工信版（中职）交换机与路由器配置实验教程07第7章 安全配置实验电子课件.ppt

《工信版（中职）交换机与路由器配置实验教程07第7章 安全配置实验电子课件.ppt》由会员分享，可在线阅读，更多相关《工信版（中职）交换机与路由器配置实验教程07第7章 安全配置实验电子课件.ppt（41页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、YCF（中职）交换机与路由器配置实验教程07第7章 安全配置实验电子课件交换机与路由器配置实验教程交换机与路由器配置实验教程第7章 安全配置实验5/16/20232张世勇 QQ：80845796实验一、交一、交换机端口安全（略）机端口安全（略）5/16/20233张世勇 QQ：80845796实验二、二、标准准IPIP访问控制列表控制列表5/16/20234张世勇 QQ：80845796教学目标：1.理解访问控制列表ACL概念。2.理解访问控制列表ACL作用。3.了解访问控制列表ACL分类。4.掌握标准IP访问控制列表设置方法。5/16/20235张世勇 QQ：80845796一、实验概述命令

2、格式，全局配置模式下：1 1、Access-listAccess-list number permit|denypermit|deny source-add source-wildcard其中number就是访问控制列表的号，其编号取值范围为199或13001999PermitPermit就是允许数据包通过，DenyDeny就是拒绝通过Source-add就是允许或拒绝的源地址，source-wildcard就是通配符掩码。5/16/20236张世勇 QQ：80845796一、实验概述2、定义访问控制列表作用于接口上的方向接口模式下，某一接口：Ip access-Ip access-group

3、 group number in|outin|out！在某一接口上应用标识为number的访问控制列表，in|out，表示在入站端口调用还是在出站端口调用。5/16/20237张世勇 QQ：80845796二、实验规划5/16/20238张世勇 QQ：80845796二、实验规划拓扑编址：两个SW：没有Vlan，没有IP地址，不用设置 PC1IP：192.168.0.2/24，网关为R1上E0/1的IP PC2IP：192.168.1.2/24，网关为R1上E0/2的IP PC3IP：100.0.0.2/24，网关为R1上E0/0的IPR1：E0/1IP：192.168.0.1/24 E0/2

4、IP：192.168.1.1/24 E0/0IP：100.0.0.1/245/16/20239张世勇 QQ：80845796三、实验步骤创建连接如下：Router1 E0/0 VPCS V0/3 Router1 E0/1 Switch1 F0/1 Router1 E0/2 Switch2 F0/1 Switch1 F0/2 VPCS V0/1 Switch2 F0/2 VPCS V0/25/16/202310张世勇 QQ：80845796四、结果总结 在设定好标准访问控制列表后，在PC1上还可以Ping通PC3，而PC2则不能连通PC3。用“show ace-list 10”命令查看标准访问控

5、制列表的配置情况如下：R1#sh access-list 10Standard IP access list 10 10 deny 192.168.1.0,wildcard bits 0.0.0.255(30 matches)20 permit 192.168.0.0,wildcard bits 0.0.0.255(10 matches)在路由器上运行“show run”，则可以查看到端口情况 5/16/202311张世勇 QQ：80845796实验三、三、扩展展IPIP访问控制列表控制列表5/16/202312张世勇 QQ：80845796教学目标：理解扩展访问控制列表概念。理解扩展访问控制

6、列表功能。掌握扩展访问控制列表设置方法。5/16/202313张世勇 QQ：80845796一、实验概述扩展IP访问控制列表的功能比较强大，可以根据协议或服务进行配置，如果要想对网络访问实现精确控制，就必须使用扩展访问控制列表。标准访问控制列表的编号取值范围为199或13001999。扩展访问控制列表的编号取值范围是100199或20002699。5/16/202314张世勇 QQ：80845796一、实验概述命令格式如下，全局配置模式下：Access-listAccess-list number deny|permitdeny|permit protocol source-add sourc

7、e-wildcard operator port des-add des-wildcard operator port 其中：number是访问控制列表编号，deny表示拒绝，permit表示允许。Protocol表示协议，可以是IP、TCP、UDP、IGMP等协议。source-add source-wildcard和 des-add des-wildcard表示源地址和目标地址以及它们的通配符掩码。Operator 表示操作符可以是eq（等于）、neq（不等于）、或range（范围）Port表示应用层端口号，比如www为80，ftp为20、21，telnet为23另外还可以用主机的IP地址

8、来进行精确控制，其通配符为0.0.0.0。10.0.0.2 0.0.0.0和host 10.0.0.2意思一样都是表示IP地址为10.0.0.2的主机，也可以用any表示所有主机。5/16/202315张世勇 QQ：80845796二、实验规划5/16/202316张世勇 QQ：80845796二、实验规划拓扑编址：SW1：Vlan 10 IP:10.0.0.1/24 Vlan 20 IP:20.0.0.1/24 Vlan 30 IP:30.0.0.1/24 PC1IP：10.0.0.2/24，网关为Vlan 10的IP PC2IP：10.0.0.3/24，网关为Vlan 10的IP PC3I

