收藏
下载资源

路由与交换实用技术 教学课件 ppt 作者 骆耀祖 项目7

上传人:E**** 文档编号:89320806 上传时间:2019-05-23 格式:PPT 页数:75 大小:3.13MB
返回 下载 相关 举报
路由与交换实用技术 教学课件 ppt 作者 骆耀祖 项目7_第1页
第1页 / 共75页
路由与交换实用技术 教学课件 ppt 作者 骆耀祖 项目7_第2页
第2页 / 共75页
路由与交换实用技术 教学课件 ppt 作者 骆耀祖 项目7_第3页
第3页 / 共75页
路由与交换实用技术 教学课件 ppt 作者 骆耀祖 项目7_第4页
第4页 / 共75页
路由与交换实用技术 教学课件 ppt 作者 骆耀祖 项目7_第5页
第5页 / 共75页
点击查看更多>>
资源描述

《路由与交换实用技术 教学课件 ppt 作者 骆耀祖 项目7》由会员分享,可在线阅读,更多相关《路由与交换实用技术 教学课件 ppt 作者 骆耀祖 项目7(75页珍藏版)》请在金锄头文库上搜索。

1、,项目7 路由与交换安全,,情景描述 (1)你是公司的网络维护员,公司网络管理以防止外部黑客以及病毒的侵袭为主,还要做到管理好公司内部人员的越权操作,为加强公司内部网络的管理工作,确保公司内部网络安全高效运行,实现网络的安全保障。 (2)你是公司的网络管理员,公司的经理部、财务部们和销售部门分属于不同的3个网段,三部门之间用路由器进行信息传递,为了安全起见,公司领导要求销售部门不能对财务部进行访问,但经理部可以对财务部进行访问。,,学习目标 (1)使学生掌握交换机端口安全原理,具备交换机端口安全的配置能力 (2)使学生掌握标准访问控制列表和扩展访问控制列表的工作原理,具备在交换机和路由器上做标

2、准访问控制列表和扩展访问控制列表的能力。 (3)使学生掌握标准访问控制列表和扩展访问控制列表的工作原理,具备在交换机和路由器上做标准访问控制列表和扩展访问控制列表的能力。,,7.1 访问控制列表技术,7.1 访问控制列表技术 访问控制列表通过对网络资源进行访问输入和输出控制,确保网络设备不被非法访问或被用作攻击跳板。 7.1.1 访问控制列表概述 访问控制列表(access list,ACL)使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。,,ACL主要有三个方面的功能: (1)限制网络流

3、量、提高网络性能。 (2)提供网络访问的基本安全手段。 (3)在交换机接口处,决定那种类型的通信流量被转发,那种通信类型的流量被阻塞。 1. 访问控制列表使用原则 (1)最小特权原则 (2)最靠近受控对象原则 (3)默认丢弃原则,,2. 访问控制列表的分类 建立访问控制列表后,可以限制网络流量,提高网络性能,对通信流量起到控制的手段,这也是对网络访问的基本安全手段。 ACL的访问规则主要有三种: (1)标准访问控制列表(standard access lists)。 (2)扩展访问控制列表(extended access lists)。 (3)基于端口和VLAN的访问控制列表,可对交换机的具体

4、对应端口或整个VLAN进行访问控制。,,3. 访问控制列表的方向 利用ACL来过滤,必须把ACL应用到需要过滤的路由器那个的接口上,否则ACL是不会起到过滤作用的,而且还要定义过滤的方向。方向分为下面2种: (1)对从Internet到企业网的数据包的过滤(inbound ACL):先处理,再路由。 (2)对从企业网传出到Internet的数据包的过滤(outbound ACL):先路由,再处理。,,4. 通配符掩码 介绍ACL设置之前先介绍一下通配符掩码(wildcard masking)。它是由0和255的4个8位位组组成的。0代表必须精确匹配,255代表随意。 5. 访问控制列表设置的要

5、点 设置ACL的一些要点: (1)每个接口,每个方向,每种协议,只能设置1个ACL。 (2)ACL设置的规则是按顺序比较的。因此,要组织好ACL的顺序,例如测试性的最好放在ACL的最顶部。 (3)不可能从ACL中除去一行,除去一行意味将除去整个ACL,命名访问列表(named access lists)例外。,,(4)默认ACL结尾语句是deny any,因此,在ACL里至少要有1条permit语句。 (5)记得创建了ACL后要把它应用在需要过滤的接口上。 (6)ACL是用于过滤经过router的数据包,它并不会过滤router本身所产生的数据包 (7)尽可能的把IP标准ACL放置在离目标地址

6、近的地方;尽可能的把IP扩展ACL放置在离源地址近的地方。,,7.1.2 标准ACL实战 标准访问控制列表检查数据包的源地址,从而允许或拒绝基于网络、子网或主机IP地址的所有通信流量通过交换机的出口。 在特权模式下,配置IP标准ACL的命令格式如下: access-list ACL号 permit|deny any|host ip地址,,【例7.1】如图7.1所示,路由器C2811A有两个接口,快速以太网口F0/1连接内网。串行接口S0/0/0连接到Internet,假设现在要求只允许IP地址为210.31.10.20的服务器访问Internet,禁止其他PC机对Internet的访问。,,以

