中职 数据通信网络技术09 项目九 访问控制列表电子课件

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,中职 数据通信网络技术09 项目九 访问控制列表电子课件工信版,项目九 访问控制列表,数据通信网络技术,【,项目背景,】,企业网络在运行过程中，会面临网内、网外的很多攻击，如病毒攻击、恶意访问等，通过在三层交换机或路由器上配置访问控制列表过滤数据包，不但能够有效抵御这些攻击，而且能够控制访问流量、提高网络,性能。,为网络访问提供了一种基本安全手段，对企业网络起到很好的保护作用，目前被企业广泛应用。,【,学习目标,】,1,知识目标：,1,）理解访问控制列表的概念、分类、技术原理。,2,）掌握访问控制列表的匹配过程。,3,）掌握标准、扩展访问控制列表的配置方法、及应用原则。,4,）理解基于时间的访问控制列表的概念,。,2,技能目标：,1,）能够完成标准访问控制列表的配置。,2,）能够完成扩展访问控制列表的配置。,任务一：标准访问控制列表,所,需设备,：三层交换机（型号,3560,）一台、路由器（型号,2621,）一台、计算机两台、服务器两台、直通线三根、交叉线两根。,规划,IP,地址,：,计算机,PC1,的,IP,地址：,192.168.1.1/24,网关：,192.168.1.254,服务器,Server1,的,IP,地址：,192.168.2.1/24,网关：,192.168.2.254,计算机,PC2,的,IP,地址：,192.168.4.1/24,网关：,192.168.4.254,服务器,Server2,的,IP,地址：,192.168.5.1/24,网关：,192.168.5.254,交换机,SWA,：,Vlan 10,的,IP,地址：,192.168.1.254/24 Vlan 20,的,IP,地址：,192.168.2.254/24,Vlan,30,的,IP,地址：,192.168.3.1/24,路由器,RA,：,f1/0,的,IP,地址：,192.168.3.2/24 f0/0,的,IP,地址：,192.168.4.254/24,f0/1,的,IP,地址：,192.168.5.254/24,设备连线,：,计算机,PC1,交换机,SWA,的,f0/1,端口 服务器,Server1,交换机,SWA,的,f0/2,端口,计算机,PC2,路由器,RA,的,f0/0,端口 服务器,Server2,交换机,RA,的,f0/1,端口,交换机,SWA,的,f0/24,端口路由器,RA,的,f1/0,端口,任务,要求,：,1,）在三层交换机和路由器上配置,OPSF,路由，实现网络连通。,2,）利用标准访问控制列表拒绝网络,192.168.1.0/24,访问服务器,Server2,。,3,）利用标准访问控制列表实现只允许计算机,PC2,能访问服务器,Server1,。,1,）标准访问控制列表,仅根据数据包中的源地址来过滤数据包，允许或拒绝的是整个,TCP/IP,协议集，这样的访问控制列表称之为标准访问控制列表。,2,）扩展访问控制列表,根据数据包中的源,IP,地址、目的,IP,地址、协议、端口号等来过滤数据包的访问控制列表，称之为扩展访问控制列表,。,访问控制列表的分类,访问控制列表是应用在路由器和三层交换机上的一系列规则，告诉路由器和三层交换机那些数据包允许通过，那些数据包拒绝通过，以此来防止黑客攻击网络、病毒侵袭、以及控制用户对网络的访问,。,访问控制列表,访问控制列表的技术原理,可以在进入（,in,）和出来（,out,）两个方向上应用访问控制列表，但每个方向上只能应用一个。,一,个访问控制列表可能有多条控制语句，当数据包通过端口时，路由器或三层交换机会读取数据包中的相关信息，逐条匹配应用在端口上的访问控制列表中的语句，对数据包进行过滤。,标准访问控制列表,标准访问控制列表只根据数据包中的源地址过滤数据包，源地址可以是一台计算机、整个网络、特定网络上的计算机、或任何计算机。,标准访问控制列表分为标准编号访问控制列表和标准命名访问控制列表，两者的区别在于访问控制列表的标识方法，一个使用编号标识，另一个使用字符串标识。,访问控制列表的匹配过程,有,两个动作，一个是允许（,permit,），即允许数据包通过；另一个是拒绝（,deny,），即拒绝数据包,通过。,1,）当数据包从端口进入时，应用在端口,in,方向上的访问控制列表会对数据包进行过滤；数据包从端口离开时，应用在端口,out,方向上的访问控制列表会对数据包进行过滤。,2,）当有多条控制语句,，自上而下,逐条匹配，,如果与,一条,permit,语句相匹配，则允许该数据包通过；如果与一条,deny,语句相匹配，则该拒绝数据包通过。,3,）在访问控制列表的末尾总有一条隐含的,deny any,语句同样起作用，且不能修改。,配置标准编号访问控制列表,1,）定义标准编号访问控制列表,定义标准编号访问控制列表在全局模式下，配置命令如下。,Router(config)#access-list,编号,permit,deny,源地址 通配屏蔽码,例,1,：定义编号为,1,的标准编号访问控制列表拒绝来自网络,192.168.1.0/24,的数据包通过，其它计算机或网络的数据包可以通过。,RA(config)#access-list 1 deny 192.168.1.0 0.0.0.255,RA(config)#access-list 1 permit any,例,2,：定义编号为,16,的标准编号访问控制列表，拒绝来自网络,192.168.0.0/24,192.168.255.0/24,的所有数据包通过，但允许来自网络,192.167.0.0/24,192.167.255.0/24,的所有数据包通过。