《系統(tǒng)安全運(yùn)行與維護(hù)項(xiàng)目化教程》項(xiàng)目二 網(wǎng)絡(luò)互聯(lián)設(shè)備安全配置

項(xiàng)目二網(wǎng)絡(luò)互聯(lián)設(shè)備安全配置模塊1安全管理路由器、交換機(jī)模塊2擴(kuò)展訪問控制列表返回模塊1安全管理路由器、交換機(jī)任務(wù)10交換機(jī)的配置與維護(hù)網(wǎng)絡(luò)拓?fù)淙鐖D10?1所示。（一）交換機(jī)的基礎(chǔ)配置1）配置交換機(jī)名字。通常要給交換機(jī)配置一個(gè)名字，用于表示交換機(jī)所處的位置或者負(fù)責(zé)的功能。Router>enableRouter#configureterminalRouter(config)#hostnameEAST-8EAST-8#下一頁返回模塊1安全管理路由器、交換機(jī)2）配置交換機(jī)口令。通常要給交換機(jī)配置登錄密碼，用來避免沒有管理權(quán)限的人訪問交換機(jī)，保證一定的安全性。Router(config)#enablesecretlevel150ruijieRouter(config)#此處配置了交換機(jī)的特權(quán)密碼為ruijie。并且采用加密的形式進(jìn)行保存。3）配置交換機(jī)接口IP地址。交換機(jī)的接口要配置IP地址才能在網(wǎng)絡(luò)中進(jìn)行通信。IP地址的相關(guān)知識(shí)在這里不作解釋。上一頁下一頁返回模塊1安全管理路由器、交換機(jī)在不同的接口配置不同的接口地址，只需要進(jìn)入相應(yīng)的接口添加上IP地址即可。Router(config)#interfacefastethernet0/5Router(config-if)#ipaddressRouter(config-if)#exitRouter(config)#此處配置了交換機(jī)的快速以太網(wǎng)5口的IP地址為/24。4）保存交換機(jī)配置。上一頁下一頁返回模塊1安全管理路由器、交換機(jī)交換機(jī)配置完成后要進(jìn)行保存，以免中途斷電后所有的配置都丟失掉。保存配置非常簡(jiǎn)單，只需要將運(yùn)行于內(nèi)存中的配置保存到閃存中即可。Router#copyrunning-configstartup-configRouter#（二）交換機(jī)的維護(hù)1）交換機(jī)軟件升級(jí)。交換機(jī)的操作系統(tǒng)通過不斷的升級(jí)變得越來越完善，并且在不改變硬件環(huán)境的前提下支持越來越多的功能。所以通常來講，我們會(huì)根據(jù)需求到官方網(wǎng)站上下載最新的交換機(jī)操作系統(tǒng)進(jìn)行升級(jí)。上一頁下一頁返回模塊1安全管理路由器、交換機(jī)升級(jí)的命令如下：Router#copytftpflashtftpserver:00sourcefile:rgnos10.2.bindestinationfilename:[rgnos10.2.bin]########################################################################################################################################[ok!]2）交換機(jī)軟件備份。上一頁下一頁返回模塊1安全管理路由器、交換機(jī)通常我們都要進(jìn)行交換機(jī)的操作系統(tǒng)備份，以免在交換機(jī)損壞的時(shí)候沒辦法恢復(fù)過來。備份的命令如下：Router#copyflash:Rgnos10.2.bintftptftpserver:00destinationfilename:[rgnos10.2.bin]########################################################################################################################################[ok!]3）修復(fù)崩潰的交換機(jī)。上一頁下一頁返回模塊1安全管理路由器、交換機(jī)交換機(jī)在使用過程中難免會(huì)因?yàn)楦鞣N原因而發(fā)生損壞，因此我們要掌握修復(fù)交換機(jī)的方法。首先是重啟交換機(jī)，將原來損壞的操作系統(tǒng)和配置文件刪掉，再將好的、新的操作系統(tǒng)安裝上。方法如下：Router#copytftpflashtftpserver:00sourcefile:rgnos10.2.bindestinationfilename:[rgnos10.2.bin]########################################################################################################################################[ok!]上一頁下一頁返回模塊1安全管理路由器、交換機(jī)Router#copytftpflashtftpserver:00sourcefile:config.textdestinationfilename:[config.text]########################################################################################################################################[ok!]（三）交換機(jī)安全管理（1）控制console和vty訪問。上一頁下一頁返回模塊1安全管理路由器、交換機(jī)1）配置訪問控制列表。Switch(config)#access-list10permithostRouter(config)#access-list10permithost2）控制console訪問。