交换机路由器配置与管理任务教程第二十二章课件.ppt

1、2022年8月10日星期三网络设备配置与管理1第22章 访问控制列表 2022年8月10日星期三网络设备配置与管理2学习目标 知识目标知识目标 掌握路由器的标准访问控制列表的基本原理 掌握路由器的扩展访问控制列表的基本原理 技能目标技能目标 熟练掌握标准访问控制列表的配置方法与技巧 熟练掌握扩展访问控制列表的配置方法与技巧 熟练掌握路由器访问控制列表的命令用法 素养目标素养目标 培养初步的网络访问权限的设计能力 培养自觉的信息安全意识 2022年8月10日星期三网络设备配置与管理3访问列表 路由器的包过滤是通过配置访问列表来实现的。路由器配置访问列表可以控制网络流量，按规则过滤数据报文，提高网

2、络的安全性。2022年8月10日星期三网络设备配置与管理4两种访问列表 包过滤规则称为访问列表。对于IP，IPX或Apple Talk网络，其过滤规则有差异，IP网络的称为IP访问列表(Access List)，包括：标准IP访问列表 该种包过滤规则只对数据包中的源地址进行检查。扩展IP访问列表 该种包过滤规则对数据包中的源地址、目的地址、协议(如TCP，UDP，ICMP，Telnet，FTP等)或者端口号进行检查。2022年8月10日星期三网络设备配置与管理5标准访问控制列表学习情景2022年8月10日星期三网络设备配置与管理6任务与设计 局域网192.168.1.0/24划分为子网192.

3、168.1.0/25和 子 网 1 9 2.1 6 8.1.1 2 8/2 5，网 关 分 别 为192.168.1.1/25和子网192.168.1.129/25。为简单起见，这里采用VLAN技术，分别把上述两个子网分配到VLAN 10和 VLAN 20中，由路由器RTA实现单臂路由，保证局域网内设备间的正常通信。VLAN 10的名字是clients，VLAN 20的名字是servers。WEB服务器的地址是192.168.1.130/25，域名为w w w.s i n a.c o m。D N S 服 务 器 的 地 址 是192.168.1.131/25。2022年8月10日星期三网络设备

4、配置与管理7划分子网2022年8月10日星期三网络设备配置与管理8标准访问控制列表任务实施 相关准备工作 配置交换机VLAN 配置路由器的IP 配置路由器的路由 配置ACL 验证2022年8月10日星期三网络设备配置与管理9配置WEB服务器 2022年8月10日星期三网络设备配置与管理10配置交换机VLAN Switch1#conf tSwitch1(config-vlan)#vlan 10Switch1(config-vlan)#name clients Switch1(config-vlan)#vlan 20 Switch1(config-vlan)#name serversSwitch1

5、(config-vlan)#exitSwitch1(config)#int f0/10Switch1(config-if)#switchport mode access Switch1(config-if)#switchport access vlan 10Switch1(config-if)#int range f0/23-24Switch1(config-if-range)#switchport mode access Switch1(config-if-range)#switchport access vlan 20Switch1(config-if-range)#exitSwitch1

6、(config)#int f0/1Switch1(config-if)#switchport mode trunk 2022年8月10日星期三网络设备配置与管理11配置路由器的IP RTAenaRTA#conf tRTA(config)#int s0/0RTA(config-if)#ip add 200.199.198.37 255.255.255.252RTA(config-if)#clock rate 64000RTA(config-if)#no shutRTA(config-if)#int f0/0RTA(config-if)#no shut！一定要打开主端口RTA(config-if)

7、#int f0/0.1RTA(config-subif)#encapsulation dot1q 10！配置VLAN中继RTA(config-subif)#ip add 192.168.1.1 255.255.255.128RTA(config-subif)#int f0/0.2RTA(config-subif)#encapsulation dot1q 20 RTA(config-subif)#ip add 192.168.1.129 255.255.255.128RTA(config-subif)#end 2022年8月10日星期三网络设备配置与管理12配置路由器的路由 RTA(config