9、P：20.0.0.2/24，网关为Vlan 20的IP PC4IP：20.0.0.3/24，网关为Vlan 20的IP PC5IP：30.0.0.2/24，网关为Vlan 30的IP PC6IP：30.0.0.3/24，网关为Vlan 30的IP5/16/202317张世勇 QQ：80845796三、实验步骤创建连接如下：Switch1 F0/1 VPCS V0/1 Switch1 F0/2 VPCS V0/2 Switch1 F0/3 VPCS V0/3 Switch1 F0/4 VPCS V0/4 Switch1 F0/5 VPCS V0/5 Switch1 F0/6 VPCS V0/65

10、/16/202318张世勇 QQ：80845796三、实验步骤1、虚拟PC配置如图。5/16/202319张世勇 QQ：80845796四、结果总结删除扩展访问控制列表命令和删除标准访问控制列表一样也是：no access-list number，number就是那个访问控制列表号。使用“sh ip access-list”命令，可以查看扩展访问控制列表的配置情况。5/16/202320张世勇 QQ：80845796实验四、配置命名四、配置命名访问控制列表控制列表5/16/202321张世勇 QQ：80845796教学目标：1.理解命名访问控制列表概念。2.理解命名访问控制列表功能与特点。3.

11、了解命名访问控制列表分类。4.掌握命名访问控制列表语法格式。5.掌握命名访问控制列表设置方法。5/16/202322张世勇 QQ：80845796一、实验概述所谓命名访问控制列表其实是对访问控制列表的命名使用。相对于标准ACL或扩展ACL都没有本质差别。原本不管是标准访问控制列表还是扩展访问控制列表都是用编号来加以区分。编号就是命令格式中的那个number。标准访问控制列表的编号取值范围为199或13001999。扩展访问控制列表的编号取值范围是100199或20002699。命名ACL不使用编号而使用字符串来对访问控制列表进行命名，命名后，路由器进入“访问控制列表”模式，在此模式下可以对访问

12、控制列表进行设置，在网络管理过程中可以随时根据网络变化修改某一条规则，调整用户访问权限。5/16/202323张世勇 QQ：80845796一、实验概述一、标准命名ACL语法格式如下：1、Ip access-list standardIp access-list standard name ！定义标准命名ACL，standard是标准的意思，name是 ACL的名称，不用number号码了2、DenyDeny source-add source-wildcard 或者 Permit Permit source-add source-wildcard ！定义允许或拒绝的源地址和通配符掩码3 3、

13、Ip access-group Ip access-group name in|out in|out ！接口模式下，定义访问控制列表作用于接口上的方向4、show access-listshow access-list name ！显示配置的ACL，不加name表示显示全部ACL内容。5/16/202324张世勇 QQ：80845796一、实验概述二、扩展命名ACL语法格式如下：1、ip access-list extendedip access-list extended name ！extended表示扩展的2、deny|permitdeny|permit protocol source-

14、add source-wildcard operator port des-add des-wildcard operator port deny deny表示拒绝，permitpermit表示允许。Protocol表示协议，可以是IP、TCP、UDP、IGMP等协议。source-add source-wildcard和 des-add des-wildcard表示源地址和目标地址以及它们的通配符掩码。operator 表示操作符可以是eq（等于）、neq（不等于）、或range（范围）Port表示应用层端口号，比如www为80，ftp为20、21，telnet为23参数和扩展IP访问控制列

15、表的意义相同。3 3、Ip access-group Ip access-group name in|out in|out ！接口模式下，定义访问控制列表作用于接口上的方向4、show access-listshow access-list name ！显示配置的ACL，不加name表示显示全部ACL内容。5/16/202325张世勇 QQ：80845796二、实验规划1、标准命名ACLSW1(config)#ip access-list standard deny-host ！deny-host为名字SW1(config-std-nacl)#！表示进入标准命名ACL5/16/202326张世

16、勇 QQ：80845796二、实验规划2、扩展命名ACLSW2(config)#ip access-list extended permit-host！permit-host为名字SW2(config-ext-nacl)#！表示进入扩展命名ACL5/16/202327张世勇 QQ：80845796二、实验规划5/16/202328张世勇 QQ：80845796二、实验规划拓扑编址：SW1：Vlan 10 IP:192.168.0.1/24 F0/1IP：172.18.0.1/24 PC1IP：172.18.0.2/24，网关为SW1上F0/1的IP PC2IP：192.168.0.2/24，网

