é¡¹ç›®åäºŒ å®‰å…¨ç–ç•¥ä¸Žæ•°æ®æµé‡è¿‡æ»¤

项目十二 安全策略与数据流量过滤

1.教学目标 □ 掌握网络安全策略布置原则，掌握IP标准及扩展访问控制列表配置技能，能够根据实际需求准确配置IP访问控制列表，具体如下：（1）了解IP标准及扩展访问控制列表的功能及用途（2）掌握IP标准访问控制列表配置技能（3）掌握IP扩展访问控制列表配置技能

2.工作任务 □ 根据客户工作任务的具体要求，配置IP标准或扩展访问控制列表，实现网络数据流量控制。

模块1 IP标准访问控制列表的建立及应用

１. 教学目标 □ 了解IP标准访问控制列表的功能及用途 □掌握路由器IP标准访问控制列表配置技能 □掌握交换机IP标准访问控制列表配置技能

2. 工作任务 　　你是学校网络管理员，学校的财务处、教师办公室和校办企业财务科分属不同的3个网段，三个部门之间通过路由器进行信息传递，为了安全起见，学校领导要求你对网络的数据流量进行控制，实现校办企业财务科的主机可以访问财务处的主机，但是教师办公室主机不能访问财务处主机。

3. 相关实践知识　　 □首先对两路由器进行基本配置，实现三个网段可以相互访问；然后对距离控制目的地址较近的路由器RouterB配置IP标准访问控制列表，允许192.168.1.0网段（校办企业财务科）主机发出的数据包通过，不允许192.168.2.0网段（教师办公室）主机发出的数据包通过，最后将这一策略加到路由器RouterB的Fa 0端口，如图12.1所示。

图12.1　路由器IP标准访问控制列表

第1步：基本配置 路由器RouterA： R >enable R #configure terminal R(config)#hostname RouterA RouterA (config)# line vty 0 4 RouterA (config-line)#login RouterA (config-line)#password 100 RouterA (config-line)#exit RouterA (config)# enable password 100 RouterA (config)#interface fastethernet 0 RouterA (config-if)#ip address 192.168.1.1 255.255.255.0 RouterA (config-if)#no shutdown RouterA (config-if)#Exit

RouterA (config)#interface fastethernet 1 RouterA (config-if)#ip address 192.168.12.1 255.255.255.0 RouterA (config-if)#no shutdown RouterA (config-if)#Exit RouterA (config)#interface fastethernet 2 RouterA (config-if)#ip address 192.168.2.1 255.255.255.0 RouterA (config-if)#no shutdown RouterA (config-if)#Exit RouterA (config)#ip route 192.168.3.0 255.255.255.0 192.166.12.2 路由器RouterB同理配置

第2步：在路由器RouterB上配置IP标准访问控制列表第2步：在路由器RouterB上配置IP标准访问控制列表 RouterB (config)#access-list 1 deny 192.168.2.0 0.0.0.255 RouterB (config)#access-list 1 permit 192.168.1.0 0.0.0.255 验证测试 RouterB #show access-list 1 第3步：应用在路由器RouterB的Fa 0接口输出方向上 RouterB (config)#interface fastethernet 0 RouterB (config-if)#ip access-group 1 out 验证测试 RouterB #show ip interface fastethernet 0

4. 相关理论知识 □ACL概述访问控制列表（ACL）是在交换机或路由器上定义一些规则，对经过网络设备的数据包根据一定规则进行过滤。 □ACL分类（1）编号访问控制列表：在路由器配置的访问控制列表是由编号来命名的，包括IP标准访问控制列表和IP扩展访问控制列表。（2）命名访问控制列表：在三层交换机配置的访问控制列表是由字符串名字来命令的，包括IP标准访问控制列表和IP扩展访问控制列表。

