网络设备管理与维护实训教程-04网络的安全配置课件.ppt
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《网络设备管理与维护实训教程-04网络的安全配置课件.ppt》由用户(晟晟文业)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络设备 管理 维护 教程 _04 网络 安全 配置 课件
- 资源描述:
-
1、主讲人:授课班级:时间:首页任务一任务二项目四 网络的安全配置项目说明对于许多网络管理员来说,配置路由器的访问控制列表是一种经常性的工作。可以说,路由器的访问控制列表是网络安全保障的第一道关卡。访问列表提供了一种机制,它可以控制和过滤通过路由器的不同接口去往不同方向的信息流。这种机制允许用户使用访问列表来管理信息流,以制定公司内部网络的相关策略。这些策略可以描述安全功能,并且反映流量的优先级别。例如,某个组织可能希望允许或拒绝Internet对内部Web服务器的访问,或者允许内部局域网上一个或多个工作站能够将数据流发到广域网上。这些功能都可以通过访问列表来达到目的。技能目标任务一 IP访问列表
2、任务二 网络地址转换 首页任务一任务二任务一 IP访问列表任务描述IP ACL(IP访问控制列表或IP访问列表)是实现对流经路由器或交换机的数据包根据一定的规则进行过滤,从而提高网络可管理性和安全性。主要分为标准IP访问列表和扩展IP访问列表两种。其中,标准IP访问列表可以根据数据包的源IP地址定义规则,进行数据包的过滤;扩展IP访问列表可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则,进行数据包的过滤。IP ACL是基于接口进行规则的应用,分为入栈应用和出栈应用。入栈应用是指由外部经该接口进入路由器的数据包进行过滤;出栈应用是指路由器从该接口向外转发数据时进行数据包的过滤。
3、IP ACL的配置有两种方式:按照编号的访问列表;按照命名的访问列表。标准IP访问列表的编号范围是199、13001999;扩展IP访问列表的编号范围是100199、20002699。本任务分以下3个训练进行学习。训练1 标准访问控制列表的配置。训练2 扩展访问控制列表的配置。训练3 专家级访问控制列表的配置。首页任务一任务二训练1 标准访问控制列表的配置训练描述你是一个公司的网络管理员,公司的经理部、财务部和销售部分属不同的3个网段,3部门之间用路由器进行信息传递,为了安全起见,公司领导要求销售部门不能对财务部进行访问,但经理部可以对财务部进行访问。下面用一个训练来学习路由器标准访问控制列表
4、的配置方法,实验拓扑如图所示。其中,PC1代表经理部的主机;PC2代表销售部的主机;PC3代表财务部的主机。172.16.1.1 172.16.3.1 172.16.3.2 172.16.4.1 172.16.4.11 PC3 172.16.2.8 PC2 172.16.1.5 PC1 F0/0 Router2 172.16.2.1 Router1 S1/2 S1/2 F0/0 F0/1 三台 PC的网关分别为:172.16.1.1,172.16.2.1,172.16.4.1 子网掩码都为:255.255.255.0 首页任务一任务二训练1 标准访问控制列表的配置训练要求添加3台计算机分别命名
5、为PC1、PC2、PC3,根据实验拓扑图配置IP地址;添加2台路由,分别命名为Router1和Router2,为它们添加WIC-1T模块,使用DCE串口线互联;使用静态路由实现全网互通;在Router2上配置标准访问控制列表限制PC2所在的网络不能访问PC3所在的网络,但允许PC1所在的网络访问PC3所在的网络。训练分析根据实验拓扑图为所有的计算机设置IP、掩码和网关,使用正确的线缆连接所有的设备;两个路由器之间使用默认的广域网HDLC协议封装。首页任务一任务二训练1 标准访问控制列表的配置训练步骤Router1基本配置 Routeren Router#conf t Router(config
6、)#hostname Router1 Router1(config)#inter f0/0 Router1(config-if)#ip add 172.16.1.1 255.255.255.0 Router1(config-if)#no shutdown Router1(config-if)#inter f0/1 Router1(config-if)#ip add 172.16.2.1 255.255.255.0 Router1(config-if)#no shutdown Router1(config-if)#inter s1/2 Router1(config-if)#ip add 172.
7、16.3.1 255.255.255.0 Router1(config-if)#clock rate 64000 Router1(config-if)#no shutdown Router1(config-if)#end 首页任务一任务二训练1 标准访问控制列表的配置训练步骤Router2基本配置 Routeren Router#conf t Router(config)#hostname Router2 Router2(config)#inter f0/0 Router2(config-if)#ip add 172.16.4.1 255.255.255.0 Router2(config-if
8、)#no shutdown Router2(config-if)#exit Router2(config)#inter s1/2 Router2(config-if)#ip add 172.16.3.2 255.255.255.0 Router2(config-if)#no shutdown Router2(config-if)#end 首页任务一任务二训练1 标准访问控制列表的配置训练步骤配置静态路由实现全网互通 Router1(config)#ip route 172.16.4.0 255.255.255.0 serial 1/2 Router2(config)#ip route 172.
