网络设备管理与维护实训教程-04网络的安全配置课件.ppt

1、主讲人：授课班级：时间：首页任务一任务二项目四 网络的安全配置项目说明对于许多网络管理员来说，配置路由器的访问控制列表是一种经常性的工作。可以说，路由器的访问控制列表是网络安全保障的第一道关卡。访问列表提供了一种机制，它可以控制和过滤通过路由器的不同接口去往不同方向的信息流。这种机制允许用户使用访问列表来管理信息流，以制定公司内部网络的相关策略。这些策略可以描述安全功能，并且反映流量的优先级别。例如，某个组织可能希望允许或拒绝Internet对内部Web服务器的访问，或者允许内部局域网上一个或多个工作站能够将数据流发到广域网上。这些功能都可以通过访问列表来达到目的。技能目标任务一 IP访问列表

2、任务二 网络地址转换 首页任务一任务二任务一 IP访问列表任务描述IP ACL（IP访问控制列表或IP访问列表）是实现对流经路由器或交换机的数据包根据一定的规则进行过滤，从而提高网络可管理性和安全性。主要分为标准IP访问列表和扩展IP访问列表两种。其中，标准IP访问列表可以根据数据包的源IP地址定义规则，进行数据包的过滤；扩展IP访问列表可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则，进行数据包的过滤。IP ACL是基于接口进行规则的应用，分为入栈应用和出栈应用。入栈应用是指由外部经该接口进入路由器的数据包进行过滤；出栈应用是指路由器从该接口向外转发数据时进行数据包的过滤。

3、IP ACL的配置有两种方式：按照编号的访问列表；按照命名的访问列表。标准IP访问列表的编号范围是199、13001999；扩展IP访问列表的编号范围是100199、20002699。本任务分以下3个训练进行学习。训练1 标准访问控制列表的配置。训练2 扩展访问控制列表的配置。训练3 专家级访问控制列表的配置。首页任务一任务二训练1 标准访问控制列表的配置训练描述你是一个公司的网络管理员，公司的经理部、财务部和销售部分属不同的3个网段，3部门之间用路由器进行信息传递，为了安全起见，公司领导要求销售部门不能对财务部进行访问，但经理部可以对财务部进行访问。下面用一个训练来学习路由器标准访问控制列表

4、的配置方法，实验拓扑如图所示。其中，PC1代表经理部的主机；PC2代表销售部的主机；PC3代表财务部的主机。172.16.1.1 172.16.3.1 172.16.3.2 172.16.4.1 172.16.4.11 PC3 172.16.2.8 PC2 172.16.1.5 PC1 F0/0 Router2 172.16.2.1 Router1 S1/2 S1/2 F0/0 F0/1 三台 PC的网关分别为：172.16.1.1，172.16.2.1，172.16.4.1 子网掩码都为：255.255.255.0 首页任务一任务二训练1 标准访问控制列表的配置训练要求添加3台计算机分别命名

5、为PC1、PC2、PC3，根据实验拓扑图配置IP地址；添加2台路由，分别命名为Router1和Router2，为它们添加WIC-1T模块，使用DCE串口线互联；使用静态路由实现全网互通；在Router2上配置标准访问控制列表限制PC2所在的网络不能访问PC3所在的网络，但允许PC1所在的网络访问PC3所在的网络。训练分析根据实验拓扑图为所有的计算机设置IP、掩码和网关，使用正确的线缆连接所有的设备；两个路由器之间使用默认的广域网HDLC协议封装。首页任务一任务二训练1 标准访问控制列表的配置训练步骤Router1基本配置 Routeren Router#conf t Router(config

6、)#hostname Router1 Router1(config)#inter f0/0 Router1(config-if)#ip add 172.16.1.1 255.255.255.0 Router1(config-if)#no shutdown Router1(config-if)#inter f0/1 Router1(config-if)#ip add 172.16.2.1 255.255.255.0 Router1(config-if)#no shutdown Router1(config-if)#inter s1/2 Router1(config-if)#ip add 172.

7、16.3.1 255.255.255.0 Router1(config-if)#clock rate 64000 Router1(config-if)#no shutdown Router1(config-if)#end 首页任务一任务二训练1 标准访问控制列表的配置训练步骤Router2基本配置 Routeren Router#conf t Router(config)#hostname Router2 Router2(config)#inter f0/0 Router2(config-if)#ip add 172.16.4.1 255.255.255.0 Router2(config-if

8、)#no shutdown Router2(config-if)#exit Router2(config)#inter s1/2 Router2(config-if)#ip add 172.16.3.2 255.255.255.0 Router2(config-if)#no shutdown Router2(config-if)#end 首页任务一任务二训练1 标准访问控制列表的配置训练步骤配置静态路由实现全网互通 Router1(config)#ip route 172.16.4.0 255.255.255.0 serial 1/2 Router2(config)#ip route 172.

