搜索
网络设备配置与管理平凉信息工程学校2017年9月6日项目10——控制网络的数据流量•【职业能力目标】1.掌握IP标准及扩展访问控制列表的功能及用途2.学会IP标准访问控制列表的配置方法。3.学会IP扩展访问控制列表的配置方法。任务1——创建编号IP标准访问控制列表•任务情境•你是公司的网络管理员,公司的财务处、计划处和办公室分属不同的3个网段,三个部门之间通过路由器进行信息传递。为了安全,公司领导要求你对网络的数据流量进行控制,实现公司的计划处主机可以访问财务处主机,办公室主机不能访问财务处主机。任务1——创建编号IP标准访问控制列表•任务分析•对于这一工作任务,首先对两路由器进行基本配置,实现三个网段可以互相访问,然后对距离目的地址较近的路由器Router4配置IP标准访问控制列表,允许计划处主机发出的数据包通过,不允许办公室的主机发出的数据包通过,最后将这一策略加到路由器Router4的FA0端口,拓扑图如图所示。任务1——创建编号IP标准访问控制列表•任务实施•1.PC机配置•财务处主机PC2的IP地址配置为192.168.3.10,子网掩码为255.255.255.0,网关为192.168.3.1;办公室主机PC1的IP地址配置为192.168.2.10,子网掩码为255.255.255.0,网关为192.168.2.1;计划处主机PC0的IP地址配置为192.168.1.10,子网掩码为255.255.255.0,网关为192.168.1.1。任务1——创建编号IP标准访问控制列表•任务实施•2.路由器Router3配置•第一步:进入全局配置模式•Router3enable•Router3#configureterminal•Enterconfigurationcommands,oneperline.EndwithCNTL/Z.•Router3(config)#任务1——创建编号IP标准访问控制列表•任务实施•2.路由器Router3配置•第二步:为路由器端口配置IP地址Router3(config)#interfacefastEthernet0/0Router3(config-if)#ipaddress192.168.1.1255.255.255.0Router3(config-if)#noshutdownRouter(config)#interfacefastEthernet1/0Router(config-if)#ipaddress192.168.2.1255.255.255.0Router(config-if)#noshRouter3(config)#interfacefastEthernet0/1Router3(config-if)#ipaddress192.168.12.1255.255.255.0Router3(config-if)#noshut•第三步:配置静态路由•Router(config)#iproute192.168.3.0255.255.255.0192.168.12.2•Router(config)#任务1——创建编号IP标准访问控制列表•任务实施•3.路由器Router4配置•第一步:进入全局配置模式•Router4enable•Router4#configureterminal•Enterconfigurationcommands,oneperline.EndwithCNTL/Z.•Router4(config)#任务1——创建编号IP标准访问控制列表•任务实施•3.路由器Router4配置•第二步:为路由器端口配置IP地址Router4(config)#interfacefastEthernet0/0Router4(config-if)#ipaddress192.168.3.1255.255.255.0Router4(config-if)#noshutdown%LINK-5-CHANGED:InterfaceFastEthernet0/0,changedstatetoup%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/0,changedstatetoupRouter4(config-if)#exitRouter4(config)#interfacefastEthernet0/1Router4(config-if)#ipaddress192.168.12.2255.255.255.0Router4(config-if)#noshutdown•第三步:为路由器配置静态路由Router4(config)#iproute192.168.1.0255.255.255.0192.168.12.1Router4(config)#iproute192.168.2.0255.255.255.0192.168.12.1任务1——创建编号IP标准访问控制列表•任务实施•4.在路由器Router4上配置IP标准访问控制列表•拒绝来自192.168.2.0网段的数据流量通过。•Router4(config)#access-list1deny192.168.2.00.0.0.255•Router4(config)#•允许来自192.168.1.0网段的数据流量通过。•Router4(config)#accEss-list1permit192.168.1.00.0.0.255•Router4(config)#•显示IP标准访问控制列表•Router4#showaccess-lists1•StandardIPaccesslist1•deny192.168.2.00.0.0.255•permit192.168.1.00.0.0.255•Router4#任务1——创建编号IP标准访问控制列表•任务实施•5.