網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程 課件 第四章 路由設(shè)備配置4.4

主講人：萬鵬第四章

路由設(shè)備配置網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程CONTENTS教學(xué)目標(biāo)路由器是網(wǎng)絡(luò)的核心，負(fù)責(zé)在網(wǎng)絡(luò)間將數(shù)據(jù)包從初始源位置轉(zhuǎn)發(fā)到最終目的地；路由器可以實(shí)現(xiàn)路由、網(wǎng)絡(luò)訪問控制、防止廣播風(fēng)暴，提高網(wǎng)絡(luò)安全等功能；路由器的安裝和調(diào)試比較復(fù)雜，相對其他網(wǎng)絡(luò)互連設(shè)備的價(jià)格較高。【知識(shí)目標(biāo)】?了解路由器的類型。?掌握路由器基本原理。?掌握各種路由的常用命令。【技能目標(biāo)】?能夠配置靜態(tài)路由、動(dòng)態(tài)路由，是網(wǎng)絡(luò)暢通。?能夠用OSPF路由完成路由配置，使網(wǎng)絡(luò)暢通。?能夠配置標(biāo)準(zhǔn)ACL實(shí)現(xiàn)網(wǎng)絡(luò)基本流量控制。?能夠配置DHCP服務(wù)實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)地址動(dòng)態(tài)獲取。?能夠配置靜態(tài)NAT、動(dòng)態(tài)NAT，實(shí)現(xiàn)內(nèi)網(wǎng)和外網(wǎng)的互訪。?能夠配置三層交換機(jī)實(shí)現(xiàn)VLAN間的路由轉(zhuǎn)發(fā)。CONTENTS4.1路由器基本配置4.24.34.44.54.64.7靜態(tài)路由動(dòng)態(tài)路由訪問控制列表DHCP與NAT廣域網(wǎng)鏈路三層交換機(jī)配置4.4訪問控制列表網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程4.4.1項(xiàng)目背景1.需求分析

隨著企業(yè)開放式網(wǎng)絡(luò)的不斷開發(fā)和建設(shè)，網(wǎng)絡(luò)面臨的威脅越來越多。數(shù)據(jù)在網(wǎng)絡(luò)上的任意流動(dòng)會(huì)給網(wǎng)絡(luò)帶來很多安全問題，網(wǎng)絡(luò)的可用性和安全性成為網(wǎng)絡(luò)管理員最為關(guān)心的問題。一方面，為了業(yè)務(wù)的發(fā)展，必須允許對網(wǎng)絡(luò)資源開放訪問權(quán)限；另一方面，又必須確保數(shù)據(jù)和資源的盡可能安全。

網(wǎng)絡(luò)安全采用的技術(shù)很多，而訪問控制列表是最重要的技術(shù)之一。本項(xiàng)目將說明管理員如何使用訪問控制列表實(shí)現(xiàn)網(wǎng)絡(luò)安全定義，阻止不合理的和非法

的流雖，允許特定流量的同時(shí)阻止網(wǎng)絡(luò)中的所有其他流量，從而保護(hù)中型企業(yè)的分支機(jī)構(gòu)網(wǎng)絡(luò)。

2.環(huán)境準(zhǔn)備

?設(shè)備：路由器2臺(tái)，PC3臺(tái)，服務(wù)器1臺(tái)。?線纜：標(biāo)準(zhǔn)交叉線3根，串行電纜2組，控制臺(tái)電纜1根。?每組2名學(xué)生，各操作一臺(tái)PC，協(xié)同進(jìn)行實(shí)訓(xùn)。4.4訪問控制列表網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程3.技能準(zhǔn)備

（1）訪問控制列表簡介

訪問控制列表（ACL）是一種路由器配置腳本，它根據(jù)從數(shù)據(jù)包報(bào)頭中發(fā)現(xiàn)的條件（源地址、目的地址、源端口、目的端口和協(xié)議等）來控制路由器應(yīng)該允許還是拒絕數(shù)據(jù)包通過，從而達(dá)到訪問控制的目的。ACL可以實(shí)現(xiàn)的主要功能如下：

①檢查和過濾數(shù)據(jù)包。

②限制網(wǎng)絡(luò)流量，提高網(wǎng)絡(luò)性能。③限制或減少路由更新的內(nèi)容。④提供網(wǎng)絡(luò)訪問的基本安全級別。