9、16.1.0 255.255.255.0 serial 1/2 Router2(config)#ip route 172.16.2.0 255.255.255.0 serial 1/2 查看路由器的路由信息：Router1#show ip route Codes:C-connected,S-static,I-IGRP,R-RIP,M-mobile,B-BGP D-EIGRP,EX-EIGRP external,O-OSPF,IA-OSPF inter area N1-OSPF NSSA external type 1,N2-OSPF NSSA external type 2 E1-OSPF e

10、xternal type 1,E2-OSPF external type 2,E-EGP 172.16.0.0/24 is subnetted,4 subnets C 172.16.1.0 is directly connected,FastEthernet0/0 C 172.16.2.0 is directly connected,FastEthernet0/1 C 172.16.3.0 is directly connected,Serial1/2 S 172.16.4.0 is directly connected,Serial1/2 Router2#show ip route 首页任务

11、一任务二训练1 标准访问控制列表的配置训练步骤配置标准IP访问控制列表 Router2(config)#access-list 1 deny 172.16.2.0 0.0.0.255 ！拒绝来自 172.16.2.0（PC2）网段的流量通过 Router2(config)#access-list 1 permit 172.16.1.0 0.0.0.255 ！允许来自 172.16.1.0（PC1）网段的流量通过 查看访问控制列表信息：Router2#show access-lists 1 Standard IP access list 1 deny 172.16.2.0 0.0.0.255 p

12、ermit 172.16.1.0 0.0.0.255 首页任务一任务二训练1 标准访问控制列表的配置训练步骤应用访问控制列表在接口上 Router2(config)#inter f0/1 Router2(config-if)#ip access-group 1 out ！在接口下访问控制列表出栈流量调用 查看访问控制列表的应用状态：Router2#show ip interface fastethernet 0/0 FastEthernet0/0 is up,line protocol is up(connected)Internet address is 172.16.4.1/24 Broa

13、dcast address is 255.255.255.255 Address determined by setup command MTU is 1500 Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is 1 首页任务一任务二训练1 标准访问控制列表的配置训练测试 在PC1上测试PC3，结果是通的。在PC2上测试PC3，结果是不通的。训 练 小 结（1）注意在访问控制列表的网络掩码是反掩码。（2）标准控制列表要应用在尽量靠近目的地址的接口。首页任务一任务二

14、训练2 扩展访问控制列表的配置 训练描述你是学校的网络管理员，在3560-24PS交换机上连着学校提供的Web和FTP的服务器，另外还连接着学生宿舍楼和教工宿舍楼，学校规定学生只能对服务器进行FTP访问，不能进行Web访问，教工则没有此限制。实验拓扑如图所示。首页任务一任务二训练2 扩展访问控制列表的配置 训练要求添加2台计算机和1台服务器，1台PC代表学生宿舍楼的计算机，一台PC代表教师所用的计算机，服务器为学校的Web、FTP服务器。添加1台3560交换机，在交换机上划分3个Vlan，分别为Vlan10、Vlan20、Vlan30，开启三层路由功能实现全网互通。在交换机上配置扩展访问控制列

15、表限制学生机只能访问服务器上的FTP服务，而不能使用Web服务，但教师机不受限制。训练分析本任务只是要求限制学生机对校服务器的Web服务，此限制只是根据服务器提供的某种服务进行控制，是基于服务端口进行控制的，因此不能使用标准访问列表来实现。首页任务一任务二训练2 扩展访问控制列表的配置 训练步骤交换机的基本配置 Switchen Switch#conf t Switch(config)#vlan10 Switch(config-vlan)#name server Switch(config-vlan)#vlan20 Switch(config-vlan)#name teachers Switc

16、h(config-vlan)#vlan30 Switch(config-vlan)#name students Switch(config-vlan)#inter f0/5 Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan10 Switch(config-if)#inter f0/10 Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan20 Switch(config-i

17、f)#inter f0/15 Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan30 Switch(config-if)#exit Switch(config)#int vlan10 Switch(config-if)#ip add 192.168.10.1 255.255.255.0 Switch(config-if)#no shutdown Switch(config-if)#int vlan20 Switch(config-if)#ip add 192.168.20.1 255