□编号标准访问控制列表 （1）标准访问控制列表在路由器上建立的访问控制列表，其编号取值范围为1－99之间整数值，只根据源IP地址过滤流量。在标准或扩展访问列表的末尾，总有一个隐含的Deny all。这意味着如果数据包源地址与任何允许语句不匹配，则隐含的Deny all将会禁止该数据包通过。（2）定义访问控制列表 R (config)#access-list access-list number {permit/deny} source {source mask} 其中： access-list number ：访问列表序号,范围是1-99； Permit/deny：允许/禁止满足条件的数据包通过； Source ：过滤数据包的源IP地址； Source mask：通配屏蔽码，1：不检查位，0：必须匹配位。

【例12.3】定义访问控制列表1拒绝特定主机192.168.10.1的流量，但允许其它的所有主机。【例12.3】定义访问控制列表1拒绝特定主机192.168.10.1的流量，但允许其它的所有主机。 R(config)#access-list 1 deny host 192.168.10.1 R(config)#access-list 1 permit any （3）应用访问控制列表访问控制列表需要应用到路由器的一个接口上，应用到一个接口上可选择入栈（IN）或出栈（OUT）二个方向。【例12.5】将访问控制列表1应用到路由器的接口fastethernet 0的入栈方向上。 R#configure terminal R(config)# interface fastethernet 0 R(config-if)#ip access-group 1 in R(config-if)#end

□命名标准访问控制列表 在三层交换机上配置命名标准访问控制列表，也是采用定义ACL、在接口上应用ACL、查看ACL等步骤进行。第1步：进入Access-list配置模式，用名字来定义一条标准访问控制列表。 Switch(config)#ip access-list standard ｛name｝ Switch(config-std-nacl)# 第2步：定义访问控制列表条件 Switch(config-std-nacl)#deny {source source-wildcard|host source |any} 或permit{source source-wildcard|host source|any}。 Switch(config-std-nacl)#exit Switch(config)#

其中：permit允许通过；deny　禁止通过； Source 是要被过滤数据包的源IP地址； source-wildcard 是通配屏蔽码，指出该域中哪些位进行匹配，1表示允许这些位不同，0表示这些位必须匹配； Host source代表一台源主机，其source-wildcard为0.0.0.0； any代表任意主机，即source为0.0.0.0，source-wildcard为255.255.255.255。第3步：应用访问控制列表 Switch(config)#interface vlan n 其中：n是指Vlan n，以实现进入SVI模式 Switch(config-if)#ip access-group [name]［in|out］其中：name为访问控制列表名称，in或out为控制接口流量方向。 Switch(config-if)#

【例12.7】在交换机上配置访问控制列表，实现只禁止192.168.2.0网段上主机发出的数据，而允许其它任意主机。【例12.7】在交换机上配置访问控制列表，实现只禁止192.168.2.0网段上主机发出的数据，而允许其它任意主机。 Switch#configure terminal Switch(config)# Switch(config)#ip access-list standard deny_2.0 Switch(config-std-nacl)#deny 192.168.2.0 0.0.0.255 Switch(config-std-nacl)#permit any Switch(config-std-nacl)#exit Switch(config)#interface vlan 2 Switch(config-if)#ip access-group deny_2.0 in Switch(config-if)#end Switch#show access-lists

模块2 IP扩展访问控制列表的建立及应用

１. 教学目标 □ 了解IP扩展访问控制列表功能及用途 □ 掌握路由器IP扩展访问控制列表配置技能 □ 掌握交换机IP扩展访问控制列表配置技能

2. 工作任务 　　你是学校网络管理员，学校的网管中心分别架设FTP、Web服务器，其中FTP服务器供教师专用，学生不可使用；Web服务器教师和学生都可访问。FTP及Web服务器、教师办公室和学生宿舍分属不同的3个网段，三个网段之间通过路由器进行信息传递，要求你对路由器进行适当设置实现网络的数据流量控制。

3. 相关实践知识　　 □ 首先对两路由器进行基本配置，实现三个网段相互访问；然后对离控制源地址较近的路由器RouterA配置IP扩展访问控制列表，不允许192.168.1.0网段（学生宿舍）主机发出的去192.168.3.0网段的FTP数据包通过，允许192.168.1.0网段主机发出的其它服务数据包通过，最后将这一策略加到路由器RouterA的Fa 0端口，如图12.4所示。