17、关为Vlan 10的IP 在SW1上需要把F0/1升级为三层接口才能配置IP地址。在SW1和SW2上都要创建Vlan，SW1和SW2之间的链路应为Trunk链路。5/16/202329张世勇 QQ：80845796三、实验步骤创建连接如下：Switch1 F0/0 Switch2 F0/0 Switch1 F0/1 VPCS V0/1 Switch2 F0/1 VPCS V0/2PC上的配置：VPCS 1 ip 172.18.0.2 172.18.0.1 24PC1:172.18.0.2 255.255.255.0 gateway 172.18.0.1VPCS 1 2VPCS 2 ip 192

18、.168.0.2 192.168.0.1 24PC2:192.168.0.2 255.255.255.0 gateway 192.168.0.15/16/202330张世勇 QQ：80845796四、结果总结 在ACL之前，PC2是可以访问PC1的，经过ACL之后就不能访问了。用“show ip access-list”命令查看ACL配置情况：SW1#sh access-listStandard IP access list deny-host10 deny 192.168.0.0,wildcard bits 0.0.0.255(15 matches)20 permit any5/16/202

19、331张世勇 QQ：80845796实验五、基于五、基于时间的的IPIP访问控制列表控制列表5/16/202332张世勇 QQ：80845796教学目标：1.理解基于时间的IP访问控制列表概念。2.理解基于时间的IP访问控制列表功能与特点。3.掌握基于时间的IP访问控制列表语法格式。4.掌握基于时间的IP访问控制列表设置方法。5/16/202333张世勇 QQ：80845796一、实验概述基于时间的IP访问控制列表也是为了实现对网络的访问控制。其实基于时间控制网络有很多种方法，可以通过软件或操作系统来控制。但是在路由器上进行应该比较方便，而且安全性高。基于时间的IP访问控制列表是在访问控制中加

20、入时间范围来更合理的控制网络访问。通过基于时间的访问控制列表，可以根据一天中的不同时间，或根据一个星期中的不同日期，或两者的结合，控制对数据包的转发，从而实现对网络访问的控制。5/16/202334张世勇 QQ：80845796一、实验概述1、首先必须校正时间，先用show clock命令查看当前时钟，再用clock set 2、定义时间范围命令格式为：R1(config)#time-rangetime-range time-range-name ！进入时间控制模式R1(config-time-range)absolute startabsolute start begin-time ende

21、nd end-timeR1(config-time-range)periodicperiodic time week其中：time-range-name表示定义时间范围的名称，以便在后面ACL时调用absoluteabsolute可以用来定义时间范围，startstart后面begin-time表示开始时间，endend后面end-time表示结束时间periodicperiodic后面定义一个时间范围。5/16/202335张世勇 QQ：80845796一、实验概述3、定义ACL ACL的使用方式和前面讲的没有什差别，主要是在命令最后要增加按时间要求的命令：time-rangetime-ra

22、nge time-range-name，就是前面定义过的时间范围。4、将访问控制列表应用到端口5/16/202336张世勇 QQ：80845796二、实验规划5/16/202337张世勇 QQ：80845796二、实验规划拓扑编址：SW1：没有Vlan，没有IP地址，不用设置 PC1IP：192.168.0.2/24，网关为R1上E0/0的IP PC2IP：192.168.0.3/24，网关为R1上E0/0的IP PC3IP：192.168.0.4/24，网关为R1上E0/0的IP PC4IP：10.1.1.2/24，网关为R1上E0/1的IP R1：E0/0IP：192.168.0.1/24

23、 E0/1IP：10.1.1.1/245/16/202338张世勇 QQ：80845796三、实验步骤创建连接如下：Router1 E0/1 VPCS V0/4 Router1 E0/0 Switch1 F0/0 Switch1 F0/1 VPCS V0/1 Switch1 F0/2 VPCS V0/2 Switch1 F0/3 VPCS V0/3VPC基本配置：VPCS 1 ip 192.168.0.2 192.168.0.1 24PC1:192.168.0.2 255.255.255.0 gateway 192.168.0.1VPCS 2 ip 192.168.0.3 192.168.0.

24、1 24PC2:192.168.0.3 255.255.255.0 gateway 192.168.0.1VPCS 3 ip 192.168.0.4 192.168.0.1 24PC3:192.168.0.4 255.255.255.0 gateway 192.168.0.1VPCS 4 ip 10.1.1.2 10.1.1.1 24PC4:10.1.1.2 255.255.255.0 gateway 10.1.1.15/16/202339张世勇 QQ：80845796四、结果总结 用“sh time-range”命令查看时间范围定义情况。还可以用“show access-list”命名来查看访问控制列表的具体信息。5/16/202340张世勇 QQ：808457965/16/202341张世勇 QQ：80845796