18、.255.255.0 Switch(config-if)#no shutdown Switch(config-if)#int vlan30 Switch(config-if)#ip add 192.168.30.1 255.255.255.0 Switch(config-if)#no shutdown Switch(config-if)#exit 首页任务一任务二训练2 扩展访问控制列表的配置 训练步骤配置命名扩展IP访问控制列表 Switch(config)#ip access-list extended denystudentwww ！定义命名扩展访问列表 Switch(config-ex

19、t-nacl)#deny tcp 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255 eq www ！禁止 WWW 服务 Switch(config-ext-nacl)#permit ip any any ！允许其他服务 Switch(config-ext-nacl)#exit Switch(config)#exit 首页任务一任务二训练2 扩展访问控制列表的配置 训练步骤查看配置 把访问控制列表在接口下应用Switch#show ip access-lists denystudentwww Extended IP access list denystu

20、dentwww deny tcp 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255 eq www permit ip any any Switch(config)#int vlan30 Switch(config-if)#ip access-group denystudentwww in 首页任务一任务二训练2 扩展访问控制列表的配置 训练测试分别在学生机所在的网段和教师机所在的网段使用1台主机，访问Web服务器。测试发现，学生网段不能访问网页，教学宿舍网段可以访问网页。训 练 小 结（1）访问控制列表要在接口下应用。（2）要注意deny某个网段后要p

21、ermit其他网段。首页任务一任务二训练3 专家级访问控制列表的配置 训练描述你是某公司的网络管理员，最近你怀疑有人可能利用一些工具进行网络攻击和访问。为了提高网络访问的安全性，你需要利用专家级的访问列表，根据用户的IP地址和MAC地址进行网络访问的控制。实验拓扑如图所示。PC1 PC2 F0/1 F0/2 F0/0 F0/1 F0/3 172.16.1.2 IP:172.16.1.1 默认网关 172.16.1.2 IP:172.16.1.3 默认网关 172.16.1.2 Multilayer Switch2 3560-24PS 2811 160.16.1.2 Router IP:160.

22、16.1.1 Server 首页任务一任务二训练3 专家级访问控制列表的配置 训练要求添加2台计算机和1台服务器，2台PC代表公司内部的计算机，服务器为公司的Web和FTP服务器。添加1台3560交换机和1台2811路由器。在交换机上配置限制PC1不能访问服务器任何服务，但PC2不受限制。训练分析专家级访问控制列表可以利用MAC地址、IP地址、Vlan号、传输端口号、协议类型、时间ACL等元素进行灵活组合，定义规则。从而更加灵活地控制网络的流量，保证网络的安全运行。本训练中限制PC1不能访问服务器，但能访问其他计算机或服务。首页任务一任务二训练3 专家级访问控制列表的配置 训练步骤路由器基本配

23、置验证路由器配置 Routeren Router#conf t Router(config)#interface fastethernet 0/0 Router(config-if)#ip address 172.16.1.2 255.255.255.0 Router(config-if)#no shutdown Router(config-if)#exit Router(config)#interface fastethernet 0/1 Router(config-if)#ip address 160.16.1.2 255.255.255.0 Router(config-if)#no sh

24、utdown Router(config)#exit Router#Router#show ip interface brief I Interface IP-Address OK?Method Status Protocol FastEthernet0/0 172.16.1.2 YES manual up up FastEthernet0/1 160.16.1.2 YES manual up up Vlan1 unassigned YES unset administratively down down 首页任务一任务二训练3 专家级访问控制列表的配置 训练步骤在交换机上配置专家级访问控制列

25、表 验证访问列表配置 在接口上应用专家级访问控制列表 Switch(config)#ip access-list extended test1 Switch(config-ext-nacl)#deny ip host 172.16.1.1 host 160.16.1.1 ！禁止 172.16.1.1 访问 160.16.1.1 Switch(config-ext-nacl)#permit ip any any Switch#show access-lists test1 Extended IP access list test1 deny ip host 172.16.1.1 host 160

26、.16.1.1 permit ip any any Switch(config)#interface vlan 1 Switch(config-if)#ip access-group test1 in 首页任务一任务二训练3 专家级访问控制列表的配置 训练测试 PC1可ping通PC2，但不能访问服务器。PC2可ping通PC1，也能访问服务器。训 练 小 结专家级访问列表用于过滤二层和三层、四层数据流。专家级访问列表可以使用源MAC地址、目的MAC地址、以太网类型、源IP、目的IP以及可选的协议类型信息作为匹配的条件。首页任务一任务二任务二网络地址转换任务描述NAT（Network Addr