图12.4　路由器IP扩展访问控制列表

第1步：基本配置 路由器RouterA： R>enable R#configure terminal R(config)#hostname RouterA RouterA (config)# line vty 0 4 RouterA (config-line)#login RouterA (config-line)#password 100 RouterA (config-line)#exit RouterA (config)# enable password 100 RouterA (config)#interface fastethernet 0 RouterA (config-if)#ip address 192.168.1.1 255.255.255.0 RouterA (config-if)#no shutdown RouterA (config-if)#Exit

RouterA (config)#interface fastethernet 1 RouterA (config-if)#ip address 192.168.12.1 255.255.255.0 RouterA (config-if)#no shutdown RouterA (config-if)#Exit RouterA (config)#interface fastethernet 2 RouterA (config-if)#ip address 192.168.2.1 255.255.255.0 RouterA (config-if)#no shutdown RouterA (config-if)#Exit RouterA (config)#ip route 192.168.3.0 255.255.255.0 192.166.12.2 路由器RouterB同理配置

第2步：在路由器RouterA上配置IP扩展访问控制列表第2步：在路由器RouterA上配置IP扩展访问控制列表拒绝来自192.168.1.0 网段去192.168.3.0网段的FTP流量通过 RouterA (config)#access-list 101 deny TCP 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255 eq FTP 允许其它服务的流量通过 RouterA (config)#access-list 101 permit IP any any 验证测试 RouterA #show access-list 101 第3步：把访问控制列表应用在路由器RouterA的Fa 0接口输入方向上。 RouterA(config)#interface fastethernet 0 RouterA (config-if)#ip access-group 101 in

4. 相关理论知识 □编号扩展访问控制列表扩展编号访问控制列表同标准编号访问控制列表一样也是在路由器上创建的，其编号范围为100到199之间。扩展IP访问控制列表可以基于数据包源IP地址、目的IP地址、协议及端口号等信息来过滤流量。 □配置编号扩展访问控制列表 R(config)#access-list listnumber { permit | deny } protocol source source-wildcard-mask destination destination-wildcard-mask [ operator operand ]

其中： Listnumber：规则序号，范围为100-199。 Permit/deny：允许/或禁止满足该规则的数据包通过。 protocol ：0-255之间协议号，也可用协议名（如IP、TCP和UDP。 operator operand ：用于指定端口范围，缺省为全部端口号0-65535，只有 TCP 和 UDP 协议需要指定端口范围。【例12.8】在路由器R上配置访问控制列表，实现只允许从129.8.0.0网段的主机向202.39.160.0网段的主机发送WWW报文，禁止其它报文通过。 R(config)#Access-list 100 permit tcp 129.8.0.0 0.0.255.255 202.39.160.0 0.0.0.255 eq www R(config)#interface fastethernet 0 R(config-if )#ip access-group 100 in R#show access-lists

□ 命名扩展访问控制列表 第1步：用名字来定义一个命名扩展访问控制表，并进入扩展访问控制列表配置模式 Switch(config)#ip access-listextended {name} witch(config-ext-nacl)# 第2步：定义访问控制列表条件 Switch(config-ext-nacl)#{deny|permit} protocol {source source-wildcard|host source |any}[operator port] {destination destination-wildcard|host destination|any}[operator port]。 Switch(config-ext-nacl)#exit Switch(config)#

其中： Deny：禁止通过；Permit：允许通过； Protocol：协议类型。TCP：tcp；UDP：udp；IP：ip； Source：源IP地址； source-wildcard：源IP地址通配符； Host source：源主机，其source-wildcard为0.0.0.0； host destination：目标主机，其destination-wildcard为0.0.0.0； Any：任意主机，即source或destination为0.0.0.0，source-wildcard或destination-wildcard为255.255.255.255； Operator：操作符，只能为eq。 Port：TCP或UDP的端口号，范围为0-65535。