,RA(config)#access-list 16 deny 192.168.0.0 0.0.255.255,RA(config)#access-list 16 permit 192.167.0.0 0.0.255.255,2,）应用标准编号访问控制列表,设备外的数据包由端口进入设备时做访问控制，就是进入应用；设备内的数据包由端口出来做访问控制，就是出来应用。,Router(config-if)#ip access-group,编号,in,out,例如,：将编号为,16,的访问控制列表应用到路由器端口,f0/1,的进入方向。,RA(config)#int fastEthernet 0/1,RA(config-if)#ip access-group 16,in,3,）访问,控制列表,Router#show access-lists /,显示所有访问控制列表,4,）删除,访问控制列表,Router(config,)#no access-list,编号,Router(config-if,)#no ip access-group,编号,in,out,配置标准命名访问控制列表,1,）定义标准命名访问控制列表命令,Router(config)#ip access-list standard,名称,Router(config-std-nacl)#permit,deny,源地址 通配屏蔽码,2,）应用标准命名访问控制列表命令,应用方法与标准编号访问控制列表相同，在此不再赘述。,3,）显示标准命名访问控制列表,Switch#show access-lists,名称,标准访问控制列表的应用原则,当网络中有多台路由器或三层交换机时，定义了访问控制列表后，应该在离源地址尽可能远的端口上应用。,例,2,：拒绝网络,192.168.3.0/24,中的计算机访问计算机,PCA,，允许其它计算机访问。,RA(config,)#access-list 2 deny 192.168.3.0 0.0.0.255,RA(config)#access-list 2 permit any,RA(config)#int fastEthernet 0/0,RA(config-if)#ip access-group 2 out,标准访问控制列表应用分析,例,1,：只允许网络,192.168.2.0/24,访问,计算机,PCB,，不允许其它计算机,访问。,RB(config,)#access-list 1 permit 192.168.2.0 0.0.0.255,RB(config)#int fastEthernet 0/0,RB(config-if)#ip access-group 1 out,任务分析：,1,）在路由器,RA,上配置标准编号访问控制列表，拒绝网络,192.168.1.0/24,访问服务器,Server2,，并在,F0/0,端口,out,方向上应用。,2,）在三层交换机上配置标准命名访问控制列表，允许计算机,PC2,访问服务器,Server1,，拒绝其它任何计算机访问，并在,Vlan 20,的,out,方向上应用。,任务二：扩展访问控制列表,所需设备,：与任务一相同,规划,IP,地址,：与任务一相同,设备连线,：与任务一,相同,任务,要求,：,1,）在三层交换机和路由器上配置,OPSF,路由，实现网络连通。,2,）配置扩展访问控制列表禁止网络,192.168.1.0/24,访问服务器,Server2,上的,WWW,服务。,3,）配置名称为,deny_host,的扩展访问控制列表禁止,IP,地址为,192.168.4.1/24,的计算机使用,ping,命令,ping,服务器,Server1,。,扩展访问控制列表,扩展访问控制列表据源,IP,地址、目的,IP,地址、协议及端口号过滤数据包，允许或拒绝符合条件的数据包。,扩展访问控制列表分为扩展编号访问控制列表和扩展命名访问控制列表。,扩展编号访问控制列表的配置,1,）定义扩展编号访问控制列表,在全局配置模式下，扩展编号访问控制列表的定义命令如下。,Switch(config)#access-list,编号,permit,deny,协议 源地址 通配屏蔽码 操作符 源端口号 目的地址 通配屏蔽码 操作符 目的端口号,例,1,：拒绝网络,172.16.3.0/24,中的计算机访问网络,172.16.11.0/24,中的计算机。,R(config)#access-list 101 deny ip 172.16.3.0 0.0.0.255 172.16.11.0 0.0.0.255,R(config)#access-list 101 permit ip any,any,例,2,：互联网中的计算机只能访问,FTP,服务器（,200.1.1.2/24,）的,FTP,服务。,R(config)#access-list 102 permit tcp any host 200.1.1.2 eq 20,R(config)#access-list 102 permit tcp any host 200.1.1.2 eq 21,2,）应用访问控制列表,应用扩展编号访问控制列表与标准访问控制列表的方法相同，在此不再赘述。,扩展命名访问控制列表的配置,1,）定义扩展命名访问控制列表,Switch(config)#ip access-list extended,规则名称,Switch(config-ext-nacl)#permit,deny,协议 源地址 通配屏蔽码 操作符 源端口号 目的地址 通配屏蔽码 操作符 目的端口号,例：在三层交换机上配置访问控制列表拒绝网络,172.16.3.0/24,访问,IP,地址为,172.16.4.1/24,的服务器上的,WEB,服务,。,Switch,(config)#ip access-list extended no_enter_80,Switch(config-ext-nacl)#deny tcp 172.16.3.0 0.0.0.255 host 172.16.4.1 eq www,Switch(config-ext-nacl)#permit ip any any,2,）