27、ess Translation，网络地址转换）的功能是将企业内部自行定义的私有IP地址转换为Internet公网上可识别的合法IP地址。由于现行IP地址标准IPv4的限制，Internet面临着IP地址空间短缺的问题，从ISP申请并给企业的每位员工分配一个合法IP地址是不现实的。NAT技术能较好地解决现阶段IP v4地址短缺的问题。NAT是指将网络地址从一个地址空间转换为另一个地址空间的行为。NAT将网络划分为内部网络（Inside）和外部网络（Outside）两部分。局域网主机利用NAT访问网络时，是将局域网内部的本地地址转换为了全局地址（互联网合法IP地址）后转发数据包。NAT主要分为两种

28、类型：NAT（网络地址转换）和NAPT（网络地址端口转换）。因此本任务分以下两个训练进行学习。训练1 利用动态NAPT实现局域网访问因特网。训练2 利用NAT实现外网主机访问内网服务器。首页任务一任务二训练1 利用动态NAPT实现局域网访问因特网 训练描述你是某公司的网络管理员，公司只向ISP申请了一个公网IP地址，希望全公司的主机都能访问外网，请你实现。实验拓扑如图所示：172.16.1.55/24 主机 0 2811 Lan-router 2811 Internet-router 63.19.6.2/24 服务器 0 172.16.1.1 F0/0 63.19.6.1 F0/0 200.1

29、.8.8 S1/2 S1/2 200.1.8.7 首页任务一任务二训练1 利用动态NAPT实现局域网访问因特网 训练要求添加1台计算机代表公司内部的计算机，1台服务器代表公网上的一台Web服务器。添加2台2811路由器使用DCE串口线互联模拟与公网互联。在Lan-router上进行NAPT配置，实现内网的计算机能通过公网地址访问因特网上的服务器。训练分析公司通过路由器与外网互联，公司只有一个公网地址，那就是与公网直连的路由器端口的IP，即200.1.8.7，要实现内网访问因特网，只能在内网路由器上进行NAPT配置才能实现。首页任务一任务二训练1 利用动态NAPT实现局域网访问因特网 训练步骤

30、配置内网路由器 Router(config)#hostname lan-router lan-router(config)#interface fastEthernet 0/0 lan-router(config-if)#ip address 172.16.1.1 255.255.255.0 lan-router(config-if)#no shutdown lan-router(config-if)#exit lan-router(config)#interface serial 1/2 lan-router(config-if)#ip address 200.1.8.7 255.255.2

31、55.0 lan-router(config-if)#no shutdown lan-router(config-if)#exit 首页任务一任务二训练1 利用动态NAPT实现局域网访问因特网 训练步骤配置因特网路由器 Router(config)#hostname Internet-router Internet-router(config)#interface fastEthernet 0/0 Internet-router(config-if)#ip address 63.19.6.1 255.255.255.0 Internet-router(config-if)#no shutdow

32、n Internet-router(config-if)#exit Internet-router(config)#interface serial 1/2 Internet-router(config-if)#ip address 200.1.8.8 255.255.255.0 Internet-router(config-if)#clock rate 64000 Internet-router(config-if)#no sh Internet-router(config-if)#end 首页任务一任务二训练1 利用动态NAPT实现局域网访问因特网 训练步骤在内网路由器上配置默认路由并验证

33、 lan-router(config)#ip route 0.0.0.0 0.0.0.0 serial 1/2 验证测试：lan-router(config)#exit lan-router#ping 200.1.8.7 Type escape sequence to abort.Sending 5,100-byte ICMP Echos to 200.1.8.7,timeout is 2 seconds:!Success rate is 100 percent(5/5),round-trip min/avg/max=62/62/63 ms 首页任务一任务二训练1 利用动态NAPT实现局域网访

34、问因特网 训练步骤内网路由器上配置动态NAPT映射 lan-router(config)#interface fastEthernet 0/0 lan-router(config-if)#ip nat inside ！定义 F0/0 为内网接口 lan-router(config-if)#exit lan-router(config)#interface serial 1/2！定义 S1/2 为外网接口 lan-router(config-if)#ip nat outside lan-router(config-if)#exit lan-router(config)#ip nat pool t

