[精选]网络设备配置与管理培训教材32860.ppt-淘文阁

资源描述

《[精选]网络设备配置与管理培训教材32860.ppt》由会员分享，可在线阅读，更多相关《[精选]网络设备配置与管理培训教材32860.ppt（54页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、网络设备配置与管理平凉信息工程学校2017年9月6日项目项目10控制网络的数据流量控制网络的数据流量【职业能力目标】1.掌握IP标准及扩展访问控制列表的功能及用途2.学会IP标准访问控制列表的配置方法。3.学会IP扩展访问控制列表的配置方法。任务1创建编号IP标准访问控制列表任务情境任务情境你是公司的网络管理员，公司的财务处、计划处和办公室分属不同的3个网段，三个部门之间通过路由器进行信息传递。为了安全，公司领导要求你对网络的数据流量进行控制，实现公司的计划处主机可以访问财务处主机，办公室主机不能访问财务处主机。任务1创建编号IP标准访问控制列表任务分析任务分析对于这一工作任务，首先对两路由器

2、进行基本配置，实现三个网段可以互相访问，然后对距离目的地址较近的路由器Router4配置IP标准访问控制列表，允许计划处主机发出的数据包通过，不允许办公室的主机发出的数据包通过，最后将这一策略加到路由器Router4的FA 0端口，拓扑图如图所示。任务1创建编号IP标准访问控制列表任务实施任务实施1 1PCPC机配置机配置财务处主机PC2的IP地址配置为192.168.3.10，子网掩码为255.255.255.0，网关为192.168.3.1；办公室主机PC1的IP地址配置为192.168.2.10，子网掩码为255.255.255.0，网关为192.168.2.1；计划处主机PC0的IP地

3、址配置为192.168.1.10，子网掩码为255.255.255.0，网关为192.168.1.1。任务1创建编号IP标准访问控制列表任务实施任务实施2 2路由器路由器Router3Router3配置配置第一步：进入全局配置模式第一步：进入全局配置模式Router3enableRouter3#configure terminal Enter configuration commands,one per line.End with CNTL/Z.Router3(config)#任务1创建编号IP标准访问控制列表任务实施任务实施2 2路由器路由器Router3Router3配置配置第二步：为路由

4、器端口配置第二步：为路由器端口配置IPIP地址地址Router3(config)#interface fastEthernet 0/0Router3(config-if)#ip address 192.168.1.1 255.255.255.0Router3(config-if)#no shutdown Router(config)#interface fastEthernet 1/0Router(config-if)#ip address 192.168.2.1 255.255.255.0Router(config-if)#no shRouter3(config)#interface fas

5、tEthernet 0/1Router3(config-if)#ip address 192.168.12.1 255.255.255.0Router3(config-if)#no shut第三步：配置静态路由第三步：配置静态路由Router(config)#ip route 192.168.3.0 255.255.255.0 192.168.12.2Router(config)#任务1创建编号IP标准访问控制列表任务实施任务实施3 3路由器路由器Router4Router4配置配置第一步：进入全局配置模式第一步：进入全局配置模式Router4enableRouter4#configure t

6、erminal Enter configuration commands,one per line.End with CNTL/Z.Router4(config)#任务1创建编号IP标准访问控制列表任务实施任务实施3 3路由器路由器Router4Router4配置配置第二步：为路由器端口配置第二步：为路由器端口配置IPIP地址地址Router4(config)#interface fastEthernet 0/0Router4(config-if)#ip address 192.168.3.1 255.255.255.0Router4(config-if)#no shutdown%LINK-5

7、-CHANGED:Interface FastEthernet0/0,changed state to up%LINEPROTO-5-UPDOWN:Line protocol on Interface FastEthernet0/0,changed state to upRouter4(config-if)#exitRouter4(config)#interface fastEthernet 0/1Router4(config-if)#ip address 192.168.12.2 255.255.255.0Router4(config-if)#no shutdown 第三步：为路由器配置静态