8、)#route rip RTA(config-router)#ver 2 RTA(config-router)#network 200.199.198.0 RTA(config-router)#network 192.168.1.0 2022年8月10日星期三网络设备配置与管理13配置ACL RTAena RTA#conf t RTA(config)#access-list 10 deny 192.168.2.0 0.0.0.255 RTA(config)#access-list 10 permit any RTA(config)#int f0/0.2 RTA(config-subif)#ip

9、 access-group 10 out 2022年8月10日星期三网络设备配置与管理14验证2022年8月10日星期三网络设备配置与管理15扩展访问控制列表 学习情境2022年8月10日星期三网络设备配置与管理16扩展访问控制列表配置任务计划与设计 公司的局域网划分了两个VLAN，那么按照一般的设计方法，可以为每个VLAN分配一个C类网络地址。但为了节省IP地址，同时，强化访问控制列表的通配符的使用，这里把192.168.1.0/24划分为 两 个 子 网 1 9 2.1 6 8.1.0/2 5 和 子 网192.168.1.128/25，网关分别为192.168.1.1/25和子网192.

10、168.1.129/25。VLAN 10的名字为manager，使用子网192.168.1.0/25的地址；VLA N 20的 名 字 为 employer，使 用 子 网192.168.1.128/25的地址。由路由器RTA实现单臂路由，保证局域网内设备间正常通信。2022年8月10日星期三网络设备配置与管理17扩展访问控制列表配置任务实施与验证 相关准备工作 配置VLAN 配置路由器的IP地址 配置路由 配置ACL 2022年8月10日星期三网络设备配置与管理18配置DNS服务器 2022年8月10日星期三网络设备配置与管理19配置VLAN Switch1enaSwitch1#conf t

11、Switch1(config)#vlan 10Switch1(config-vlan)#name managerSwitch1(config-vlan)#vlan 20Switch1(config-vlan)#name employerSwitch1(config-vlan)#exitSwitch1(config)#int f0/10Switch1(config-if)#switch mode accessSwitch1(config-if)#switch access vlan 10Switch1(config-if)#int f0/20Switch1(config-if)#switch m

12、ode accessSwitch1(config-if)#switch access vlan 20Switch1(config-if)#int f0/1Switch1(config-if)#switch mode trunk 2022年8月10日星期三网络设备配置与管理20配置路由器的IP地址 RTA#conf tRTA(config)#int s0/0RTA(config-if)#clock rate 64000RTA(config-if)#ip add 200.199.198.37 255.255.255.252RTA(config-if)#no shutRTA(config-if)#i

13、nt f0/0RTA(config-if)#no shutRTA(config-if)#int f0/0.1RTA(config-subif)#encapsulation dot1q 10RTA(config-subif)#ip add 192.168.1.1 255.255.255.128RTA(config-subif)#int f0/0.2RTA(config-subif)#encapsulation dot1q 20RTA(config-subif)#ip add 192.168.1.129 255.255.255.128 2022年8月10日星期三网络设备配置与管理21配置路由 RT

14、Aena RTA#conf t RTA(config)#ip route 200.199.198.40 255.255.255.252 200.199.198.38 RTA(config)#ip route 220.10.10.0 255.255.255.0 200.199.198.38 RTA(config)#ip route 202.102.13.0 255.255.255.0 200.199.198.38 2022年8月10日星期三网络设备配置与管理22配置ACL RTAena RTA#conf t RTA(config)#access-list 100 deny tcp 192.168

15、.1.128 0.0.0.127 any eq 80 RTA(config)#access-list 100 permit ip any any RTA(config)#int f0/0.2 RTA(config-subif)#ip access-group 100 in 2022年8月10日星期三网络设备配置与管理23验证拓展学习 访问控制列表除了上述介绍的标准ACL和扩展ACL外，思科路由器产品还提供了命名ACL和基于时间的ACL，动态ACL和自反ACL。2022年8月10日星期三网络设备配置与管理242022年8月10日星期三网络设备配置与管理25思考题 1.路由器防火墙功能的实现方式有哪些？2.仔细分析两个访问列表实例实现的工作原理。3.练习资源库中有关第2章基于ACL的端口绑定技术的应用案例。