildcard|host source |anyop
22、erator port destination destination-wildcard|host destination|anyoperator port。 Switch(config-ext-nacl)#exit Switch(config)#,其中: Deny:禁止通過;Permit:允許通過; Protocol:協(xié)議類型。TCP:tcp;UDP:udp;IP:ip; Source:源IP地址; source-wildcard:源IP地址通配符; Host source:源主機,其source-wildcard為; host destination:目標主機,其destin
23、ation-wildcard為; Any:任意主機,即source或destination為,source-wildcard或destination-wildcard為55; Operator:操作符,只能為eq。 Port:TCP或UDP的端口號,范圍為0-65535。,【例12.9】在交換機上配置訪問控制列表,實現(xiàn)只允許網(wǎng)段上主機訪問IP地址為00的Web服務器,而禁止其它任意主機使用。 Switch(config)#ip access-list extended allow_2.0 Switc
24、h(config-ext-nacl)#permit tcp 55 host 00 eq www Switch(config-ext-nacl)#exit Switch(config)#interface vlan 2 Switch(config-if)#ip access-group allow_2.0 in Switch(config-if)#end,模塊3 基于時間的訪問列表建立與應用,. 教學目標 了解基于時間訪問控制列表的功能及用途 掌握路由器基本時間訪問控制列表配置技能,2. 工作任務 你是某公司的網(wǎng)管,為了保證公司上班時間的
25、工作效率,公司要求上班時間只可以訪問公司的內(nèi)部網(wǎng)站。下班后員工可以隨意放松,訪問網(wǎng)絡不受限制。,3. 相關實踐知識 在路由器上進行基本配置,然后設置基于時間的訪問控制列表,把這個訪問控制列表應用于路由器的Fa 0接口 ,如圖12.5所示。,圖12.5基于時間的訪問控制列表,第1步:基本配置 路由器RouterA: R enable R#configure terminal R(config)#hostname RouterA RouterA (config)# line vty 0 4 RouterA (config-line)#login RouterA (config-line)#pass
26、word 100 RouterA (config-line)#exit RouterA (config)# enable password 100 RouterA (config)#interface fastethernet 0 RouterA (config-if)#ip address RouterA (config-if)#no shutdown,RouterA (config-if)#Exit RouterA (config)#interface fastethernet 1 RouterA (config-if)#ip addre
27、ss RouterA (config-if)#no shutdown RouterA (config-if)#Exit 第2步:配置路由器的時鐘 RouterA#show clock Clock:1987-1-16 5:19:9 重新設置路由器當前時鐘和實際時鐘同步 RouterA(config)#clock set 16:03:40 27 april 2006-4-27 RouterA#show clock Clock:2006-4-27 16:04-9,第3步:定義時間段 RouterA(config)#time-range freeti
28、me 定義絕對時間段 RouterA(config-time-range)#absolute start 8:00 1 jan 2006 end 18:00 30 dec 2010 定義周期性時間段 RouterA(config-time-range)#periodic daily 0:00 to 9:00 RouterA(config-time-range)#periodic daily 17:00 to 23:59 RouterA#show time-range Time-range entry:freetime(inactive) Absolute start 8:00 01 january 2006 end 18:00 30 december 2010 Periodic daily 0:00 to 9:0
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
- 4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
- 6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 探討歷史單元主題教學的有效策略與實踐路徑
- 綠色科技引領未來環(huán)保園區(qū)建設可行性分析
- 迪拜產(chǎn)業(yè)投資新機遇與發(fā)展趨勢分析
- 初中英語跨學科教學的創(chuàng)新策略與實踐路徑
- 2024護士資格證考試應急護理措施試題及答案
- 2025至2030年中國網(wǎng)底滑動法直絲弓托槽行業(yè)投資前景及策略咨詢研究報告
- 韓國羽毛球女單運動員安洗瑩技戰(zhàn)術特征研究
- 2025至2030年中國紅燒排骨罐頭行業(yè)發(fā)展研究報告
- 2025至2030年中國紫銅結(jié)晶器市場分析及競爭策略研究報告
- 2025至2030年中國緊湊型雙級真空擠出機市場現(xiàn)狀分析及前景預測報告
- 教學課件:《數(shù)據(jù)結(jié)構(gòu)》陳越
- 中建臨建工程施工方案完整版
- 梁長虹解讀碘對比劑使用指南第二(呼和浩特)
- 口腔檢查-口腔一般檢查方法(口腔科課件)
- 日間手術管理信息系統(tǒng)建設方案
- 電機原理及拖動第4版習題及答案匯總(邊春元)第1-9章
- 印刷合作合同
- 弗雷德里克 桑格
- 《種子法》知識考試題庫(含答案)
- 慢性病管理培訓講義
- 2022年廣州白云廣附實驗學校入學數(shù)學真卷(二)
評論
0/150
提交評論