8、路由第三步：为路由器配置静态路由Router4(config)#ip route 192.168.1.0 255.255.255.0 192.168.12.1Router4(config)#ip route 192.168.2.0 255.255.255.0 192.168.12.1任务1创建编号IP标准访问控制列表任务实施任务实施4 4在路由器在路由器Router4Router4上配置上配置IPIP标准访问控制标准访问控制列表列表拒绝来自192.168.2.0网段的数据流量通过。Router4(config)#access-list 1 deny 192.168.2.0 0.0.0.255R

9、outer4(config)#允许来自192.168.1.0网段的数据流量通过。Router4(config)#accEss-list 1 permit 192.168.1.0 0.0.0.255Router4(config)#显示IP标准访问控制列表Router4#show access-lists 1Standard IP access list 1 deny 192.168.2.0 0.0.0.255 permit 192.168.1.0 0.0.0.255Router4#任务1创建编号IP标准访问控制列表任务实施任务实施5 5把把IPIP标准访问控制列表应用在路由器标准访问控制列表应用

10、在路由器Router4Router4的的FA 0/0FA 0/0端端口上口上Router4(config)#interface fastEthernet 0/0Router4(config-if)#ip access-group 1 outRouter4(config-if)#exitRouter4(config)#任务1创建编号IP标准访问控制列表任务实施任务实施6 6验证验证测试测试在PC0主机的命令提示符下Ping 192.168.3.10能Ping通，在PC1主机的命令提示符下Ping 192.168.3.10不能Ping通，测试结果如图所示。任务1创建编号IP标准访问控制列表相关知识

11、相关知识1 1访问控制列表概述访问控制列表概述访问控制列表（ACL）是在交换机和路由器上经常采用的一种防火墙技术，它可以对经过网络设备的数据包根据一定的规则进行过滤。它有以下一些作用：在内网部署安全策略，保证内网安全权限的资源访问；内网访问外网时，进行安全的数据过滤；防止常见病毒、木马、攻击对用户的破坏。所以说，掌握ACL技术对于网管员非常重要。其实，ACL的配置就和普通的规则一样，就是两个步骤：一是定义规则；二是将规则应用于端口。在应用于端口时，需要注意是入栈应用还是出栈应用。任务1创建编号IP标准访问控制列表相关知识相关知识2 2编号标准访问控制列表编号标准访问控制列表（1）编号标准访问控

12、制列表介绍。编号标准访问控制列表是在路由器上建立的标准访问控制列表，其编号取值范围为099之间整数，编号标准访问控制列表只根据源IP地址过滤流量，这个IP地址可以是一台主机、整个网络、或者特定网络上的特定主机。（2）定义编号标准访问控制列表。所有编号标准访问控制列表都是在全局配置模式下设置的，建立IP编号标准访问控制列表的格式如下：Router(config)#access-list access-list number permit/deny source source mask任务1创建编号IP标准访问控制列表相关知识相关知识2 2编号标准访问控制列表编号标准访问控制列表（3）应用标准访问

13、控制列表。一旦建立了标准访问控制列表，需要将它们应用到路由器的一个端口上。应用到一个端口上可以选择入栈或出栈两个方向，对于某一个接口，当要将从设备外的数据经过接口流入设备内时做访问控制，就是入栈应用；当要将从设备内的数据经过接口流出设备时做访问控制，就是出栈应用。路由器一个接口只能应用一个标准访问控制列表。（4）查看标准访问控制列表。配置完标准访问控制列表后，可以使用命令show access-lists命令来检验标准访问控制列表。任务1创建编号IP标准访问控制列表相关知识相关知识3 3命名标准访问控制列表命名标准访问控制列表在三层交换机上配置命名标准访问控制列表，也是采用定义ACL、在接口上

14、应用ACL、查看ACL等步骤进行。在交换机特权模式下，可以通过以下步骤来创建一个命名标准访问控制列表。第1步：进入全局配置模式。第2步：进入Access-list配置模式，用名字来定义一条标准访问控制列表。第3步：定义标准访问控制列表条件。第4步：应用访问控制列表任务2创建命名IP标准访问控制列表任务情境任务情境你是公司的网络管理员，公司的财务处、计划处和办公室分属不同的3个网段，三个部门之间通过三层交换机进行信息传递，为了安全，公司领导要求你对网络的数据流量进行控制，实现公司的计划处主机可以访问财务处主机，办公室主机不能访问财务处主机。任务2创建命名IP标准访问控制列表任务分析任务分析对于这