Switch(config)#enablesecrectlevel15ruijieSwitch(config)#lineconsole0Switch(config-line)#loginSwitch(config-line)#passwordstarSwitch(config-line)#exit上一頁下一頁返回模塊1安全管理路由器、交換機(jī)Switch(config)#Router(config)#enablesecrectlevel15ruijieRouter(config)#lineconsole0Router(config-line)#loginRouter(config-line)#passwordstarRouter(config-line)#exitRouter(config)#3）控制vty訪問。Switch(config)#linevty04上一頁下一頁返回模塊1安全管理路由器、交換機(jī)Switch(config-line)#ipaccess-group10inSwitch(config-line)#exitSwitch(config)#Router(config)#linevty04Router(config-line)#ipaccess-group10inRouter(config-line)#exitRouter(config)#（2）配置登錄認(rèn)證。1）配置本地認(rèn)證。上一頁下一頁返回模塊1安全管理路由器、交換機(jī)Switch(config)#usernameruijiepasswordstarSwitch(config)#lineconsole0Switch(config-line)#loginlocalSwitch(config-line)#exitSwitch(config)#linevty04Switch(config-line)#loginlocalSwitch(config-line)#exitSwitch(config)#Router(config)#usernameruijiepasswordstarRouter(config)#lineconsole0上一頁下一頁返回模塊1安全管理路由器、交換機(jī)Router(config-line)#loginlocalRouter(config-line)#exitRouter(config)#linevty04Router(config-line)#loginlocalRouter(config-line)#exitRouter(config)#2）配置AAA認(rèn)證。Switch(config)#aaanew-modelSwitch(config)#usernameruijiepasswordstar上一頁下一頁返回模塊1安全管理路由器、交換機(jī)Switch(config)#aaaauthenticationlogintestgrouplocalSwitch(config)#linevty04Switch(config-line)#loginauthenticationtestSwitch(config-line)#exitSwitch(config)#Router(config)#aaanew-modelRouter(config)#usernameruijiepasswordstarRouter(config)#aaaauthenticationlogintestgrouplocalRouter(config)#linevty04Router(config-line)#loginauthenticationtest上一頁下一頁返回模塊1安全管理路由器、交換機(jī)Router(config-line)#exitRouter(config)#（3）配置SSH認(rèn)證1）配置SSH服務(wù)。Switch(config)#enableservicesssh-serverSwitch(config)#CryptokeygeneratersaSwitch(config)#ipsshversion2Switch(config)#ipsshauthentication-retries3Switch(config)#Router(config)#enableservicesssh-server上一頁下一頁返回模塊1安全管理路由器、交換機(jī)Router(config)#CryptokeygeneratersaRouter(config)#ipsshversion2Router(config)#ipsshauthentication-retries3Router(config)#2）配置SSH客戶。可以使用SSH對(duì)設(shè)備進(jìn)行管理，前提是必須打開SSHSERVER功能，默認(rèn)情況下是關(guān)閉該功能的。由于Windows自帶的Telnet組件不支持SSH，因此必須使用第三方客戶端軟件。當(dāng)前兼容性較好的客戶端包括：Putty、Linux、SecureCRT。下面以客戶端軟件SecureCRT為例介紹SSH客戶端的配置，如圖10?2所示。上一頁下一頁返回模塊1安全管理路由器、交換機(jī)使用協(xié)議2進(jìn)行登錄，因此選擇“SSH2”，“主機(jī)名”文本框輸入“00”，這里是主機(jī)的IP地址；端口為22，即SSH監(jiān)聽的默認(rèn)端口號(hào)；用戶名為空，當(dāng)設(shè)備只要求密碼時(shí)，該用戶名不會(huì)起作用；身份驗(yàn)證只支持用戶名密碼的認(rèn)證方式。使用的密碼和Telnet密碼是一致的。任務(wù)11配置接入層安全管理網(wǎng)絡(luò)拓?fù)淙鐖D11?1所示。1）在交換機(jī)SW-C和SW-D配置端口安全。上一頁下一頁返回模塊1安全管理路由器、交換機(jī)很多網(wǎng)絡(luò)癱瘓是因?yàn)閱T工私自在接口上連接客戶端，導(dǎo)致網(wǎng)絡(luò)負(fù)載超過設(shè)計(jì)要求，或是新接入的設(shè)備存在風(fēng)險(xiǎn)。所以在接入層設(shè)備上一般來講要開啟端口安全功能。