7、下配置采用访问控制列表编号的方式,路由器C2811A上配置内容及说明如下: C2811A (config)#access-list 10 permit 210.31.10.20 0.0.0.0 /创建编号为10的标准访问控制列表,允许源IP地址为210.31.10.20的IP数据包。 C2811A (config)#access-list 10 deny any /编号为10的标准访问控制列表,拒绝其他任何源IP地址的IP数据包。 C2811A (config)#interface fastEthernet 0/1 C2811A (config-if)#ip access-group 10 i

8、n /设置F0/0接口的入站方向上,按照编号为10的访问控制列表对IP数据包进行过滤。,,【例7.2】如图7.2所示,路由器C2811A有三个接口,F0/0连接内网210.31.10.0/24,F0/1连接内网210.31.20.0/24,所有内网用户通过S0/0/0访问Internet,假设现在要求只允许F0/0所连接的内网用户访问Internet,禁止其他网段对Internet的访问。,图7.2 标准ACL配置示例2,,本例采用访问控制列表命名方式实现配置,在路由器C2811A上完成以下配置内容: C2811A (config)#ip access-list standard myacl

9、/创建一个名称为MYACL的标准访问控制列表,并进入到标准访问控制列表模式。 C2811A (config-std-nacl)#permit 210.31.10.0 0.0.0.255 /设置允许源IP地址为210.31.10.0/24网络的数据包。 C2811A (config-std-nacl)#deny any C2811A (config-std-nacl)#exit C2811A (config)#interface serial 0/0/0 C2811A (config-if)#ip access-group myacl out /设置在S0/0/0接口的出站方向上,按照名称为MY

10、ACL的访问控制列表对IP数据源进行过滤。 C2811A (config-if)#,,7.1.3 扩展ACL实战 标准访问控制列表是基于IP地址进行过滤的,是最简单的ACL。 扩展访问控制列表更具有灵活性和可扩充性,即可以对同一地址允许使用某些协议通信流量通过,而拒绝使用其它协议的流量通过,可灵活多变的设计ACL的测试条件。 配置扩展访问控制列表命令格式如下: access-list ACL号 permit/deny 协议 源地址 目标地址 操作符 端口 log,,【例7.3】如图7.3所示,路由器C2811A有两个接口,其中,快速以太网口F0/0连接210.31.10.0/24网络,F0/1

11、连接210.31.20.0/24网络,在210.31.20.0/24网络中有一台WWW服务器210.31.20.2/24,为了WWW服务器的安全,要求210.31.10.0/24网络不能通过ICMP协议访问服务器,但是可以访问服务器的WWW服务。,图7.3 扩展ACL配置示例1,,以下配置采用访问控制列表编号的方式,路由器C2811A上配置内容及说明如下。 C2811A (config)# access-list 120 permit tcp 210.31.10.0 0.0.0.255 host 210.31.20.2 eq 80 C2811A (config)#access-list 120

12、 deny icmp 210.31.10.0 0.0.0.255 host 210.31.20.2 C2811A (config)#interface fastEthernet 0/0 C2811A (config-if)#ip access-group 120 in,,【例7.4】如图7.4所示,局域网210.31.10.0/24和210.31.20.0/24分别连接在C2811A的F0/0和F0/1接口,C2811A的S0/0/0接口和C2811B的S0/0/0接口相连,并通过C2811B的S0/0/1接口接入Internet,同时C2811B的F0/0接口与200.200.200.0/2

13、4网络相连,并且在该网络中有一台服务器,IP地址为220.200.200.200,该服务器架设有远程终端Telnet服务和WWW服务。,图7.4 扩展ACL配置示例2,,以下配置采用访问控制列表命名的方式,路由器C2811A上配置内容及说明如下: C2811A (config)#iip access-list extended kzacl C2811A (config-ext-nacl)# permit tcp 210.31.10.0 0.0.0.255 host 200.200.200.200 eq 23 C2811A (config-ext-nacl)#permit tcp 210.31.

14、20.0 0.0.0.255 host 200.200.200.200 eq 80 C2811A (config-ext-nacl)#permit icmp 210.31.10.0 0.0.0.255 200.200.200.200 0.0.0.255 C2811A (config-ext-nacl)#permit icmp 210.31.20.0 0.0.0.255 200.200.200.200 0.0.0.255 C2811A (config-ext-nacl)#deny ip any any C2811A (config-ext-nacl)#exit C2811A (config)#i

15、nterface fastEthernet 0/0 C2811A (config-if)#ip access-group kzacl out C2811A (config-if)#,,3. 基于端口和VLAN的ACL访问控制 标准访问控制列表和扩展访问控制列表的访问控制规则都是基于交换机的,如果仅对交换机的某一端口进行控制,则可把这个端口加入到上述规则中。 配置语句为: SwitchL3(config)# acess-list deny|permit /在三层交换机上实现,,基于VLAN的访问控制列表是基于VLAN设置简单的访问规则,也设置流量控制,来允许(permit)或拒绝(deny)交换机转发一个VLAN的数据包。 基于以上的

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 高等教育 > 大学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号