15、一工作任务，首先对交换机进行基本配置，实现三个网段可以互相访问，然后对交换机配置IP标准访问控制列表，允许计划处主机发出的数据包通过，不允许办公室的主机发出的数据包通过，最后将这一策略加到交换机VLAN 30的SVI端口输出方向上，拓扑图如图所示。任务2创建命名IP标准访问控制列表任务实施任务实施1 1PCPC机配置机配置PC0计算机的IP地址配置为192.168.2.10，子网掩码为255.255.255.0，网关为192.168.2.1；PC1计算机的IP地址配置为192.168.1.10，子网掩码为255.255.255.0，网关为192.168.1.1；PC2计算机的IP地址配置为19

16、2.168.3.10，子网掩码为255.255.255.0，网关为192.168.3.1。任务2创建命名IP标准访问控制列表任务实施任务实施2 2三层交换机配置三层交换机配置第一步：进入全局配置模式第一步：进入全局配置模式SwitchenableSwitch#configure terminalConfiguring from terminal,memory,or network terminal?Enter configuration commands,one per line.End with CNTL/Z.Switch(config)#第二步：启用三层交换机路由功能第二步：启用三层交换机

17、路由功能Switch(config)#ip routing任务2创建命名IP标准访问控制列表任务实施任务实施2 2三层交换机配置三层交换机配置第三步：建立第三步：建立vlanvlan并分配端口及并分配端口及IPIP地址地址Switch(config)#vlan 10Switch(config)#vlan 20Switch(config)#vlan 30Switch(config)#interface fastEthernet 0/1Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan

18、10Switch(config)#interface fastEthernet 0/6Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan 20Switch(config)#interface fastEthernet 0/20Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan 30Switch(config)#interface vlan 10Switch(config-i

19、f)#ip address 192.168.1.1 255.255.255.0Switch(config-if)#no shutdown Switch(config-if)#exitSwitch(config)#interface vlan 20Switch(config-if)#ip address 192.168.2.1 255.255.255.0Switch(config-if)#no shutdown Switch(config-if)#exitSwitch(config)#interface vlan 30Switch(config-if)#ip address 192.168.3.

20、1 255.255.255.0Switch(config-if)#no shutdown Switch(config-if)#exit任务2创建命名IP标准访问控制列表任务实施任务实施2 2三层交换机配置三层交换机配置第四步：查看三层交换机路由第四步：查看三层交换机路由表表测试结果如图任务2创建命名IP标准访问控制列表任务实施任务实施3 3命名命名IPIP标准访问控制列表的配置标准访问控制列表的配置Switch(config)#ip access-list standard ABCSwitch(config-std-nacl)#permit 192.168.1.0 0.0.0.255Switc

21、h(config-std-nacl)#exitSwitch(config)#interface vlan 30Switch(config-if)#ip access-group ABC outSwitch(config-if)#exitSwitch(config)#任务2创建命名IP标准访问控制列表任务实施任务实施4 4验证测试验证测试在计划处PC1主机的命令提示符下Ping 192.168.3.10，可以PING通；在办公室PC0主机的命令提示符下Ping 192.168.3.10，不能PING通，测试结果如图10-6、10-7所示。任务3创建IP扩展访问控制列表任务情境任务情境你是公司的网

22、络管理员，公司的网络管理中心分别架设了FTP、WEB服务器，其中FTP服务器供计划处专用，办公室不可使用；WEB服务器计划处、办公室都可使用。FTP及WEB服务器、计划处、办公室分别属于三个不同网段，三个网段之间通过路由器进行信息交换，要求你对路由器进行设置实现网络的数据流量控制。任务3创建IP扩展访问控制列表任务分析任务分析针对这一工作任务，首先对两路由器进行基本配置，实现三个网段互访；然后对距离控制源地址较近的路由器配置IP扩展访问控制列表，不允许办公室主机发出的FTP数据包通过，允许计划处主机发出的数据包通过，最后将这一策略加到路由器端口。网络结构拓扑图如图所示。任务3创建IP扩展访问控

