网络设备管理与维护实训教程_04网络的安全配置

•主讲人：•授课班级：•时间：首页任务一任务二项目四网络的安全配置项目说明对于许多网络管理员来说，配置路由器的访问控制列表是一种经常性的工作。可以说，路由器的访问控制列表是网络安全保障的第一道关卡。访问列表提供了一种机制，它可以控制和过滤通过路由器的不同接口去往不同方向的信息流。这种机制允许用户使用访问列表来管理信息流，以制定公司内部网络的相关策略。这些策略可以描述安全功能，并且反映流量的优先级别。例如，某个组织可能希望允许或拒绝Internet对内部Web服务器的访问，或者允许内部局域网上一个或多个工作站能够将数据流发到广域网上。这些功能都可以通过访问列表来达到目的。技能目标任务一IP访问列表任务二网络地址转换首页任务一任务二任务一IP访问列表任务描述IPACL（IP访问控制列表或IP访问列表）是实现对流经路由器或交换机的数据包根据一定的规则进行过滤，从而提高网络可管理性和安全性。主要分为标准IP访问列表和扩展IP访问列表两种。其中，标准IP访问列表可以根据数据包的源IP地址定义规则，进行数据包的过滤；扩展IP访问列表可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则，进行数据包的过滤。IPACL是基于接口进行规则的应用，分为入栈应用和出栈应用。入栈应用是指由外部经该接口进入路由器的数据包进行过滤；出栈应用是指路由器从该接口向外转发数据时进行数据包的过滤。IPACL的配置有两种方式：按照编号的访问列表；按照命名的访问列表。标准IP访问列表的编号范围是1～99、1300～1999；扩展IP访问列表的编号范围是100～199、2000～2699。本任务分以下3个训练进行学习。训练1标准访问控制列表的配置。训练2扩展访问控制列表的配置。训练3专家级访问控制列表的配置。首页任务一任务二训练1标准访问控制列表的配置训练描述你是一个公司的网络管理员，公司的经理部、财务部和销售部分属不同的3个网段，3部门之间用路由器进行信息传递，为了安全起见，公司领导要求销售部门不能对财务部进行访问，但经理部可以对财务部进行访问。下面用一个训练来学习路由器标准访问控制列表的配置方法，实验拓扑如图所示。其中，PC1代表经理部的主机；PC2代表销售部的主机；PC3代表财务部的主机。172.16.1.1172.16.3.1172.16.3.2172.16.4.1172.16.4.11PC3172.16.2.8PC2172.16.1.5PC1F0/0Router2172.16.2.1Router1S1/2S1/2F0/0F0/1三台PC的网关分别为：172.16.1.1，172.16.2.1，172.16.4.1子网掩码都为：255.255.255.0首页任务一任务二训练1标准访问控制列表的配置训练要求添加3台计算机分别命名为PC1、PC2、PC3，根据实验拓扑图配置IP地址；添加2台路由，分别命名为Router1和Router2，为它们添加WIC-1T模块，使用DCE串口线互联；使用静态路由实现全网互通；在Router2上配置标准访问控制列表限制PC2所在的网络不能访问PC3所在的网络，但允许PC1所在的网络访问PC3所在的网络。训练分析根据实验拓扑图为所有的计算机设置IP、掩码和网关，使用正确的线缆连接所有的设备；两个路由器之间使用默认的广域网HDLC协议封装。首页任务一任务二训练1标准访问控制列表的配置训练步骤Router1基本配置RouterenRouter#conftRouter(config)#hostnameRouter1Router1(config)#interf0/0Router1(config-if)#ipadd172.16.1.1255.255.255.0Router1(config-if)#noshutdownRouter1(config-if)#interf0/1Router1(config-if)#ipadd172.16.2.1255.255.255.0Router1(config-if)#noshutdownRouter1(config-if)#inters1/2Router1(config-if)#ipadd172.16.3.1255.255.255.0Router1(config-if)#clockrate64000Router1(config-if)#noshutdownRouter1(config-if)#end首页任务一任务二训练1标准访问控制列表的配置训练步骤Router2基本配置RouterenRouter#conftRouter(config)#hostnameRouter2Router2(config)#interf0/0Router2(config-if)#ipadd172.16.4.1255.255.255.0Router2(config-if)#noshutdownRouter2(config-if)#exitRouter2(config)#inters1/2Router2(config-if)#ipadd172.16.3.2255.255.255.0Router2(config-if)#noshutdownRouter2(config-if)#end首页任务一任务二训练1标准访问控制列表的配置训练步骤配置静态路由实现全网互通Router1(config)#iproute172.16.4.0255.255.255.0serial1/2Router2(config)#iproute172.16.1.0255.255.255.0serial1/2Router2(config)#iproute172.16.2.0255.255.255.0serial1/2查看路由器的路由信息：Router1#showiprouteCodes:C-connected,S-static,I-IGRP,R-RIP,M-mobile,