SW-C(config)#SW-C(config)#interfacefastethernet0/1SW-C(config-if)#switchportport-securitySW-C(config-if)#switchportport-securitymac-address000c.000c.000cSW-C(config-if)#switchportport-securitymaximum1SW-C(config-if)#switchportport-securityviolationshutdown上一頁下一頁返回模塊1安全管理路由器、交換機(jī)SW-C(config-if)#exitSW-D(config)#interfacefastethernet0/1SW-D(config-if)#switchportport-securitySW-D(config-if)#switchportport-securitymac-address000c.000c.000cSW-D(config-if)#switchportport-securitymaximum1SW-D(config-if)#switchportport-securityviolationshutdownSW-D(config-if)#exitSW-D(config)#上一頁下一頁返回模塊1安全管理路由器、交換機(jī)2）在交換機(jī)SW-C和SW-D配置ARP檢查。ARP欺騙是一種原理十分簡(jiǎn)單、危害極大的網(wǎng)絡(luò)威脅。因此在網(wǎng)絡(luò)的接入層必須開啟ARP檢查功能，以盡量減少和避免因客戶端中毒導(dǎo)致的ARP欺騙威脅。SW-C(config)#SW-C(config)#arp-checkmodestandardSW-C(config)#interfacefastethernet0/1SW-C(config-if)#switchportport-securitySW-C(config-if)#switchportport-securitymac-address000c.000c.000cip-address上一頁下一頁返回模塊1安全管理路由器、交換機(jī)SW-C(config-if)#exitSW-C(config)#SW-D(config)#SW-D(config)#arp-checkmodestandardSW-D(config)#interfacefastethernet0/1SW-D(config-if)#switchportport-securitySW-D(config-if)#switchportport-securitymac-address000d.000d.000dip-addressSW-D(config-if)#exit上一頁下一頁返回模塊1安全管理路由器、交換機(jī)SW-D(config)#3）配置DHCP監(jiān)聽。為了保證合法的DHCP服務(wù)器能夠分配正確的IP地址，在涉及的交換機(jī)上要采用DHCP監(jiān)聽功能，用來避免非法的DHCP服務(wù)器在網(wǎng)絡(luò)上提供服務(wù)。SW-A(config)#ipdhcpsnoopingSW-A(config)#vlan10SW-A(config-vlan)#exitSW-A(config)#vlan20SW-A(config-vlan)#exit上一頁下一頁返回模塊1安全管理路由器、交換機(jī)SW-A(config)#vlan100SW-A(config-vlan)#exitSW-A(config)#interfacevlan10SW-A(config-if)#ipaddress54SW-A(config-if)#exitSW-A(config)#interfacevlan20SW-A(config-if)#ipaddress54SW-A(config-if)#exitSW-A(config)#interfacevlan100SW-A(config-if)#ipaddress54上一頁下一頁返回模塊1安全管理路由器、交換機(jī)SW-A(config-if)#exitSW-A(config)#interfacerangefastethernet0/21-24SW-A(config-if-range)#switchportmodetrunkSW-A(config-if-range)#exitSW-A(config)#interfacerangefastethernet0/21-22SW-A(config-if-range)#ipdhcpsnoopingtrustSW-A(config-if-range)#exitSW-A(config)#SW-B(config)#ipdhcpsnooping上一頁下一頁返回模塊1安全管理路由器、交換機(jī)SW-B(config)#vlan10SW-B(config-vlan)#exitSW-B(config)#vlan20SW-B(config-vlan)#exitSW-B(config)#vlan100SW-B(config-vlan)#exitSW-B(config)#interfacevlan10SW-B(config-if)#ipaddress53SW-B(config-if)#exit上一頁下一頁返回模塊1安全管理路由器、交換機(jī)SW-B(config)#interfacevlan20SW-B(config-if)#ipaddress53SW-B(config-if)#exitSW-B(config)#interfacevlan100SW-B(config-if)#ipaddress53SW-B(config-if)#exitSW-B(config)#interfacerangefastethernet0/22-24,0/20SW-B(config-if-range)#switchportmodetrunk上一頁下一頁返回模塊1安全管理路由器、交換機(jī)SW-B(config-if-range)#exitSW-B(config)#interfacerangefastethernet0/20,0/22SW-B(config-if-range)#ipdhcpsnoopingtrustSW-B(config-if-range)#exitSW-B(config)#iSW-C(config)#ipdhcpsnoopingSW-C(config)#vlan10SW-C(config-vlan)#exitSW-C(config)#interfacefastethernet0/1SW-C(config-if)#switchportaccessvlan10上一頁下一頁返回模塊1安全管理路由器、交換機(jī)SW-C(config-if)#exitSW-C(config)#interfacerangefastethernet0/23-24SW-C(config-if-range)#switchportmodetrunkSW-C(config-if-range)#ipdhcpsnoopingtrustSW-C(config-if-range)#exitSW-C(config)#SW-D(config)#ipdhcpsnoopingSW-D(config)#vlan20SW-D(config-vlan)#exitSW-D(config)#interfacefastethernet0/1上一頁下一頁返回模塊1安全管理路由器、交換機(jī)SW-D(config-if)#switchportaccessvlan20SW-D(config-if)#exitSW-D(config)#interfacerangefastethernet0/23-24SW-D(config-if-range)#switchportmodetrunkSW-D(config-if-range)#ipdhcpsnoopingtrustSW-D(config-if-range)#exitSW-D(config)#SW-E(config)#ipdhcpsnoopingSW-E(config)#vlan10SW-E(config-vlan)#exit上一頁下一頁返回模塊1安全管理路由器、交換機(jī)SW-E(config)#vlan20SW-E(config-vlan)#exitSW-E(config)#vlan100SW-E(config-vlan)#exitSW-E(config)#interfacevlan100SW-E(config-if)#ipaddress52SW-E(config-if)#exitSW-E(config)#interfacerangefastethernetf0/18-19SW-E(config-if-range)#switchportaccessvlan100SW-E(config-if-range)#exit上一頁下一頁返回模塊1安全管理路由器、交換機(jī)SW-E(config)#interfacerangefastethernet0/19-21SW-E(config-if-range)#ipdhcpsnoopingtrustSW-E(config-if-range)#exitSW-E(config)#interfacerangefastethernet0/20-21SW-E(config-if-range)#switchportmodetrunkSW-E(config-if-range)#exitSW-E(config)#servicedhcpSW-E(config)#iphelper-addressSW-E(config)#4）配置DAI。上一頁下一頁返回模塊1安全管理路由器、交換機(jī)SW-C(config)#iparpinspectionvlan10SW-C(config)#interfacerangefastethernet0/23-24SW-C(config-if-range)#iparpinspectiontrustSW-C(config-if-range)#exitSW-C(config)#SW-D(config)#iparpinspectionvlan20SW-D(config)#interfacerangefastethernet0/23-24SW-D(config-if-range)#iparpinspectiontrustSW-D(config-if-range)#exitSW-D(config)#上一頁下一頁返回模塊1安全管理路由器、交換機(jī)5）配置端口阻塞。配置端口阻塞用于減少交換機(jī)泛洪數(shù)據(jù)包的情況，使交換機(jī)利用更多的硬件資源去轉(zhuǎn)發(fā)有用的數(shù)據(jù)。SW-C(config)#interfacefastethernet0/1SW-C(config-if)#swithcportblockunicastSW-C(config-if)#exitSW-C(config)#SW-D(config)#interfacefastethernet0/1SW-D(config-if)#swithcportblockunicastSW-D(config-if)#exit上一頁下一頁返回模塊1安全管理路由器、交換機(jī)SW-D(config)#此處如果接入層交換機(jī)還有其他端口連接客戶端，需要重復(fù)上面步驟在每一個(gè)連接客戶端的端口上開啟端口阻塞功能，來提高交換機(jī)工作效率。6）配置風(fēng)暴控制。為了避免因?yàn)榻粨Q機(jī)的廣播風(fēng)暴而導(dǎo)致整個(gè)網(wǎng)絡(luò)癱瘓，需要在可能發(fā)生風(fēng)暴的端口上開啟風(fēng)暴控制功能，為端口配置一個(gè)風(fēng)暴閾值。當(dāng)風(fēng)暴來臨時(shí)不會(huì)超過這個(gè)閾值導(dǎo)致交換機(jī)癱瘓。SW-C(config)#interfacefastethernet0/1SW-C(config-if)#storm-controlbroadcastpps64000上一頁下一頁返回模塊1安全管理路由器、交換機(jī)SW-C(config-if)#exitSW-C(config)#SW-D(config)#interfacefastethernet0/1SW-D(config-if)#storm-controlbroadcastpps64000SW-D(config-if)#exitSW-D(config)#7）配置系統(tǒng)保護(hù)。一切攻擊的最初動(dòng)作都是端口掃描和地址掃描。在可能產(chǎn)生威脅的端口上開啟系統(tǒng)保護(hù)，以保護(hù)此端口當(dāng)遭受到掃描的時(shí)候能夠自我保護(hù)。