交换机与路由器配置实验教程 教学课件 ppt 作者 张世勇 07第7章 安全配置实验

《交换机与路由器配置实验教程 教学课件 ppt 作者 张世勇 07第7章 安全配置实验》由会员分享，可在线阅读，更多相关《交换机与路由器配置实验教程 教学课件 ppt 作者 张世勇 07第7章 安全配置实验（40页珍藏版）》请在金锄头文库上搜索。

1、交换机与路由器配置实验教程,第7章 安全配置实验,实验一、交换机端口安全（略）,实验二、标准IP访问控制列表,2019/5/20,张世勇 QQ：80845796,4,教学目标：,理解访问控制列表ACL概念。 理解访问控制列表ACL作用。 了解访问控制列表ACL分类。 掌握标准IP访问控制列表设置方法。,2019/5/20,张世勇 QQ：80845796,5,一、实验概述,命令格式，全局配置模式下： 1、Access-list number permit|deny source-add source-wildcard 其中number就是访问控制列表的号，其编号取值范围为199或13001999

2、 Permit就是允许数据包通过，Deny就是拒绝通过 Source-add就是允许或拒绝的源地址，source-wildcard就是通配符掩码。,2019/5/20,张世勇 QQ：80845796,6,一、实验概述,2、定义访问控制列表作用于接口上的方向 接口模式下，某一接口：Ip access-group number in|out ！在某一接口上应用标识为number的访问控制列表，in|out，表示在入站端口调用还是在出站端口调用。,2019/5/20,张世勇 QQ：80845796,7,二、实验规划,2019/5/20,张世勇 QQ：80845796,8,二、实验规划,拓扑编址：两个

3、SW：没有Vlan，没有IP地址，不用设置 PC1IP：192.168.0.2/24，网关为R1上E0/1的IP PC2IP：192.168.1.2/24，网关为R1上E0/2的IP PC3IP：100.0.0.2/24，网关为R1上E0/0的IP R1：E0/1IP：192.168.0.1/24 E0/2IP：192.168.1.1/24 E0/0IP：100.0.0.1/24,2019/5/20,张世勇 QQ：80845796,9,三、实验步骤,创建连接如下： Router1 E0/0 VPCS V0/3 Router1 E0/1 Switch1 F0/1 Router1 E0/2 Swi

4、tch2 F0/1 Switch1 F0/2 VPCS V0/1 Switch2 F0/2 VPCS V0/2,2019/5/20,张世勇 QQ：80845796,10,四、结果总结,在设定好标准访问控制列表后，在PC1上还可以Ping通PC3，而PC2则不能连通PC3。用“show ace-list 10”命令查看标准访问控制列表的配置情况如下：R1#sh access-list 10 Standard IP access list 10 10 deny 192.168.1.0, wildcard bits 0.0.0.255 (30 matches) 20 permit 192.168.0

5、.0, wildcard bits 0.0.0.255 (10 matches) 在路由器上运行“show run”，则可以查看到端口情况,实验三、扩展IP访问控制列表,2019/5/20,张世勇 QQ：80845796,12,教学目标：,理解扩展访问控制列表概念。 理解扩展访问控制列表功能。 掌握扩展访问控制列表设置方法。,2019/5/20,张世勇 QQ：80845796,13,一、实验概述,扩展IP访问控制列表的功能比较强大，可以根据协议或服务进行配置，如果要想对网络访问实现精确控制，就必须使用扩展访问控制列表。 标准访问控制列表的编号取值范围为199或13001999。扩展访问控制列表

6、的编号取值范围是100199或20002699。,2019/5/20,张世勇 QQ：80845796,14,一、实验概述,命令格式如下，全局配置模式下： Access-list number deny|permit protocol source-add source-wildcard operator port des-add des-wildcard operator port 其中：number是访问控制列表编号，deny表示拒绝，permit表示允许。 Protocol表示协议，可以是IP、TCP、UDP、IGMP等协议。 source-add source-wildcard和 des

7、-add des-wildcard表示源地址和目标地址以及它们的通配符掩码。 Operator 表示操作符可以是eq（等于）、neq（不等于）、或range（范围） Port表示应用层端口号，比如www为80，ftp为20、21，telnet为23 另外还可以用主机的IP地址来进行精确控制，其通配符为0.0.0.0。10.0.0.2 0.0.0.0和host 10.0.0.2意思一样都是表示IP地址为10.0.0.2的主机，也可以用any表示所有主机。,2019/5/20,张世勇 QQ：80845796,15,二、实验规划,2019/5/20,张世勇 QQ：80845796,16,二、实验规划

8、,拓扑编址：SW1：Vlan 10 IP:10.0.0.1/24 Vlan 20 IP:20.0.0.1/24 Vlan 30 IP:30.0.0.1/24 PC1IP：10.0.0.2/24，网关为Vlan 10的IP PC2IP：10.0.0.3/24，网关为Vlan 10的IP PC3IP：20.0.0.2/24，网关为Vlan 20的IP PC4IP：20.0.0.3/24，网关为Vlan 20的IP PC5IP：30.0.0.2/24，网关为Vlan 30的IP PC6IP：30.0.0.3/24，网关为Vlan 30的IP,2019/5/20,张世勇 QQ：80845796,17,