23、制列表任务实施任务实施1 1PCPC机配置机配置PC0计算机的IP地址配置为192.168.1.10，子网掩码为255.255.255.0，网关为192.168.1.1；PC1计算机的IP地址配置为192.168.2.10，子网掩码为255.255.255.0，网关为192.168.2.1；FTP的IP地址为192.168.3.10，子网掩码为255.255.255.0，网关为192.168.3.1；Web的IP地址为192.168.3.11，子网掩码为255.255.255.0，网关为192.168.3.1。任务3创建IP扩展访问控制列表任务实施任务实施2 2路由器路由器Router0Rou

24、ter0的配置的配置第一步：进入全局配置模式第一步：进入全局配置模式Router0enableRouter0#config terminal Enter configuration commands,one per line.End with CNTL/Z.Router0(config)#第二步：为各个接口分配第二步：为各个接口分配IPIP地址地址第三步：配置路由第三步：配置路由Router0(config)#ip route 192.168.3.0 255.255.255.0 192.168.12.2Router0(config)#exit%SYS-5-CONFIG_I:Configured

25、 from console by consoleRouter0#任务3创建IP扩展访问控制列表任务实施任务实施3 3路由器路由器Router1Router1的配置的配置第一步：进入全局配置模式第一步：进入全局配置模式Router1enableRouter1#config terminal Enter configuration commands,one per line.End with CNTL/Z.Router1(config)#第二步：为各个接口分配第二步：为各个接口分配IPIP地址地址任务3创建IP扩展访问控制列表任务实施任务实施3 3路由器路由器Router1Router1的配置的配

26、置第三步：配置路由第三步：配置路由Router1(config)#ip route 192.168.1.0 255.255.255.0 192.168.12.1Router1(config)#ip route 192.168.2.0 255.255.255.0 192.168.12.1Router1(config)#exit%SYS-5-CONFIG_I:Configured from console by consoleRouter1#第四步：检查路由表第四步：检查路由表任务3创建IP扩展访问控制列表任务实施任务实施4 4在路由器在路由器Router0Router0上配置上配置IPIP扩展访

27、问控制列表扩展访问控制列表第一步：拒绝来自第一步：拒绝来自192.168.1.0192.168.1.0网段去网段去192.168.3.0192.168.3.0网段的网段的FTPFTP流量流量通过。通过。Router0(config)#access-list 101 deny tcp 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255 eq FTP第二步：允许其他的流量通过。第二步：允许其他的流量通过。Router0(config)#access-list 101 permit ip any any第三步：应用第三步：应用IPIP扩展访问控制列表扩展访问控制列

28、表Router0(config)#interface fastEthernet 0/0Router0(config-if)#ip access-group 101 in任务3创建IP扩展访问控制列表任务实施任务实施5 5验证验证配置配置在计划处PC1主机的命令提示符下Ping 192.168.3.10，可以PING通；在办公室PC0主机的命令提示符下Ping 192.168.3.10，不能PING通，测试结果如图所示。任务3创建IP扩展访问控制列表相关知识相关知识1.1.编号扩展访问控制编号扩展访问控制列表列表(1）扩展访问控制列表简述。扩展编号访问控制列表同标准访问控制列表一样也是路由器上创

29、建的，其编号范围是100199。扩展IP访问控制列表可以基于数据包源IP地址、目的IP地址、协议及端口号等信息来过滤流量。任务3创建IP扩展访问控制列表相关知识相关知识1.1.编号扩展访问控制编号扩展访问控制列表列表(1）扩展访问控制列表简述。扩展编号访问控制列表同标准访问控制列表一样也是路由器上创建的，其编号范围是100199。扩展IP访问控制列表可以基于数据包源IP地址、目的IP地址、协议及端口号等信息来过滤流量。任务3创建IP扩展访问控制列表相关知识相关知识1.1.编号扩展访问控制编号扩展访问控制列表列表（2）配置扩展访问控制列表。和标准访问控制列表一样，扩展访问控制列表也在全局模式下输

