第5章 网络互联安全02.PPT

课程主讲人：第第5章章 网络互联安全网络互联安全02网络设备与配置网络设备与配置网络互联安全网络互联安全 第五章第五章扩展访问控制列表扩展访问控制列表 5.25.2项目目标项目目标v了解扩展访问控制列表的概念了解扩展访问控制列表的概念v熟悉扩展访问控制列表的功能熟悉扩展访问控制列表的功能v掌握扩展标准访问控制列表的配置方法掌握扩展标准访问控制列表的配置方法v掌握扩展访问控制列表的应用环境掌握扩展访问控制列表的应用环境项目描述项目描述某学校的网管中心、教师办公某学校的网管中心、教师办公楼和学生宿舍楼分属不同的三个网楼和学生宿舍楼分属不同的三个网段，它们之间用路由器进行信息传段，它们之间用路由器进行信息传递。网管中心架设一台服务器作为递。网管中心架设一台服务器作为WWW和和FTP服务器，服务器，WWW服务器服务器允许所有人访问，而允许所有人访问，而FTP服务器只服务器只允许教师办公楼访问。您是学校的允许教师办公楼访问。您是学校的网络管理员，如何实现这一要求。网络管理员，如何实现这一要求。 项目实施环境项目实施环境v锐捷路由器锐捷路由器2台，交换机若干台，电脑若干台台，交换机若干台，电脑若干台v实验室环境：锐捷路由器实验室环境：锐捷路由器2台，交换机台，交换机2台，网台，网线若干根，电脑若干台。线若干根，电脑若干台。 项目实施理论基础项目实施理论基础v扩展扩展IP访问控制列表概述访问控制列表概述 v扩展访问控制列表的基本格式扩展访问控制列表的基本格式 v扩展访问控制列表配置实例扩展访问控制列表配置实例 扩展扩展IP访问控制列表概述访问控制列表概述 v扩展扩展IP访问控制列表比标准访问控制列表比标准IP访问控制列表具有访问控制列表具有更多的匹配项，包括协议类型、源地址、目的地更多的匹配项，包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和址、源端口、目的端口、建立连接的和IP优先级优先级等。编号范围是从等。编号范围是从100到到199的访问控制列表是扩的访问控制列表是扩展展IP访问控制列表。访问控制列表。 扩展访问控制列表的基本格式扩展访问控制列表的基本格式v access-list ACL号号 permit|deny 协议协议 源地址源地址 源地源地址通配符掩码址通配符掩码 目的地址目的地址 目的地址通配符掩码目的地址通配符掩码 匹配匹配形式形式 定义过滤目的端口定义过滤目的端口 v ACL号的范围是号的范围是100-199v 因为默认情况下，每个访问控制列表的末尾隐含因为默认情况下，每个访问控制列表的末尾隐含deny all，所以在每个扩展访问控制列表里面必须有：所以在每个扩展访问控制列表里面必须有：R2(config)#access-list 110 permit ip any any 。v 协议：检测特定协议的数据包，如协议：检测特定协议的数据包，如IP、TCP、UDP、ICMP等，不同的服务要使用不同的协议，比如等，不同的服务要使用不同的协议，比如TFTP使用使用的是的是UDP协议。协议。v 匹配形式：运算符匹配形式：运算符lt、gt、eq、neq、range（小于、大（小于、大于、等于、不等于、端口区间）于、等于、不等于、端口区间） 扩展访问控制列表的基本格式扩展访问控制列表的基本格式v部分端口号的描述和使用的协议部分端口号的描述和使用的协议 端口号端口号关键字关键字描述描述TCP/UDPTCP/UDP2020FTP-DATAFTP-DATA（文件传输协议）（文件传输协议）FTPFTP数据数据TCPTCP2121FTPFTP（文件传输协议）（文件传输协议）FTPFTPTCPTCP2323TELNETTELNET终端连接终端连接TCPTCP2525SMTPSMTP简单邮件传输协议简单邮件传输协议TCPTCP4242NameServerNameServer主机名字服务器主机名字服务器UDPUDP5353DomainDomain域名服务器（域名服务器（DNSDNS）TCP/UDPTCP/UDP6969TFTPTFTP普通文件传输协议（普通文件传输协议（TFTPTFTP）UDPUDP8080WWWWWW万维网万维网TCPTCP110110pop3pop3简单邮件传输协议简单邮件传输协议TCPTCP扩展访问控制列表配置实例扩展访问控制列表配置实例1.扩展范围控制列表的配置实例（拒绝访问的扩展范围控制列表的配置实例（拒绝访问的www和和ftp服务）：服务）：R2(config)#access-list 110 deny tcp any host 192.168.1.12 eq wwwR2(config)#access-list 110 deny tcp any host 192.168.1.12 eq ftp2.应用到端口：应用到端口：R2(config)#interface fastethernet 0/1R2(config-if)#ip access-list 110 out 网络拓扑结构图（实验室）网络拓扑结构图（实验室） 项目实施和步骤项目实施和步骤v1.