上一頁下一頁返回模塊1安全管理路由器、交換機(jī)SW-C(config)#interfacefastethernet0/1SW-C(config-if)#system-guardenableSW-C(config-if)#system-guardscan-dest-ip-attack-packets100SW-C(config-if)#system-guardisolate-time600SW-C(config-if)#exitSW-C(config)#SW-D(config)#interfacefastethernet0/1SW-D(config-if)#system-guardenableSW-D(config-if)#system-guardscan-dest-ip-attack-packets100上一頁下一頁返回模塊1安全管理路由器、交換機(jī)SW-D(config-if)#system-guardisolate-time600SW-D(config-if)#exitSW-D(config)#任務(wù)12在路由器上配置標(biāo)準(zhǔn)訪問控制列表【任務(wù)情境】蘇州帝聯(lián)信息科技有限公司信息中心為提高辦公網(wǎng)絡(luò)的傳輸效率，在網(wǎng)絡(luò)擴(kuò)建過程中，把辦公網(wǎng)分割成多個(gè)局域網(wǎng)，減少網(wǎng)絡(luò)之間的干擾。為實(shí)施辦公網(wǎng)絡(luò)的整體安全，公司希望針對(duì)辦公網(wǎng)中的不同區(qū)域，通過在路由器上配置訪問控制列表技術(shù)，實(shí)現(xiàn)辦公網(wǎng)之間的安全隔離，保護(hù)信息在網(wǎng)絡(luò)中的傳輸安全。要求：上一頁下一頁返回模塊1安全管理路由器、交換機(jī)（1）局域子網(wǎng)A與局域子網(wǎng)B相互訪問（2）配置標(biāo)準(zhǔn)訪問控制列表，實(shí)現(xiàn)A子網(wǎng)計(jì)算機(jī)不能訪問B子網(wǎng)的計(jì)算機(jī)。網(wǎng)絡(luò)地址規(guī)劃如表12?1所示。【操作步驟】（一）局域子網(wǎng)A與局域子網(wǎng)B相互訪問（1）根據(jù)網(wǎng)絡(luò)拓?fù)?，組建網(wǎng)絡(luò)如圖12?1所示。（2）配置路由器設(shè)備的基本信息，實(shí)現(xiàn)網(wǎng)絡(luò)通信。1）配置路由器端口。上一頁下一頁返回模塊1安全管理路由器、交換機(jī)Router#configureterminalRouter(config)#interfacefastethernet0/0Router(config-if)ipaddressRouter(config-if)noshutdownRouter(config-if)exitRouter(config)#Router(config)#interfacefastethernet0/1Router(config-if)ipaddressRouter(config-if)noshutdown上一頁下一頁返回模塊1安全管理路由器、交換機(jī)2）配置主機(jī)IP，如圖12?2、圖12?3所示。PC0主機(jī)IP地址如下：PC1主機(jī)IP地址如下：3）測(cè)試連通性，如圖12?4所示。（二）配置標(biāo)準(zhǔn)訪問控制列表，實(shí)現(xiàn)A子網(wǎng)計(jì)算機(jī)不能訪問B子網(wǎng)的計(jì)算機(jī)（1）創(chuàng)建標(biāo)準(zhǔn)訪問控制列表。Router(config)#access-list10deny55Router(config)#access-list10permitany上一頁下一頁返回模塊1安全管理路由器、交換機(jī)（2）應(yīng)用訪問控制列表。Router(config)#Router(config)#interfacefastethernet0/0Router(config-if)ipaddress-group10inRouter(config-if)exit（3）驗(yàn)證測(cè)試。1）為驗(yàn)證

網(wǎng)段的主機(jī)均不能訪問，修改信息中心服務(wù)器主機(jī)IP為，測(cè)試連通性，結(jié)果如圖12?5所示。2）為驗(yàn)證

網(wǎng)段的主機(jī)均不能訪問，修改信息中心服務(wù)器主機(jī)IP為，測(cè)試連通性，結(jié)果如圖12?6所示。上一頁下一頁返回模塊1安全管理路由器、交換機(jī)3）取消標(biāo)號(hào)為10的訪問控制列表。Router(config)#Router(config)#interfacefastEthernet0/0Router(config-if)#noipaccess-group10inRouter(config-if)exit4）測(cè)試結(jié)果如圖12?7所示。任務(wù)13在交換機(jī)上配置標(biāo)準(zhǔn)訪問控制列表【任務(wù)情境】上一頁下一頁返回模塊1安全管理路由器、交換機(jī)蘇州帝聯(lián)信息科技有限公司信息中心為提高辦公網(wǎng)絡(luò)的傳輸效率，在網(wǎng)絡(luò)擴(kuò)建過程中，把辦公網(wǎng)分割成多個(gè)局域網(wǎng)，減少了網(wǎng)絡(luò)之間的干擾。為實(shí)施辦公網(wǎng)絡(luò)的整體安全，公司希望針對(duì)辦公網(wǎng)中的不同區(qū)域，通過在交換機(jī)上配置訪問控制列表技術(shù)，實(shí)現(xiàn)辦公網(wǎng)之間的安全隔離，保護(hù)信息在網(wǎng)絡(luò)中的傳輸安全。要求：（1）配置主機(jī)IP、三層交換機(jī)，實(shí)現(xiàn)全網(wǎng)互通。（2）在三層交換機(jī)上配置擴(kuò)展訪問控制列表。（3）在F0/5端口上應(yīng)用訪問控制列表。網(wǎng)絡(luò)拓?fù)淙鐖D13?1所示。上一頁下一頁返回模塊1安全管理路由器、交換機(jī)【操作步驟】（一）配置主機(jī)IP、三層交換機(jī)，實(shí)現(xiàn)全網(wǎng)互通（1）三層交換機(jī)配置如下。