把IP标准访问控制列表应用在路由器Router4的FA0/0端口上•Router4(config)#interfacefastEthernet0/0•Router4(config-if)#ipaccess-group1out•Router4(config-if)#exit•Router4(config)#任务1——创建编号IP标准访问控制列表•任务实施•6.验证测试在PC0主机的命令提示符下Ping192.168.3.10能Ping通,在PC1主机的命令提示符下Ping192.168.3.10不能Ping通,测试结果如图所示。任务1——创建编号IP标准访问控制列表•相关知识•1.访问控制列表概述•访问控制列表(ACL)是在交换机和路由器上经常采用的一种防火墙技术,它可以对经过网络设备的数据包根据一定的规则进行过滤。它有以下一些作用:在内网部署安全策略,保证内网安全权限的资源访问;内网访问外网时,进行安全的数据过滤;防止常见病毒、木马、攻击对用户的破坏。所以说,掌握ACL技术对于网管员非常重要。其实,ACL的配置就和普通的规则一样,就是两个步骤:一是定义规则;二是将规则应用于端口。在应用于端口时,需要注意是入栈应用还是出栈应用。任务1——创建编号IP标准访问控制列表•相关知识•2.编号标准访问控制列表•(1)编号标准访问控制列表介绍。编号标准访问控制列表是在路由器上建立的标准访问控制列表,其编号取值范围为0~99之间整数,编号标准访问控制列表只根据源IP地址过滤流量,这个IP地址可以是一台主机、整个网络、或者特定网络上的特定主机。•(2)定义编号标准访问控制列表。所有编号标准访问控制列表都是在全局配置模式下设置的,建立IP编号标准访问控制列表的格式如下:•Router(config)#access-listaccess-listnumber{permit/deny}source{sourcemask}任务1——创建编号IP标准访问控制列表•相关知识•2.编号标准访问控制列表•(3)应用标准访问控制列表。一旦建立了标准访问控制列表,需要将它们应用到路由器的一个端口上。应用到一个端口上可以选择入栈或出栈两个方向,对于某一个接口,当要将从设备外的数据经过接口流入设备内时做访问控制,就是入栈应用;当要将从设备内的数据经过接口流出设备时做访问控制,就是出栈应用。路由器一个接口只能应用一个标准访问控制列表。•(4)查看标准访问控制列表。配置完标准访问控制列表后,可以使用命令showaccess-lists命令来检验标准访问控制列表。任务1——创建编号IP标准访问控制列表•相关知识•3.命名标准访问控制列表•在三层交换机上配置命名标准访问控制列表,也是采用定义ACL、在接口上应用ACL、查看ACL等步骤进行。•在交换机特权模式下,可以通过以下步骤来创建一个命名标准访问控制列表。•第1步:进入全局配置模式。•第2步:进入Access-list配置模式,用名字来定义一条标准访问控制列表。•第3步:定义标准访问控制列表条件。•第4步:应用访问控制列表任务2——创建命名IP标准访问控制列表•任务情境•你是公司的网络管理员,公司的财务处、计划处和办公室分属不同的3个网段,三个部门之间通过三层交换机进行信息传递,为了安全,公司领导要求你对网络的数据流量进行控制,实现公司的计划处主机可以访问财务处主机,办公室主机不能访问财务处主机。任务2——创建命名IP标准访问控制列表•任务分析•对于这一工作任务,首先对交换机进行基本配置,实现三个网段可以互相访问,然后对交换机配置IP标准访问控制列表,允许计划处主机发出的数据包通过,不允许办公室的主机发出的数据包通过,最后将这一策略加到交换机VLAN30的SVI端口输出方向上,拓扑图如图所示。任务2——创建命名IP标准访问控制列表•任务实施•1.PC机配置•PC0计算机的IP地址配置为192.168.2.10,子网掩码为255.255.255.0,网关为192.168.2.1;PC1计算机的IP地址配置为192.168.1.10,子网掩码为255.255.255.0,网关为192.168.1.1;PC2计算机的IP地址配置为192.168.3.10,子网掩码为255.255.255.0,网关为192.168.3.1。任务2——创建命名IP标准访问控制列表•任务实施•2.三层交换机配置•第一步:进入全局配置模式•Switchenable•Switch#configureterminal•Configuringfromterminal,memory,ornetwork[terminal]?•Enterconfigurationcommands,oneperline.EndwithCNTL/Z.•Switch(config)#•第二步:启用三层交换机路由功能•Switch(config)#iprouting任务2——创建命名IP标准访问控制列表•任务实施•2.三层交换机配置•第三步:建立vlan并分配端口及IP地址Switch(config)#vlan10Switch(config)#vlan20Switch(config)#vlan30Switch(config)#interfacefastEthernet0/1Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportaccessvlan10Switch(config)#interfacefastEthernet0/6Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportaccessvlan20Switch(config)#interfacefastEthernet0/20Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportaccessvlan30Switch(config)#interfacevlan10Switch(config-if)#ipa