30、入，格式如下：Router(config)#access-list listnumberpermit|denyprotocol source source-wildcard-mask destination destination-wildcard-mask operator operand任务3创建IP扩展访问控制列表相关知识相关知识1.1.编号扩展访问控制编号扩展访问控制列表列表（2）配置扩展访问控制列表。和标准访问控制列表一样，扩展访问控制列表也在全局模式下输入，格式如下：Router(config)#access-list listnumberpermit|denyprotocol s

31、ource source-wildcard-mask destination destination-wildcard-mask operator operand任务3创建IP扩展访问控制列表相关知识相关知识1.1.编号扩展访问控制编号扩展访问控制列表列表（3）应用访问控制列表。在路由器上应用访问控制列表命令如表所示。操作命令指定接口上过滤接收报文规则Ip access-group listnumber in取消接口上过滤接收报文规则No Ip access-group listnumber in指定接口上过滤发送报文规则Ip access-group listnumber out取消接口

32、上过滤发送报文规则No Ip access-group listnumber out任务3创建IP扩展访问控制列表相关知识相关知识2.2.命名扩展访问控制命名扩展访问控制列表列表第第1 1步：进入全局配置模式。步：进入全局配置模式。Switch#configure terminalSwitch(config)#第第2 2步：用名字定义一个命名扩展访问列表。步：用名字定义一个命名扩展访问列表。Switch(config)#ip access-list extended nameSwitch(config-ext-nacl)#第第3 3步：定义扩展访问列表条件。步：定义扩展访问列表条件。Switc

33、h(config-ext-nacl)#deny|permit protocol source source-wildcard|host source|anyoperator portdestination-wildcard|host destination|anyoperator portSwitch(config-ext-nacl)#endSwitch(config)#任务3创建IP扩展访问控制列表相关知识相关知识2.2.命名扩展访问控制命名扩展访问控制列表列表第第4 4步：应用访问控制列表。步：应用访问控制列表。Switch(config)#interface vlan nSwitch(c

34、onfig-if)#ip access-group name in|outSwitch(config-if)#endSwitch#任务4创建基于时间的访问控制列表任务情境任务情境你是公司的网络管理员，为了保证公司员工工作的效率，公司要求员工上班工作期间只能访问内部网站，下班后可以随意，不受限制。任务4创建基于时间的访问控制列表任务分析任务分析针对这一工作任务，首先对路由器进行基本配置，然后配置基于时间的IP扩展访问控制列表，不允许员工在工作期间发出的数据包通过，最后将这一策略加到路由器端口。网络结构拓扑图如图所示。任务4创建基于时间的访问控制列表任务实施任务实施1 1PCPC机及机及WebWe

35、b配置配置PC0计算机的IP地址配置为192.168.1.10，子网掩码为255.255.255.0，网关为192.168.1.1；Web服务器的IP地址配置为192.168.2.10，子网掩码为255.255.255.0，网关为192.168.2.1。任务4创建基于时间的访问控制列表任务实施任务实施2 2路由器路由器Router0Router0的配置的配置第一步：进入全局配置模式第一步：进入全局配置模式Router0enableRouter0#config terminal Enter configuration commands,one per line.End with CNTL/Z.R

36、outer0(config)#第二步：为各个接口分配第二步：为各个接口分配IPIP地址地址任务4创建基于时间的访问控制列表任务实施任务实施2 2路由器路由器Router0Router0的配置的配置第三步：配置路由器时钟第三步：配置路由器时钟Router0#show clock !查看路由器当前时钟clock:1987-1-16 5:19:9Router0#clock set 16:03:40 27 april 2011-4-10 !重设路由器当前时钟和实际时钟同步Router0#show clockclock:2011-4-10 16:04:9任务4创建基于时间的访问控制列表任务实施任务实施2