interfacefastethernet0/1interfacefastethernet0/2interfacefastethernet0/3interfacefastethernet0/4interfacefastethernet0/5noswitchportipaddress0上一頁下一頁返回模塊1安全管理路由器、交換機(jī)duplexautospeedautointerfacefastethernet0/6interfacefastethernet0/10switchportaccessvlan20switchportmodeaccessinterfacefastethernet0/11interfacefastethernet0/13interfacefastethernet0/24switchportaccessvlan30上一頁下一頁返回模塊1安全管理路由器、交換機(jī)interfacegigabitethernet0/1interfacegigabitethernet0/2interfacevlan1noipaddressshutdowninterfacevlan10ipaddress!interfacevlan20上一頁下一頁返回模塊1安全管理路由器、交換機(jī)ipaddressinterfacevlan30ipaddressipclassless（2）實(shí)現(xiàn)全網(wǎng)互通，保存測(cè)試結(jié)果，如圖13?2、圖13?3所示。（二）在三層交換機(jī)上配置擴(kuò)展訪問控制列表配置訪問控制規(guī)則，保證主機(jī)2不能訪問主機(jī)4。access-list10deny55access-list10permitany（三）在F0/5端口上應(yīng)用訪問控制列表上一頁下一頁返回模塊1安全管理路由器、交換機(jī)（1）應(yīng)用訪問控制規(guī)則。interfaceFastEthernet0/5noswitchportipaddress0ipaccess-group10induplexautospeedauto（2）驗(yàn)證結(jié)果，并記錄保存，如圖13?4所示。上一頁返回模塊2擴(kuò)展訪問控制列表任務(wù)14配置擴(kuò)展訪問控制列表【任務(wù)情境】蘇州帝聯(lián)信息科技有限公司信息中心為提高對(duì)信息中心服務(wù)器訪問的安全性，決定授權(quán)銷售部計(jì)算機(jī)訪問信息中心計(jì)算機(jī)，但是不允許外部客戶訪問公司信息中心服務(wù)器資源。通過創(chuàng)建擴(kuò)展訪問控制列表技術(shù)，實(shí)現(xiàn)對(duì)服務(wù)器的安全訪問。要求：（1）局域子網(wǎng)A與局域子網(wǎng)B相互訪問。（2）配置擴(kuò)展訪問控制列表，實(shí)現(xiàn)A子網(wǎng)計(jì)算機(jī)不能訪問B子網(wǎng)的計(jì)算機(jī)。下一頁返回模塊2擴(kuò)展訪問控制列表網(wǎng)絡(luò)地址規(guī)劃如表14-1所示?！静僮鞑襟E】（1）根據(jù)網(wǎng)絡(luò)拓?fù)洌M建網(wǎng)絡(luò)，如圖14?1所示。（2）配置路由器設(shè)備的基本信息，實(shí)現(xiàn)網(wǎng)絡(luò)通信。1）配置路由器端口。Router#configureterminalRouter(config)#interfacefastethernet0/0Router(config-if)ipaddressRouter(config-if)noshutdownRouter(config-if)exit上一頁下一頁返回模塊2擴(kuò)展訪問控制列表Router(config)#Router(config)#interfacefastethernet0/1Router(config-if)ipaddressRouter(config-if)noshutdown2）測(cè)試連通性，如圖14?2所示。（3）創(chuàng)建擴(kuò)展訪問控制列表。Router#configureterminalRouter(config)#access-list110denytcp55hosteq80上一頁下一頁返回模塊2擴(kuò)展訪問控制列表!配置擴(kuò)展訪問控制列表，拒絕

網(wǎng)絡(luò)中計(jì)算機(jī)訪問服務(wù)器

上的web服務(wù)Router(config)#access-list110permitipanyany!允許其他一切訪問。（4）應(yīng)用擴(kuò)展訪問控制列表。Router(config)#Router(config)#interfacefastethernet0/1Router(config-if)ipaddress-group110in!把定義好的規(guī)則應(yīng)用到連接路由器的0/1口進(jìn)入方向數(shù)據(jù)流的檢查中上一頁下一頁返回模塊2擴(kuò)展訪問控制列表Router(config-if)exit（5）驗(yàn)證測(cè)試，如圖14?3所示。任務(wù)15配置時(shí)間訪問控制列表【任務(wù)情境】蘇州帝聯(lián)信息科技有限公司信息中心為保護(hù)信息中心服務(wù)器的資源，在核心路由器上實(shí)施擴(kuò)展訪問控制列表，允許銷售部計(jì)算機(jī)和信息中心計(jì)算機(jī)進(jìn)行通信。由于禁止銷售部計(jì)算機(jī)訪問信息中心的Web服務(wù)器，給公司銷售部員工帶來了網(wǎng)絡(luò)訪問的不方便。因此在信息中心的監(jiān)控下，允許銷售部計(jì)算機(jī)在工作時(shí)間使用信息中心服務(wù)器上的Web服務(wù)，但在非工作時(shí)間內(nèi)不可以使用服務(wù)器上的Web服務(wù)。上一頁下一頁返回模塊2擴(kuò)展訪問控制列表通過創(chuàng)建時(shí)間訪問控制列表，開放信息中心服務(wù)器網(wǎng)絡(luò)訪問權(quán)限?！静僮鞑襟E】（1）根據(jù)網(wǎng)絡(luò)拓?fù)洌M建網(wǎng)絡(luò)，如圖15?1所示。（2）配置路由器設(shè)備的基本信息，實(shí)現(xiàn)網(wǎng)絡(luò)通信。1）配置路由器端口。Router#configureterminalRouter(config)#interfacefastethernet0/0Router(config-if)ipaddressRouter(config-if)noshutdown上一頁下一頁返回模塊2擴(kuò)展訪問控制列表Router(config-if)exitRouter(config)#Router(config)#interfacefastethernet0/1Router(config-if)ipaddressRouter(config-if)noshutdown2）測(cè)試連通性，如圖15?2所示。