【例12.9】在交换机上配置访问控制列表，实现只允许192.168.2.0网段上主机访问IP地址为172.16.1.100的Web服务器，而禁止其它任意主机使用。【例12.9】在交换机上配置访问控制列表，实现只允许192.168.2.0网段上主机访问IP地址为172.16.1.100的Web服务器，而禁止其它任意主机使用。 Switch(config)#ip access-list extended allow_2.0 Switch(config-ext-nacl)#permit tcp 192.168.2.0 0.0.0.255 host 172.16.1.100 eq www Switch(config-ext-nacl)#exit Switch(config)#interface vlan 2 Switch(config-if)#ip access-group allow_2.0 in Switch(config-if)#end

模块3 基于时间的访问列表建立与应用

１. 教学目标 □ 了解基于时间访问控制列表的功能及用途 □ 掌握路由器基本时间访问控制列表配置技能

2. 工作任务 　　你是某公司的网管，为了保证公司上班时间的工作效率，公司要求上班时间只可以访问公司的内部网站。下班后员工可以随意放松，访问网络不受限制。

3. 相关实践知识　　 □ 在路由器上进行基本配置，然后设置基于时间的访问控制列表，把这个访问控制列表应用于路由器的Fa 0接口，如图12.5所示。

图12.5　基于时间的访问控制列表

第1步：基本配置 路由器RouterA： R >enable R#configure terminal R(config)#hostname RouterA RouterA (config)# line vty 0 4 RouterA (config-line)#login RouterA (config-line)#password 100 RouterA (config-line)#exit RouterA (config)# enable password 100 RouterA (config)#interface fastethernet 0 RouterA (config-if)#ip address 192.168.1.1 255.255.255.0 RouterA (config-if)#no shutdown

RouterA (config-if)#Exit RouterA (config)#interface fastethernet 1 RouterA (config-if)#ip address 192.168.2.1 255.255.255.0 RouterA (config-if)#no shutdown RouterA (config-if)#Exit 第2步：配置路由器的时钟 RouterA#show clock Clock:1987-1-16 5:19:9 重新设置路由器当前时钟和实际时钟同步 RouterA(config)#clock set 16:03:40 27 april 2006-4-27 RouterA#show clock Clock:2006-4-27 16:04-9

第3步：定义时间段 RouterA(config)#time-range freetime 定义绝对时间段 RouterA(config-time-range)#absolute start 8:00 1 jan 2006 end 18:00 30 dec 2010 定义周期性时间段 RouterA(config-time-range)#periodic daily 0:00 to 9:00 RouterA(config-time-range)#periodic daily 17:00 to 23:59 RouterA#show time-range Time-range entry:freetime(inactive) Absolute start 8:00 01 january 2006 end 18:00 30 december 2010 Periodic daily 0:00 to 9:00 Periodic daily 17:00 to 23:59

第4步：定义访问控制列表 任务时间允许访问服务器192.168.2.10 RouterA (config)#access-list 102 permit ip any host 192.168.2.10 允许在规定时间段内访问任何网络 RouterA (config)#access-list 102 permit ip any any time-range freetime 查看访问控制列表配置 RouterA #show access-lists 第5步：访问控制列表应用在路由器RouterAFa 0接口输入方向上 RouterA (config)#interface fastethernet 0 RouterA (config-if)#ip access-group 102 in 查看Fa 0接口上应用的规则 RouterA #show ip interface fastethernet 0

4. 相关理论知识 □基于时间的访问列表基于时间的ACL功能使管理员可以依据时间来控制用户对网络资源的访问，即可以根据时间来禁止/允许用户访问网络资源。 □创建并定义Time-range接口 Router(config)# time-range time-range-name Router(config-time-range)# absolute [start time date] [end time date] and/or periodic days-of-the-week hh:mm to [days-of-the- week] hh:mm 其中： time-range-name为定义的接口名

□关联Time-range接口与ACL 只允许扩展访问控制列表ACL关联Time- range接口。 □创建并定义Time-range接口 Router(config)# access-list number {deny | permit} protocol source src-wildcard destination desti-wildcard [time-range time-range- name]

项目结束

é¡¹ç›®åäºŒ å®‰å…¨ç­–ç•¥ä¸Žæ•°æ®æµé‡è¿‡æ»¤