37、 2路由器路由器Router0Router0的配置的配置第四步：定义时间段。第四步：定义时间段。Router0(config)#time-range freetimeRouter0(config-time-range)#absolute start 8:00 1 jan 2006 end 18:00 30 dec 2011Router0(config-time-range)#periodic daily 0:00 to 9:00 !定义周期性时间段Router0(config-time-range)#periodic daily 17:00 to 23:59!定义周期性时间段任务4创建基于时间

38、的访问控制列表任务实施任务实施2 2路由器路由器Router0Router0的配置的配置第五步第五步：定义访问控制列表规则。：定义访问控制列表规则。Router0(config)#access-list 100 permit ip any host 160.16.1.1 !定义扩展访问控制列表，允许访问主机160.16.1.1Router0(config)#access-list 100 permit ip any any time-range freetime !关联time-range接口t1，允许在规定时间段访问任何网络任务4创建基于时间的访问控制列表任务实施任务实施2 2路由器路由器R

39、outer0Router0的配置的配置第六步第六步：将访问列表规则应用在接口上。：将访问列表规则应用在接口上。Router0(config)#interface fastethernet 1/0Router0(config-if)#ip access-group 100 in !在F1/0接口上进行入栈应用任务4创建基于时间的访问控制列表任务实施任务实施2 2路由器路由器Router0Router0的配置的配置第六步第六步：将访问列表规则应用在接口上。：将访问列表规则应用在接口上。Router0(config)#interface fastethernet 1/0Router0(config-

40、if)#ip access-group 100 in !在F1/0接口上进行入栈应用任务4创建基于时间的访问控制列表任务实施任务实施2 2路由器路由器Router0Router0的配置的配置第七步第七步：验证测试。：验证测试。在服务器主机上配置Web服务器，服务器IP地址为160.16.1.1。1、验证在工作时间的服务器的访问。更改路由器的当前时间为上班时间，PC机可以访问160.16.1.1的Web服务。更改服务器的IP地址为160.16.1.5，PC机无法访问Web服务。2、验证在非工作时间的服务器的访问。更改路由器的当前时间为下班时间，PC机可以访问160.16.1.1的Web服务。更改

41、服务器的IP地址为160.16.1.5，PC机同样可以访问Web服务。任务4创建基于时间的访问控制列表相关知识相关知识1 1校正路由器时钟校正路由器时钟为了有效地实现基于时间的访问控制列表功能，有必要校正路由器时钟，具体操作如表所示。命令功能Routerenable进入特权模式Router#clock set hh:mm:ss date month year or clock set hh:mm:ss month date year设置时钟Router#clock update-calendar更新路由器时钟Router#end退出特权模式任务4创建基于时间的访问控制列表相关知识相关知识2

42、 2创建并定义创建并定义time-rangetime-range端口端口创建时间接口、定义时间范围等操作如表所示。命令功能Router#configure terminal进入全局模式Router(config)#time-range name创建接口Router(config-time-range)#absolut start time dateend time dateand/or periodic days-of-the-week hh:mm to days-of-the-weekhh:mm设置时间段任务4创建基于时间的访问控制列表相关知识相关知识3 3关联关联time-ranget

43、ime-range接口与接口与ACLACL只允许扩展访问控制列表ACL关联time-range接口，具体操作如表所示。命令功能Router#configure terminal进入特权模式Router(cconfig)#access-list deny|permitprotocol source src-wildcard destination desti-wildcard time-range name设置扩展ACL，并将time-range关联到ACLRouter(cconfig)#exit退出全局配置模式项目10控制网络的数据流量小结小结访问控制是网络安全防范和保护的主要策略，它的主

44、要任务是保证网络资源不被非法使用和访问，它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广，包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。访问控制列表(ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪能些数据包可以收、哪能数据包需要拒绝。至于数据包是被接收还是拒绝，可以由类似于源地址、目的地址、端口号等特定指示条件来决定。项目10控制网络的数据流量实战强化实战强化某公司网络拓扑图如下所示，要求在路由器R1上配置标准访问控制列表，使公司2能访问公司1，即PC2能PING通PC1，公司3不能访问公司1。在R1配置扩展访问列表，使PC2能访问WEB SERVER，PC3不能访问WEB SERVER。

展开阅读全文