资源简介

(共21张PPT)
网络安全技术实现
05
知识目标
技能目标
图5-1 项目5拓扑图1
IP访问控制列表
任务5.1
5.1.1 标准IP访问控制列表的配置
鹏博公司的经理部、销售部和财务部分别属于3个不同的网段，现阶段3个部门之间能相互通信。为了网络安全的需要，公司领导要求销售部不能访问财务部，经理部能访问财务部。
本节内容使用Cisco 3560交换机1台，PC 3台，直通双绞线3根，拓扑图如图5-1所示。
情境描述
IP访问控制列表
任务5.1
5.1.1 标准IP访问控制列表的配置
实 现 步 骤
（1）按照拓扑图连接网络，划分VLAN并将端口添加到对应VLAN中，配置VLAN和3台计算机的IP地址，见表5-1。
表5-1 参数设置表1
IP访问控制列表
任务5.1
5.1.1 标准IP访问控制列表的配置
实 现 步 骤
（2）开启交换机路由功能，使全网互通。
Switch(config)#ip routing
（3）配置标准IP访问控制列表。
Switch(config)#access-list 1 deny 192.168.30.0 0.0.0.255
Switch(config)#access-list 1 permit 192.168.10.0 0.0.0.255
（4）应用IP访问控制列表。
Switch(config)#interface vlan 20
Switch(config-if)#ip access?group 1 out
（5）分别在PC1和PC2测试与PC3的连通性，验证实验结果。
IP访问控制列表
任务5.1
5.1.1 标准IP访问控制列表的配置
采用编号创建的IP访问控制列表，一旦应用后，就不能再向里面添加新的规则，只能删除整个访问控制列表再重新创建。
知识点拨
IP访问控制列表
任务5.1
5.1.1 标准IP访问控制列表的配置
知识储备
标准IP访问控制列表
标准IP访问控制列表匹配IP包中的源地址或源地址中的一部分，可对匹配的包采取拒绝和允许两个操作。采用编号的IP访问控制列表，其编号范围为1～99的访问控制列表是标准IP访问控制列表。
标准IP访问控制列表的语法
Switch(config)#access?list access-list-number {permit|deny} source ［source-wildcard］
IP访问控制列表的应用
IP访问控制列表是基于接口进行规则的应用，分为入站应用和出站应用。入站应用是对经该接口进入的数据包进行过滤；出站应用是对经该接口向外转发的数据包进行过滤。
01
02
03
IP访问控制列表
任务5.1
5.1.1 标准IP访问控制列表的配置
学习小结
本小节讲解了标准IP访问控制列表的配置方法，在配置过程中要注意IP访问控制列表的网络掩码是反码。标准IP访问控制列表要尽量应用在靠近目的地址的接口。
IP访问控制列表
任务5.1
5.1.2 扩展IP访问控制列表的配置
情境描述
鹏博公司部署了一台提供FTP和Web服务的服务器，为了保证相关业务资料的安全，要求财务部不能访问服务器的FTP服务，销售部则没有限制，可以访问所有服务。
本节内容使用Cisco 3560交换机1台，PC 2台，服务器1台，拓扑图如图5-2所示。
图5-2 项目5拓扑图2
IP访问控制列表
任务5.1
5.1.2 扩展IP访问控制列表的配置
实 现 步 骤
（1）按照拓扑图连接网络，划分VLAN并将端口添加到对应VLAN中，配置VLAN和设备的IP地址，如表5-2所示。
表5-2 参数设置表2
IP访问控制列表
任务5.1
5.1.2 扩展IP访问控制列表的配置
实 现 步 骤
（2）开启交换机路由功能，使全网互通。
Switch(config)#ip routing
（3）配置扩展IP访问控制列表。
Switch(config)#access-list 100 deny tcp 192.168.20.0 0.0.0.255 192.168.30.10 0.0.0.0 eq ftp
！禁止FTP服务
Switch(config)#access-list 100 permit ip any any ！允许其他服务
Switch(config)#int vlan 20
Switch(config-if)#ip access-group 100 in
（4）应用IP访问控制列表。
IP访问控制列表
任务5.1