B-BGPD-EIGRP,EX-EIGRPexternal,O-OSPF,IA-OSPFinterareaN1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2E1-OSPFexternaltype1,E2-OSPFexternaltype2,E-EGP……172.16.0.0/24issubnetted,4subnetsC172.16.1.0isdirectlyconnected,FastEthernet0/0C172.16.2.0isdirectlyconnected,FastEthernet0/1C172.16.3.0isdirectlyconnected,Serial1/2S172.16.4.0isdirectlyconnected,Serial1/2Router2#showiproute……172.16.0.0/24issubnetted,4subnetsC172.16.1.0isdirectlyconnected,FastEthernet0/0C172.16.2.0isdirectlyconnected,FastEthernet0/1C172.16.3.0isdirectlyconnected,Serial1/2S172.16.4.0isdirectlyconnected,Serial1/2首页任务一任务二训练1标准访问控制列表的配置训练步骤配置标准IP访问控制列表Router2(config)#access-list1deny172.16.2.00.0.0.255！拒绝来自172.16.2.0（PC2）网段的流量通过Router2(config)#access-list1permit172.16.1.00.0.0.255！允许来自172.16.1.0（PC1）网段的流量通过查看访问控制列表信息：Router2#showaccess-lists1StandardIPaccesslist1deny172.16.2.00.0.0.255permit172.16.1.00.0.0.255首页任务一任务二训练1标准访问控制列表的配置训练步骤应用访问控制列表在接口上Router2(config)#interf0/1Router2(config-if)#ipaccess-group1out！在接口下访问控制列表出栈流量调用查看访问控制列表的应用状态：Router2#showipinterfacefastethernet0/0FastEthernet0/0isup,lineprotocolisup(connected)Internetaddressis172.16.4.1/24Broadcastaddressis255.255.255.255AddressdeterminedbysetupcommandMTUis1500HelperaddressisnotsetDirectedbroadcastforwardingisdisabledOutgoingaccesslistis1……首页任务一任务二训练1标准访问控制列表的配置训练测试在PC1上测试PC3，结果是通的。在PC2上测试PC3，结果是不通的。训练小结（1）注意在访问控制列表的网络掩码是反掩码。（2）标准控制列表要应用在尽量靠近目的地址的接口。首页任务一任务二训练2扩展访问控制列表的配置训练描述你是学校的网络管理员，在3560-24PS交换机上连着学校提供的Web和FTP的服务器，另外还连接着学生宿舍楼和教工宿舍楼，学校规定学生只能对服务器进行FTP访问，不能进行Web访问，教工则没有此限制。实验拓扑如图所示。首页任务一任务二训练2扩展访问控制列表的配置训练要求添加2台计算机和1台服务器，1台PC代表学生宿舍楼的计算机，一台PC代表教师所用的计算机，服务器为学校的Web、FTP服务器。添加1台3560交换机，在交换机上划分3个Vlan，分别为Vlan10、Vlan20、Vlan30，开启三层路由功能实现全网互通。在交换机上配置扩展访问控制列表限制学生机只能访问服务器上的FTP服务，而不能使用Web服务，但教师机不受限制。训练分析本任务只是要求限制学生机对校服务器的Web服务，此限制只是根据服务器提供的某种服务进行控制，是基于服务端口进行控制的，因此不能使用标准访问列表来实现。首页任务一任务二训练2扩展访问控制列表的配置训练步骤交换机的基本配置SwitchenSwitch#conftSwitch(config)#vlan10Switch(config-vlan)#nameserverSwitch(config-vlan)#vlan20Switch(config-vlan)#nameteachersSwitch(config-vlan)#vlan30Switch(config-vlan)#namestudentsSwitch(config-vlan)#interf0/5Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportaccessvlan10Switch(config-if)#interf0/10Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportaccessvlan20Switch(config-if)#interf0/15Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportaccessvlan30Switch(config-if)#exitSwitch(config)#intvlan10Switch(config-if)#ipadd192.168.10.1255.255.255.0Switch(config-if)#noshutdownSwitch(config-if)#intvlan20Switch(config-if)#ipadd1