問控制列表ACL（AccessControlList）可以定義一系列不同的規(guī)則，設(shè)備根據(jù)這些規(guī)則對數(shù)據(jù)包進(jìn)行分類，并針對不同類型的報(bào)文進(jìn)行不同的處理，從而可以實(shí)現(xiàn)對網(wǎng)絡(luò)訪問行為的控制、限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能、防止網(wǎng)絡(luò)攻擊等等。默認(rèn)情況下，路由器上沒有配置任何ACL，不會(huì)過濾流量。進(jìn)入路由器的流量根據(jù)路由表進(jìn)行路由。如果路由器上沒有使用ACL，所有可以被路由器路由的數(shù)據(jù)包都會(huì)經(jīng)過路由器到達(dá)下一個(gè)網(wǎng)段。4.4訪問控制列表網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程（2）配置ACL的原則

①順序處理原則。對ACL表項(xiàng)的檢查是按照自上而下的順序進(jìn)行的，從第1行起，直到找到第1個(gè)符合條件的行為止，其余的行不再繼續(xù)比較。因此必須考慮在訪問控制列表中放入語句的次序，如測試性的語句最好放在ACL的最頂部。②最小特權(quán)原則。對ACL表項(xiàng)的設(shè)置應(yīng)只給受控對象完成任務(wù)所必需的最小的權(quán)限。如果沒有ACL，則等于permitany。一旦添加了ACL，默認(rèn)在每個(gè)ACL中最后一行為隱含的拒絕（denyany）。如果之前沒找到一條許可（permit）語句，意味著包將被丟棄。因此每個(gè)ACL必須至少有一行permit語句，除非用戶想將所有數(shù)據(jù)包丟棄。③最靠近受控對象原則。盡量考慮將擴(kuò)展的ACL放在靠近源地址的位置上這樣創(chuàng)建的過濾器就不會(huì)反過來影響其他接口上的數(shù)據(jù)流。另外，盡量使標(biāo)準(zhǔn)的ACL靠近目的地址，由于標(biāo)準(zhǔn)ACL只使用源地址，如果將其靠近源地址會(huì)阻止報(bào)文流向其他端口。4.4訪問控制列表網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程

（3）ACL類型①標(biāo)準(zhǔn)ACL，比較簡單，根據(jù)數(shù)據(jù)包的源IP地址進(jìn)行過濾。其表號(hào)范圍是1—99或1300?1999。②擴(kuò)展ACL，根據(jù)多種屬性（協(xié)議類型、源IP地址、目的IP地址、源TCP或UDP端口、目的TCP或UDP端口）過濾IP數(shù)據(jù)包，并可依據(jù)協(xié)議類型信息進(jìn)行更為精確的控制。其表號(hào)范圍是100?199或2000?2699。

除了使用數(shù)字定義ACL外，也可以使用命名的方法定義ACL，即命名ACL。包括標(biāo)準(zhǔn)命名ACL和擴(kuò)展命名ACL兩種。

（4）復(fù)雜ACL

復(fù)雜ACL是指在標(biāo)準(zhǔn)ACL和擴(kuò)展ACL的基礎(chǔ)上構(gòu)建的實(shí)現(xiàn)更多功能的ACL，主要有3種類型：動(dòng)態(tài)ACL、自反ACL和基于時(shí)間的ACL。①動(dòng)態(tài)ACL：除非使用Telnet連接路由器并通過身份驗(yàn)證，否則要求通過路由器的用戶都會(huì)遭到拒絕。②自反ACL：允許出站流量，而入站流量只能是對路由器內(nèi)部發(fā)起的會(huì)話的響應(yīng)。③基于時(shí)間的ACL：允許根據(jù)一周以及一天內(nèi)的時(shí)間來控制訪問。4.4訪問控制列表網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程4.4.2項(xiàng)目設(shè)計(jì)

作為一家公司的網(wǎng)絡(luò)管理員，可以通過訪問控制列表來實(shí)現(xiàn)公司網(wǎng)絡(luò)的安全策略。實(shí)現(xiàn)192.168.10.0網(wǎng)段無法ping通172.16.10.0網(wǎng)段

實(shí)現(xiàn)192.168.10.0網(wǎng)段中的Client1可以訪問172.16.10.0網(wǎng)段中的Server1web服務(wù)

1.拓?fù)湓O(shè)計(jì)

本項(xiàng)目的網(wǎng)絡(luò)拓?fù)淙鐖D所示。

4.4訪問控制列表網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程2.IP地址設(shè)計(jì)