（3）創(chuàng)建時(shí)間訪問控制列表和時(shí)間范圍，實(shí)現(xiàn)A子網(wǎng)（/24）計(jì)算機(jī)受限訪問B（/24）子網(wǎng)的計(jì)算機(jī)。上一頁下一頁返回模塊2擴(kuò)展訪問控制列表Router#configureterminalRouter(config)#time-rangeoff-workRouter(config-time-range)#periodicweekdays09:00to18:00Router(config-time-range)#exitRouter(config)#access-list100permittcp55hosteq80time-rangeoff-work（4）應(yīng)用訪問控制列表。Router(config)#interfacefastethernet0/1Router(config-if)#ipaccess-group100in上一頁下一頁返回模塊2擴(kuò)展訪問控制列表Router(config-if)#exit（5）測(cè)試驗(yàn)證。在銷售部的計(jì)算機(jī)上，啟動(dòng)瀏覽器，輸入服務(wù)器B的IP地址，則在工作日時(shí)間段9:00～18:00，可以訪問服務(wù)器B，非工作日時(shí)間不可以訪問服務(wù)器B。任務(wù)16配置專家訪問控制列表【任務(wù)情境】蘇州帝聯(lián)信息科技有限公司信息中心為保護(hù)信息中心服務(wù)器的資源，在核心路由器上實(shí)施擴(kuò)展訪問控制列表，允許銷售部計(jì)算機(jī)和信息中心計(jì)算機(jī)進(jìn)行通信。上一頁下一頁返回模塊2擴(kuò)展訪問控制列表為了維護(hù)安全，只允許MAC地址為000c.000c.000c，IP地址為0的PC機(jī)專家訪問

的Web服務(wù)，其他

網(wǎng)段的主機(jī)可以訪問

其他網(wǎng)段的主機(jī)。網(wǎng)絡(luò)拓?fù)淙鐖D16?1所示。【操作步驟】路由器之間的互聯(lián)互通同前，這里不再贅述。（1）創(chuàng)建專家訪問控制列表。Router(config)#expertaccess-listextendedallow上一頁下一頁返回模塊2擴(kuò)展訪問控制列表Router(config-exp-nacl)#permittcphost0host000c.000c.000chosthost000e.000e.000eeq80Router(config-exp-nacl)#denytcpanyanyhosthost000e.000e.000eeq80Router(config-exp-nacl)#permitip55any55anyRouter(config-exp-nacl)#exitRouter(config)#（2）應(yīng)用訪問控制列表。Router(config)#interfacefastethernet0/1上一頁下一頁返回模塊2擴(kuò)展訪問控制列表Router(config-if)#expertaccess-groupallowinRouter(config-if)#exitRouter(config)#（3）驗(yàn)證測(cè)試。只有MAC地址為000c.000c.000c，且IP地址為0的主機(jī)可以訪問的Web服務(wù)。任務(wù)17配置MAC訪問控制列表【任務(wù)情境】上一頁下一頁返回模塊2擴(kuò)展訪問控制列表蘇州帝聯(lián)信息科技有限公司信息中心為保護(hù)信息中心服務(wù)器的資源，在核心路由器上實(shí)施擴(kuò)展訪問控制列表，允許銷售部計(jì)算機(jī)和信息中心計(jì)算機(jī)進(jìn)行通信。通過限定某MAC地址的PC機(jī)訪問網(wǎng)絡(luò)。網(wǎng)絡(luò)拓?fù)淙鐖D17?1所示?！静僮鞑襟E】路由器之間的互聯(lián)互通同前，這里不再贅述。（1）創(chuàng)建MAC訪問控制列表。SWA(config)#macaccess-listextendedper-vaildSWA(config-mac-nacl)#denyhost000c.000c.000cany上一頁下一頁返回模塊2擴(kuò)展訪問控制列表SWA(config-mac-nacl)#permitanyanySWA(config-mac-nacl)#exitSWA(config)#（2）應(yīng)用訪問控制列表。SWA(config)#interfacefastethernet0/1SWA(config-if)#macaccess-groupper-vaildin（3）驗(yàn)證測(cè)試。MAC地址為000c.000c.000c的主機(jī)不可以訪問任務(wù)主機(jī)服務(wù)。任務(wù)18訪問控制列表綜合應(yīng)用上一頁下一頁返回模塊2擴(kuò)展訪問控制列表【任務(wù)情境】蘇州帝聯(lián)信息技術(shù)有限公司接到一個(gè)小型網(wǎng)絡(luò)項(xiàng)目，涉及三個(gè)核心交換機(jī)，需要對(duì)網(wǎng)絡(luò)進(jìn)行規(guī)劃設(shè)計(jì)，實(shí)現(xiàn)互聯(lián)互通。為增強(qiáng)安全性，需要進(jìn)行網(wǎng)絡(luò)安全部署，在交換機(jī)上設(shè)置設(shè)備安全管理，并進(jìn)行標(biāo)準(zhǔn)訪問控制列表和擴(kuò)展訪問控制列表操作，另外要求在交換機(jī)上禁止廣播風(fēng)暴操作。要求：（1）搭建拓?fù)?，?shí)現(xiàn)互聯(lián)互通。（2）在三層交換機(jī)A、C上設(shè)置設(shè)備管理安全。（3）在三層交換機(jī)C上進(jìn)行MAC地址綁定，最大數(shù)為2，違例：shutdown。上一頁下一頁返回模塊2擴(kuò)展訪問控制列表（4）設(shè)置三層交換機(jī)A上的標(biāo)準(zhǔn)訪問控制列表，使PCA不能訪問PCB，但能訪問PCC。（5）在交換機(jī)B上禁止廣播風(fēng)暴。（6）在交換機(jī)B上創(chuàng)建擴(kuò)展訪問控制列表，使PCB不能訪問PCC的Web服務(wù)?！静僮鞑襟E】（一）搭建網(wǎng)絡(luò)拓?fù)?