網(wǎng)絡(luò)設(shè)備配置與管理項(xiàng)目式教程（第3版） 課件 3.2利用IP標(biāo)準(zhǔn)訪問控制列表進(jìn)行網(wǎng)絡(luò)流量控制

利用IP標(biāo)準(zhǔn)訪問控制列表

進(jìn)行網(wǎng)絡(luò)流量控制教學(xué)目標(biāo)能夠在三層交換機(jī)或路由器中根據(jù)源IP地址過濾數(shù)據(jù)包；能夠根據(jù)流量控制要求在網(wǎng)絡(luò)中選擇合適的路由設(shè)備和接口配置標(biāo)準(zhǔn)訪問控制列表；能夠進(jìn)行標(biāo)準(zhǔn)訪問控制列表準(zhǔn)確性的檢驗(yàn)；能夠描述標(biāo)準(zhǔn)訪問控制列表的作用；能夠描述訪問控制列表的基本工作過程及規(guī)則；培養(yǎng)學(xué)生網(wǎng)絡(luò)安全管理的基本素養(yǎng)。工作任務(wù)

一個中小企業(yè)網(wǎng)絡(luò)，為三個部門劃分了子網(wǎng)，分別為生產(chǎn)部、管理部和財(cái)務(wù)部，對應(yīng)子網(wǎng)分別是VLAN10、VLAN20和VLAN30。企業(yè)的核心數(shù)據(jù)保存在內(nèi)網(wǎng)服務(wù)器SERVER1中，根據(jù)信息安全的要求，只允許管理部和財(cái)務(wù)部的計(jì)算機(jī)訪問內(nèi)網(wǎng)服務(wù)器SERVER1，不允許生產(chǎn)部的計(jì)算機(jī)訪問內(nèi)網(wǎng)服務(wù)器SERVER1，作為網(wǎng)絡(luò)管理員，希望你進(jìn)行適當(dāng)?shù)呐渲?，在確保各部門計(jì)算機(jī)對網(wǎng)絡(luò)共享資源訪問的條件下，限制生產(chǎn)部的計(jì)算機(jī)對內(nèi)網(wǎng)服務(wù)器SERVER1的訪問。網(wǎng)絡(luò)拓?fù)淅脴?biāo)準(zhǔn)訪問控制列表進(jìn)行網(wǎng)絡(luò)流量控制操作步驟（演示）

步驟1．在三層交換機(jī)SW1上創(chuàng)建VLAN，將相應(yīng)端口加入VLAN，并配置交換虛擬接口（SVI）地址。步驟2．配置路由器名稱和端口IP地址。步驟3．在三層交換機(jī)SW1、路由器RT1上配置路由。步驟4．測試網(wǎng)絡(luò)連通性。步驟5．在路由器RT1的端口F1/0上配置標(biāo)準(zhǔn)IP訪問控制列表。步驟6．驗(yàn)證數(shù)據(jù)流量控制的有效性。步驟7．查看訪問控制列表的正確性。操作要領(lǐng)

訪問控制列表表項(xiàng)的檢查與執(zhí)行按自上而下的順序進(jìn)行，并且從第一個表項(xiàng)開始，所以必須考慮在訪問控制列表中定義語句的次序；路由器不對自身產(chǎn)生的IP數(shù)據(jù)包進(jìn)行過濾；訪問控制列表最后一條是隱含的拒絕所有；每個路由設(shè)備接口的每個方向，每種協(xié)議只能創(chuàng)建一個ACL；標(biāo)準(zhǔn)訪問控制列表要應(yīng)用在盡量靠近目的地址的端口上。相關(guān)知識—訪問列表基本概念I(lǐng)PAccess-list：IP訪問列表或訪問控制列表，簡稱IPACL。ACL就是對經(jīng)過網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包根據(jù)一定的規(guī)則進(jìn)行數(shù)據(jù)包的過濾。ISP√

相關(guān)知識—訪問列表的作用內(nèi)網(wǎng)安全運(yùn)行訪問外網(wǎng)的安全控制相關(guān)知識—訪問列表的作用訪問控制列表的作用：內(nèi)網(wǎng)布署安全策略，保證內(nèi)網(wǎng)安全權(quán)限的資源訪問；內(nèi)網(wǎng)訪問外網(wǎng)時，進(jìn)行安全的數(shù)據(jù)過濾；防止常見病毒、木馬、攻擊對用戶的破壞。相關(guān)知識—訪問列表的組成定義訪問列表的步驟定義規(guī)則（哪些數(shù)據(jù)允許通過，哪些數(shù)據(jù)不允許通過）將規(guī)則應(yīng)用在路由器（或交換機(jī)）的接口上訪問控制列表的分類：標(biāo)準(zhǔn)訪問控制列表擴(kuò)展訪問控制列表