35、o_internet 200.1.8.7 200.1.8.7 netmask 255.255.255.0 ！定义内部全局地址池 lan-router(config)#access-list 10 permit 172.16.1.0 0.0.0.255 ！定义允许转换的地址 lan-router(config)#ip nat inside source list 10 pool to_internet overload ！为内部本地调用转换地址池 首页任务一任务二训练1 利用动态NAPT实现局域网访问因特网 训练测试 在主机0上测试访问http:/63.19.6.2/index.html。在路由

36、器lan-router查看NAPT映射关系：lan-router#show ip nat translationsPro Inside global Inside local Outside local Outside global tcp 200.1.8.7:1025 172.16.1.55:1025 63.19.6.2:8063.19.6.2:80训 练 小 结不要把Inside和Outside应用的接口弄错。要加上能使数据包向外转发的路由，比如默认路由。尽量不要用广域网接口地址作为映射的全局地址，本例子中特定仅有一个公网地址，实际工作中不推荐。首页任务一任务二训练2 利用NAT实现外网主

37、机访问内网服务器 训练描述你是某公司的网络管理员，公司只向ISP申请了一个公网IP地址，现公司的网站在内网，要求在因特网也可以访问公司网站，请你实现。网络拓扑图如图所示，其中，172.16.8.5是Web服务器的IP地址。首页任务一任务二训练2 利用NAT实现外网主机访问内网服务器 训练要求添加1台计算机代表因特网上的计算机，1台服务器代表公司内部的一台Web服务器。添加2台2811路由器使用DCE串口线互联，模拟与公网互联。在Lan-router上进行NAT配置，实现公网的计算机能访问内网服务器上的Web服务。训练分析公司通过路由器与外网互联，公司只有一个公网地址，那就是与公网直连的路由器端

38、口的IP，即200.1.8.7。公网的计算机是不能直接访问内网计算机的，要实现内网服务器上的服务被外网访问，则要将内网服务器的IP映射到公网的IP上，因特网上的计算机通过公网IP访问到内网服务器上的Web服务。首页任务一任务二训练2 利用NAT实现外网主机访问内网服务器 训练步骤内网路由器的基本配置 Router(config)#hostname Lan-router Lan-router(config)#interface fastEthernet 0/0 Lan-router(config-if)#ip address 172.16.8.1 255.255.255.0 Lan-router

39、(config-if)#no shutdown Lan-router(config-if)#exit Lan-router(config)#interface serial 1/2 Lan-router(config-if)#ip address 200.1.8.7 255.255.255.0 Lan-router(config-if)#no shutdown Lan-router(config-if)#exit 首页任务一任务二训练2 利用NAT实现外网主机访问内网服务器 训练步骤公网路由器的基本配置在Lan-router上配置默认路由 Router(config)#hostname Int

40、ernet-router Internet-router(config)#interface fastEthernet 0/0 Internet-router(config-if)#ip address 63.19.6.1 255.255.255.0 Internet-router(config-if)#no shutdown Internet-router(config-if)#exit Internet-router(config)#interface serial 1/2 Internet-router(config-if)#ip address 200.1.8.8 255.255.25

41、5.0 Internet-router(config-if)#clock rate 64000 Internet-router(config-if)#no sh Internet-router(config-if)#end Lan-router(config)#ip route 0.0.0.0 0.0.0.0 serial 1/2 首页任务一任务二训练2 利用NAT实现外网主机访问内网服务器 训练步骤配置静态NAT映射 Lan-router(config)#ip nat inside source static 172.16.8.5 200.1.8.7 ！（方法一）定义直接的静态地址转换 La

42、n-router(config)#ip nat inside source static tcp 172.16.8.5 80 200.1.8.7 80 ！（方法二）定义基于 80 端口的静态地址转换 Lan-router(config)#interface fastEthernet 0/0 Lan-router(config-if)#ip nat inside Lan-router(config-if)#exit Lan-router(config)#interface serial 1/2 Lan-router(config-if)#ip nat outside Lan-router(con

43、fig-if)#exit 首页任务一任务二训练2 利用NAT实现外网主机访问内网服务器 训练测试 在主机0上测试访问http:/200.1.8.7/index.html。在路由器Lan-router查看NAT映射关系：Lan-router#show ip nat translationsPro Inside global Inside local Outside local Outside global Tcp 200.1.8.7:80 172.16.8.5:80 63.19.6.2:102563.19.6.2:1025训 练 小 结不要把Inside和Outside应用的接口弄错。如果使用方法一，则服务器的所有服务都映射到公网IP上；如果使用方法二，则只是Web服务的转换。建议使用第二种方法。