為了簡化網(wǎng)絡(luò)實(shí)現(xiàn)而設(shè)計(jì)的設(shè)備接口地址方案見表。設(shè)備接口IP地址子網(wǎng)掩碼默認(rèn)網(wǎng)關(guān)PC2網(wǎng)卡192.168.10.1255.255.255.0192.168.10.254PC3網(wǎng)卡172.16.10.1255.255.255.0172.16.10.254Client1網(wǎng)卡192.168.10.2255.255.255.0192.168.10.254Server1網(wǎng)卡172.16.10.1255.255.255.0172.16.10.254AR1G0/0/112.1.1.1255.255.255.0

AR2G0/0/012.1.1.2255.255.255.0

AR1G0/0/0192.168.10.254255.255.255.0

AR2G0/0/1G172.16.10.254255.255.255.0設(shè)備接口IP地址表4.4訪問控制列表網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程4.4.3項(xiàng)目實(shí)施1.高級ACL

任務(wù)1：連接網(wǎng)絡(luò)并配置路由器，使網(wǎng)絡(luò)暢通。①按照拓?fù)鋱D連接網(wǎng)絡(luò)。②使用ping命令檢驗(yàn)網(wǎng)絡(luò)連通性。

在進(jìn)行ACL配置之前，先測試從PC1到PC3（或R3的G0/1接口）的連通性，連通性測試成功后才能應(yīng)用ACL。4.4訪問控制列表網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程

任務(wù)2：為路由器配置高級ACL。

要在路由器上配置ACL，必須先創(chuàng)建ACL，然后在接口上應(yīng)用ACL。

①在ARB上創(chuàng)建并應(yīng)用ACL3000。Aclnumber3000rule5denyicmpsource192.168.10.00.0.0.255destination172.16.10.20分類編號(hào)范圍參數(shù)基本ACL2000—2999源IP地址等高級ACL3000—3999源IP地址、目的地址、源端口、目的端口等二層ACL4000—4999源MAC地址、目的MAC地址、以太幀協(xié)議類型等?將ACL應(yīng)用到接口或VTY線路上?？梢杂胻raffic-filter命令將ACL應(yīng)用到具體的接口上以控制通過接口的流量，語法格式為：interfaceGigabitEthernet0/0/1ipaddress172.16.10.254255.255.255.0traffic-filteroutboundacl3000

ACL語句的順序應(yīng)該從最具體到最概括，如ACL3000中拒絕網(wǎng)絡(luò)192.168.10.0/24的語句應(yīng)在允許所有其他流量的語句（permitany）之前，否則拒絕語句將失去存在的必要。

想一想，是否可以將ACL1應(yīng)用到R3的f0/0接口出方向上為什么？4.4訪問控制列表網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程任務(wù)3：檢驗(yàn)和測試ACL。

ping測試。

在

PC2上ping服務(wù)器server1（172.16.10.2），結(jié)果如圖4-15：

因?yàn)橹幌拗屏薎CMP的ping協(xié)議，所以192.168.10.0段地址無法ping通172.16.10.0的任意地址。4.4訪問控制列表網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程

使用Client1訪問SERVER1的web服務(wù)，結(jié)果如圖所示：

使用172.16.10.0段任意地址可以ping通192.168.10.0的任意地址，結(jié)果如圖所示：4.4訪問控制列表網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程4.4.4項(xiàng)目總結(jié)與文檔1.項(xiàng)目總結(jié)本項(xiàng)目介紹了如何在公司網(wǎng)絡(luò)中通過訪問控制列表ACL來實(shí)現(xiàn)安全策略。ACL是一種路由器配置腳本，它根據(jù)某些規(guī)則來控制路由器應(yīng)該允許還是拒絕數(shù)據(jù)包通過，從而達(dá)到訪問控制的目的。

標(biāo)準(zhǔn)ACL最簡單，只根據(jù)數(shù)據(jù)包的源IP地址進(jìn)行過濾，其表號(hào)范圍是1~99或1300-1999；擴(kuò)展ACL則根據(jù)源IP地址、目的IP地址、源端口、目的端口等過濾數(shù)據(jù)包，并可依據(jù)協(xié)議類型信息進(jìn)行更為精確的控制，其表號(hào)范圍是100-199或2000-2699。命名ACL包括標(biāo)準(zhǔn)命名ACL和擴(kuò)展命名ACL兩種，定義和修改起來比數(shù)字式的ACL更方便靈活。

復(fù)雜ACL主要有3種類型：動(dòng)態(tài)ACL、自反ACL和基于時(shí)間的ACL。基于時(shí)間的ACL是在標(biāo)準(zhǔn)ACL或擴(kuò)展ACL后應(yīng)用時(shí)間段選項(xiàng)（time-range）以實(shí)現(xiàn)基于