9、三、实验步骤,创建连接如下： Switch1 F0/1 VPCS V0/1 Switch1 F0/2 VPCS V0/2 Switch1 F0/3 VPCS V0/3 Switch1 F0/4 VPCS V0/4 Switch1 F0/5 VPCS V0/5 Switch1 F0/6 VPCS V0/6,2019/5/20,张世勇 QQ：80845796,18,三、实验步骤,1、虚拟PC配置如图。,2019/5/20,张世勇 QQ：80845796,19,四、结果总结,删除扩展访问控制列表命令和删除标准访问控制列表一样也是： no access-list number，number就是那个访问

10、控制列表号。 使用“sh ip access-list ”命令，可以查看扩展访问控制列表的配置情况 。,实验四、配置命名访问控制列表,2019/5/20,张世勇 QQ：80845796,21,教学目标：,理解命名访问控制列表概念。 理解命名访问控制列表功能与特点。 了解命名访问控制列表分类。 掌握命名访问控制列表语法格式。 掌握命名访问控制列表设置方法。,2019/5/20,张世勇 QQ：80845796,22,一、实验概述,所谓命名访问控制列表其实是对访问控制列表的命名使用。相对于标准ACL或扩展ACL都没有本质差别。原本不管是标准访问控制列表还是扩展访问控制列表都是用编号来加以区分。编号就

11、是命令格式中的那个number。标准访问控制列表的编号取值范围为199或13001999。扩展访问控制列表的编号取值范围是100199或20002699。 命名ACL不使用编号而使用字符串来对访问控制列表进行命名，命名后，路由器进入“访问控制列表”模式，在此模式下可以对访问控制列表进行设置，在网络管理过程中可以随时根据网络变化修改某一条规则，调整用户访问权限。,2019/5/20,张世勇 QQ：80845796,23,一、实验概述,一、标准命名ACL语法格式如下： 1、Ip access-list standard name ！定义标准命名ACL，standard是标准的意思，name是 AC

12、L的名称，不用number号码了 2、Deny source-add source-wildcard 或者 Permit source-add source-wildcard ！定义允许或拒绝的源地址和通配符掩码 3、Ip access-group name in|out ！接口模式下，定义访问控制列表作用于接口上的方向 4、show access-list name ！显示配置的ACL，不加name表示显示全部ACL内容。,2019/5/20,张世勇 QQ：80845796,24,一、实验概述,二、扩展命名ACL语法格式如下： 1、ip access-list extended name ！

13、extended表示扩展的 2、deny|permit protocol source-add source-wildcard operator port des-add des-wildcard operator port deny表示拒绝，permit表示允许。 Protocol表示协议，可以是IP、TCP、UDP、IGMP等协议。 source-add source-wildcard和 des-add des-wildcard表示源地址和目标地址以及它们的通配符掩码。 operator 表示操作符可以是eq（等于）、neq（不等于）、或range（范围） Port表示应用层端口号，比如w

14、ww为80，ftp为20、21，telnet为23 参数和扩展IP访问控制列表的意义相同。 3、Ip access-group name in|out ！接口模式下，定义访问控制列表作用于接口上的方向 4、show access-list name ！显示配置的ACL，不加name表示显示全部ACL内容。,2019/5/20,张世勇 QQ：80845796,25,二、实验规划,1、标准命名ACL SW1(config)#ip access-list standard deny-host ！deny-host为名字 SW1(config-std-nacl)# ！表示进入标准命名ACL,2019/

15、5/20,张世勇 QQ：80845796,26,二、实验规划,2、扩展命名ACL SW2(config)#ip access-list extended permit-host ！permit-host为名字 SW2(config-ext-nacl)# ！表示进入扩展命名ACL,2019/5/20,张世勇 QQ：80845796,27,二、实验规划,2019/5/20,张世勇 QQ：80845796,28,二、实验规划,拓扑编址：SW1：Vlan 10 IP:192.168.0.1/24 F0/1IP：172.18.0.1/24 PC1IP：172.18.0.2/24，网关为SW1上F0/1的

16、IP PC2IP：192.168.0.2/24，网关为Vlan 10的IP 在SW1上需要把F0/1升级为三层接口才能配置IP地址。在SW1和SW2上都要创建Vlan，SW1和SW2之间的链路应为Trunk链路。,2019/5/20,张世勇 QQ：80845796,29,三、实验步骤,创建连接如下： Switch1 F0/0 Switch2 F0/0 Switch1 F0/1 VPCS V0/1 Switch2 F0/1 VPCS V0/2 PC上的配置： VPCS 1 ip 172.18.0.2 172.18.0.1 24 PC1 : 172.18.0.2 255.255.255.0 gateway 172.18.0.1 VPCS 1 2 VPCS 2 ip 192.168.0.2 192.168.0.1 24 PC2 : 192.168.0.2 255.255.255.0 gateway 192.168.0.1,201