5.1.2 扩展IP访问控制列表的配置
实 现 步 骤
（5）测试。利用销售部和财务部的PC分别访问服务器的Web服务和FTP服务，两个部门都能访问Web服务，销售部能访问FTP服务，财务部不能访问FTP服务，如图5-3所示。
图5-3 FTP服务测试结果
IP访问控制列表
任务5.1
5.1.2 扩展IP访问控制列表的配置
知识储备
1.扩展IP访问控制列表
扩展IP访问控制列表根据数据包的源IP地址、目的IP地址、指定协议、端口和标志，来允许或拒绝数据包。采用编号IP的访问控制列表，其编号范围是100～199的访问控制列表是扩展IP访问控制列表。
2.扩展IP访问控制列表的语法
Switch(config)#access-list access-list-number {permit|deny} protocol {source source-wildcard destination destination-wildcard} ［operator operan］
IP访问控制列表
任务5.1
5.1.2 扩展IP访问控制列表的配置
学习小结
本小节讲解了扩展IP访问控制列表的配置方法，在配置过程中要注意拒绝某个网段后要允许其他网段。扩展IP访问控制列表要尽量应用在靠近源地址的接口。
IP访问控制列表
任务5.1
5.1.3 命名访问控制列表的配置
情境描述
鹏博公司的网络管理员在维护网络的过程中发现，通过访问控制列表编号创建的访问控制列表在维护的过程中，如果需要修改某条规则，需要删除整个访问控制列表。因此，管理员想用命名访问控制列表的配置来取代原有的利用编号创建的访问控制列表，命名访问控制列表可随时添加和删除规则而不用删除整个访问控制列表。
本节内容使用5.1.1和5.1.2的需求和拓扑图，通过创建命名访问控制列表完成实验。
IP访问控制列表
任务5.1
5.1.3 命名访问控制列表的配置
实 现 步 骤
（1）创建标准命名访问控制列表，允许192.168.10.0/24网段访问192.168.20.0/24网段，拒绝192.168.30.0/24网段访问192.168.20.0/24网段。
（2）创建扩展命名访问控制列表，拒绝192.168.20.0/24网段访问192.168.30.10服务器的FTP服务。
IP访问控制列表
任务5.1
5.1.3 命名访问控制列表的配置
知识储备
1.创建命名访问控制列表的语法
Switch (config)#ip access-list {standard|extended} access-list-name
standard:创建标准的命名访问控制列表。
extended:创建扩展的命名访问控制列表。
Access-list-name:命名访问控制列表的名字，可以是任意字母和数字的组合。
IP访问控制列表
任务5.1
5.1.3 命名访问控制列表的配置
知识储备
2.标准命名访问控制列表规则的语法
Router(config-std-nacl)#{permit|deny} source ［source-wildcard］
permit|deny：若满足规则，则允许/拒绝通过。
source：数据包的源地址，可以是主机地址，也可以是网络地址。
Source-wildcard：通配符掩码。
IP访问控制列表
任务5.1
5.1.3 命名访问控制列表的配置
知识储备
3.扩展命名访问控制列表规则的语法
Router(config-ext-nacl)#{permit|deny} protocol {source source-wildcard destination destination-wildcard} ［operator operan］
permit|deny：若满足规则，则允许/拒绝通过。
protocol：用来指定协议的类型，如IP、TCP、UDP、ICMP等。
source、destination：源和目的，分别用来标示源地址和目的地址。
Source-wildcard、destination-wildcard：子网反码，前者是源反码，后者是目标反码。
operator operan：lt(小于)、gt(大于)、eq(等于)、neq(不等于)一个端口号。
IP访问控制列表
任务5.1
5.1.3 命名访问控制列表的配置
学习小结
本小节讲解了命名访问控制列表的配置方法，与编号访问控制列表相比，命名访问控制列表更便于管理员的维护。

展开更多......

收起↑