相關(guān)知識—訪問列表規(guī)則的應(yīng)用路由器應(yīng)用訪問列表對流經(jīng)接口數(shù)據(jù)包進(jìn)行控制入棧應(yīng)用（in）經(jīng)接口進(jìn)入設(shè)備的數(shù)據(jù)包進(jìn)行安全規(guī)則過濾出棧應(yīng)用（out）設(shè)備從接口向外發(fā)送數(shù)據(jù)時進(jìn)行安全規(guī)則過濾一個接口在一個方向只能應(yīng)用一組訪問控制列表F1/0F1/1INOUT相關(guān)知識—訪問列表的入棧應(yīng)用NY是否允許

?Y是否應(yīng)用

訪問列表

?N查找路由表進(jìn)行選路轉(zhuǎn)發(fā)以ICMP信息通知源發(fā)送方以ICMP信息通知源發(fā)送方NY選擇出口

S0

路由表中是否存在記錄

?NY查看訪問列表

的陳述是否允許

?Y是否應(yīng)用

訪問列表

?NS0S0

相關(guān)知識—訪問列表的出棧應(yīng)用相關(guān)知識—IPACL的基本原則一切未被允許的就是禁止的定義訪問控制列表規(guī)則時，最終的缺省規(guī)則是拒絕所有數(shù)據(jù)包通過按規(guī)則鏈來進(jìn)行匹配使用源地址、目的地址、源端口、目的端口、協(xié)議、時間段進(jìn)行匹配規(guī)則匹配原則從頭到尾，自頂向下的匹配方式匹配成功馬上停止立刻使用該規(guī)則的“允許/拒絕……”Y拒絕Y是否匹配

規(guī)則條件1?允許N拒絕允許是否匹配

規(guī)則條件2?拒絕是否匹配

最后一個

條件

?YYNYY允許隱含拒絕N

相關(guān)知識—訪問列表多條過濾規(guī)則相關(guān)知識—訪問列表規(guī)則的定義標(biāo)準(zhǔn)訪問列表根據(jù)數(shù)據(jù)包源IP地址進(jìn)行規(guī)則定義擴(kuò)展訪問列表根據(jù)數(shù)據(jù)包中源IP、目的IP、源端口、目的端口、協(xié)議進(jìn)行規(guī)則定義源地址TCP/UDP數(shù)據(jù)IP

eg.HDLC1-99

1300-1999號列表

相關(guān)知識—IP標(biāo)準(zhǔn)訪問列表目的地址源地址協(xié)議端口號

相關(guān)知識—IP擴(kuò)展訪問列表TCP/UDP數(shù)據(jù)IP

eg.HDLC100-199

2000-2699號列表0表示檢查相應(yīng)的地址比特1表示不檢查相應(yīng)的地址比特001111111286432168421000000000000111111111111

相關(guān)知識—反掩碼（通配符）

相關(guān)知識—IP標(biāo)準(zhǔn)訪問列表的配置1.定義標(biāo)準(zhǔn)ACL編號的標(biāo)準(zhǔn)訪問列表

Router(config)#access-list<1-99>{permit|deny}源地址[反掩碼]命名的標(biāo)準(zhǔn)訪問列表

switch(config)#ipaccess-liststandard<name>switch(config-std-nacl)#{permit|deny}源地址[反掩碼]2.應(yīng)用ACL到接口Router(config-if)#ipaccess-group<1-99>{in|out}172.16.3.0172.16.4.0F1/0S1/2F1/1172.17.0.0

相關(guān)知識—IP標(biāo)準(zhǔn)訪問列表配置實(shí)例(一)配置：access-list1permit172.16.3.00.0.0.255(access-list1denyany)interfaceserial1/2ipaccess-group1out相關(guān)知識—標(biāo)準(zhǔn)訪問列表配置實(shí)例(二)需求：你是某校園網(wǎng)管，領(lǐng)導(dǎo)要你對網(wǎng)絡(luò)的數(shù)據(jù)流量進(jìn)行控制,要求校長可以訪問財(cái)務(wù)的主機(jī)，但教師機(jī)不可以訪問。配置：ipaccess-listextendedabcpermithost192.168.2.8deny192.168.2.00.0.0.255財(cái)務(wù)192.168.1.0教師192.168.2.0192.168.2.8F0/1F0/2F0/5F0/6F0/8F0/9F0/10校長

相關(guān)知識—訪問列表的驗(yàn)證顯示全部的訪問列表Router#showaccess-lists顯示指定的訪問列表Router#showaccess-lists<1-199>顯示接口的訪問列表應(yīng)用Router#showipinterface接口名稱接口編號相關(guān)知識—IP訪問