按照拓扑结构图连接网络按照拓扑结构图连接网络 设备接口设备接口IP地址子网掩码网关地址子网掩码网关设备设备接口接口IPIP地址地址子网掩码子网掩码网关网关网络中心网络中心NICNIC192.168.1.0192.168.1.0255.255.255.0255.255.255.0192.168.1.1192.168.1.1教师办公楼教师办公楼NICNIC192.168.2.0192.168.2.0255.255.255.0255.255.255.0192.168.2.1192.168.2.1学生宿舍学生宿舍NICNIC192.168.3.0192.168.3.0255.255.255.0255.255.255.0192.168.3.1192.168.3.1路由器路由器1 1S1/2S1/210.1.1.110.1.1.1255.255.255.0255.255.255.0Fe1/0Fe1/0192.168.1.1192.168.1.1255.255.255.0255.255.255.0Fe1/1Fe1/1192.168.3.1192.168.3.1255.255.255.0255.255.255.0路由器路由器2 2S1/2S1/210.1.1.210.1.1.2255.255.255.0255.255.255.0Fe1/0Fe1/0192.168.2.1192.168.2.1255.255.255.0255.255.255.0项目实施和步骤项目实施和步骤2. 配置每台配置每台PC的网络接口卡的的网络接口卡的IP地址、子网掩码和网关。地址、子网掩码和网关。项目实施和步骤项目实施和步骤3. 路由器路由器R1的基本配置的基本配置Router# configure terminalRouter(config)# hostname R1R1(config)# interface fastEthernet 1/0R1(config-if)# no shutdownR1(config-if)# exitR1(config)# interface fastEthernet 1/1R1(config-if)# no shutdownR1(config-if)# exitR1(config)# interface S1/2R1(config-if)# clock rate 64000R1(config-if)# no shutdownR1(config-if)# exit项目实施和步骤项目实施和步骤4.路由器路由器R2的基本配置的基本配置Router#configure terminalRouter(config)# hostname R2R2(config)# interface fastEthernet 1/0R2(config-if)# no shutdownR2(config-if)# exitR2(config)# interface S1/2R2(config-if)# clock rate 64000R2(config-if)# no shutdownR2(config-if)# exit项目实施和步骤项目实施和步骤5.配置路由器配置路由器R1和和R2的动态路由的动态路由R1(config)# router ripR1(config-router)# network 192.168.1.0 R1(config-router)# network 192.168.3.0 R1(config-router)# network 10.1.1.0 R2(config)# router ripR3(config-router)# network 192.168.2.0 6.测试各测试各PC访问访问WWW服务器和服务器和FTP服务器服务器正常情况各计算机都能访问正常情况各计算机都能访问WWW服务器和服务器和FTP服务器。服务器。项目实施和步骤项目实施和步骤7. 配置扩展配置扩展IP访问控制列表访问控制列表R1(config)#access-list 101 deny tcp 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255 eq ftpR1(config)#access-list 101 permit ip any any8.把访问列表在路由器把访问列表在路由器R1的接口的接口Fe1/1上应用上应用R1(config)#interface fastEthernet 1/1 R1(config-if)#ip access-group 101 inR1(config-if)#exitR1#show ip interfaceR1#show access-lists 1019.验证结果验证结果 学生宿舍的学生宿舍的PC机应该只能浏览网络中心的机应该只能浏览网络中心的WWW服务器，而不服务器，而不能下载能下载FTP服务器中的文件；教师办公楼内的所有服务器中的文件；教师办公楼内的所有PC不但能浏览网不但能浏览网络中心的络中心的WWW服务器，也能下载服务器，也能下载FTP服务器中的文件。服务器中的文件。项目拓展项目拓展某公司机关的计算机网络接入互联网以来，公某公司机关的计算机网络接入互联网以来，公司的相关负责人要求：司的相关负责人要求：1.限制员工在工作时间利用限制员工在工作时间利用QQ进行聊天（进行聊天（QQ采用的是采用的是UDP协议，只要在工作时间禁止协议，只要在工作时间禁止UDP数据包进入网络即可。）数据包进入网络即可。）2.限制员工访问无聊的网站（根据公司限制员工访问无聊的网站（根据公司WEB服务器日志，得到地址为公司禁止访问的站服务器日志，得到地址为公司禁止访问的站点。）点。）项目拓展项目拓展谢谢大家！谢谢大家！