，?shí)現(xiàn)互聯(lián)互通網(wǎng)絡(luò)拓?fù)淙鐖D18?1所示。（1）劃分VLAN。交換機(jī)A上的配置：上一頁下一頁返回模塊2擴(kuò)展訪問控制列表!interfacevlan10ipaddress54!interfacevlan20ipaddress54!interfacevlan100ipaddress54!上一頁下一頁返回模塊2擴(kuò)展訪問控制列表交換機(jī)B上的配置：!interfacevlan10ipaddress53!interfacevlan20ipaddress53!interfacevlan100ipaddress53上一頁下一頁返回模塊2擴(kuò)展訪問控制列表!交換機(jī)C上的配置：!interfacevlan100ipaddress52!（2）將各端口添加到VLAN中。交換機(jī)A上操作：!interfacefastethernet0/1上一頁下一頁返回模塊2擴(kuò)展訪問控制列表switchportaccessvlan10!!interfacefastethernet0/2switchportaccessvlan20!interfacefastethernet0/5switchportaccessvlan100!交換機(jī)B上操作：上一頁下一頁返回模塊2擴(kuò)展訪問控制列表interfacefastethernet0/1noswitchportswitchportaccessvlan20!interfacefastethernet0/2switchportaccessvlan10!interfacefastethernet0/10switchportaccessvlan100!上一頁下一頁返回模塊2擴(kuò)展訪問控制列表交換機(jī)C上操作：!interfaceFastEthernet0/1switchportaccessvlan100!interfaceFastEthernet0/5switchportaccessvlan100!interfaceFastEthernet0/10switchportaccessvlan100上一頁下一頁返回模塊2擴(kuò)展訪問控制列表!（3）設(shè)置路由協(xié)議。交換機(jī)A上操作：!routerospf10log-adjacency-changesnetwork55area0network55area0network55area0!上一頁下一頁返回模塊2擴(kuò)展訪問控制列表交換機(jī)B上操作：!routerospf10log-adjacency-changesnetwork55area0network55area0network55area0!（4）測(cè)試連通性，如圖18?2～圖18?6所示。上一頁下一頁返回模塊2擴(kuò)展訪問控制列表（二）在三層交換機(jī)A、C上設(shè)置設(shè)備管理安全（1）設(shè)置控制臺(tái)登錄權(quán)限。Switch#configureterminalSwitch(config)#enablesecretlevel15ruijieSwitch(config)#usernameruijiepasswordstarSwitch(config)#linecon0Switch(config-line)#loginlocalSwitch(config-line)#exit（2）測(cè)試驗(yàn)證，如圖18?7所示。上一頁下一頁返回模塊2擴(kuò)展訪問控制列表（三）在三層交換機(jī)C上進(jìn)行MAC地址綁定，最大數(shù)為2，違例：shutdown（1）MAC地址綁定。1）運(yùn)行CMD，使用ipconfig/all獲得PCC的MAC地址，如圖18?8所示。2）綁定到端口0/1。Switch(config)#interfacefastEthernet0/1Switch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymac-address00D0.D3A8.C0B4上一頁下一頁返回模塊2擴(kuò)展訪問控制列表（2）設(shè)置端口MAC地址綁定最大數(shù)為2。Switch#configureterminalSwitch(config)#interfacefastEthernet0/1Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportport-securitymaximum2（3）違例設(shè)置。Switch#configureterminalSwitch(config)#interfacefastEthernet0/1Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportport-securityviolationshutdown上一頁下一頁返回模塊2擴(kuò)展訪問控制列表（4）驗(yàn)證測(cè)試，如圖18?9所示。（四）設(shè)置三層交換機(jī)A上的標(biāo)準(zhǔn)訪問控制列表，使PCA不能訪問PCB，但能訪問PCC分析：PCA到PCB有兩條鏈路，因此可以在兩條鏈路上制作訪問控制列表。（1）在交換機(jī)A上創(chuàng)建訪問控制列表。access-list10denyaccess-list10permitany（2）設(shè)置交換機(jī)A端口為路由模式。上一頁下一頁返回模塊2擴(kuò)展訪問控制列表1）先取消VLAN10的地址，否則出現(xiàn)地址沖突。Switch#configureterminalSwitch(config)#interfacevlan10Switch(config-if)#noipaddress查看命令是否生效Switch#showrunning-config!interfacevlan10noipaddress!上一頁下一頁返回模塊2擴(kuò)展訪問控制列表2）設(shè)置端口為路由模式。Switch#configureterminalSwitch(config)#interfacefastethernet0/1Switch(config-if)#noswitchport3）設(shè)置端口IP地址。Switch(config-if)#ipaddress54（3）在端口上應(yīng)用訪問控制列表。Switch#configure