9、16.1.0 255.255.255.0 serial 1/2 Router2(config)#ip route 172.16.2.0 255.255.255.0 serial 1/2 查看路由器的路由信息:Router1#show ip route Codes:C-connected,S-static,I-IGRP,R-RIP,M-mobile,B-BGP D-EIGRP,EX-EIGRP external,O-OSPF,IA-OSPF inter area N1-OSPF NSSA external type 1,N2-OSPF NSSA external type 2 E1-OSPF e
10、xternal type 1,E2-OSPF external type 2,E-EGP 172.16.0.0/24 is subnetted,4 subnets C 172.16.1.0 is directly connected,FastEthernet0/0 C 172.16.2.0 is directly connected,FastEthernet0/1 C 172.16.3.0 is directly connected,Serial1/2 S 172.16.4.0 is directly connected,Serial1/2 Router2#show ip route 首页任务
11、一任务二训练1 标准访问控制列表的配置训练步骤配置标准IP访问控制列表 Router2(config)#access-list 1 deny 172.16.2.0 0.0.0.255 !拒绝来自 172.16.2.0(PC2)网段的流量通过 Router2(config)#access-list 1 permit 172.16.1.0 0.0.0.255 !允许来自 172.16.1.0(PC1)网段的流量通过 查看访问控制列表信息:Router2#show access-lists 1 Standard IP access list 1 deny 172.16.2.0 0.0.0.255 p
12、ermit 172.16.1.0 0.0.0.255 首页任务一任务二训练1 标准访问控制列表的配置训练步骤应用访问控制列表在接口上 Router2(config)#inter f0/1 Router2(config-if)#ip access-group 1 out !在接口下访问控制列表出栈流量调用 查看访问控制列表的应用状态:Router2#show ip interface fastethernet 0/0 FastEthernet0/0 is up,line protocol is up(connected)Internet address is 172.16.4.1/24 Broa
13、dcast address is 255.255.255.255 Address determined by setup command MTU is 1500 Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is 1 首页任务一任务二训练1 标准访问控制列表的配置训练测试 在PC1上测试PC3,结果是通的。在PC2上测试PC3,结果是不通的。训 练 小 结(1)注意在访问控制列表的网络掩码是反掩码。(2)标准控制列表要应用在尽量靠近目的地址的接口。首页任务一任务二
14、训练2 扩展访问控制列表的配置 训练描述你是学校的网络管理员,在3560-24PS交换机上连着学校提供的Web和FTP的服务器,另外还连接着学生宿舍楼和教工宿舍楼,学校规定学生只能对服务器进行FTP访问,不能进行Web访问,教工则没有此限制。实验拓扑如图所示。首页任务一任务二训练2 扩展访问控制列表的配置 训练要求添加2台计算机和1台服务器,1台PC代表学生宿舍楼的计算机,一台PC代表教师所用的计算机,服务器为学校的Web、FTP服务器。添加1台3560交换机,在交换机上划分3个Vlan,分别为Vlan10、Vlan20、Vlan30,开启三层路由功能实现全网互通。在交换机上配置扩展访问控制列
15、表限制学生机只能访问服务器上的FTP服务,而不能使用Web服务,但教师机不受限制。训练分析本任务只是要求限制学生机对校服务器的Web服务,此限制只是根据服务器提供的某种服务进行控制,是基于服务端口进行控制的,因此不能使用标准访问列表来实现。首页任务一任务二训练2 扩展访问控制列表的配置 训练步骤交换机的基本配置 Switchen Switch#conf t Switch(config)#vlan10 Switch(config-vlan)#name server Switch(config-vlan)#vlan20 Switch(config-vlan)#name teachers Switc
16、h(config-vlan)#vlan30 Switch(config-vlan)#name students Switch(config-vlan)#inter f0/5 Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan10 Switch(config-if)#inter f0/10 Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan20 Switch(config-i
17、f)#inter f0/15 Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan30 Switch(config-if)#exit Switch(config)#int vlan10 Switch(config-if)#ip add 192.168.10.1 255.255.255.0 Switch(config-if)#no shutdown Switch(config-if)#int vlan20 Switch(config-if)#ip add 192.168.20.1 255
18、.255.255.0 Switch(config-if)#no shutdown Switch(config-if)#int vlan30 Switch(config-if)#ip add 192.168.30.1 255.255.255.0 Switch(config-if)#no shutdown Switch(config-if)#exit 首页任务一任务二训练2 扩展访问控制列表的配置 训练步骤配置命名扩展IP访问控制列表 Switch(config)#ip access-list extended denystudentwww !定义命名扩展访问列表 Switch(config-ex
19、t-nacl)#deny tcp 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255 eq www !禁止 WWW 服务 Switch(config-ext-nacl)#permit ip any any !允许其他服务 Switch(config-ext-nacl)#exit Switch(config)#exit 首页任务一任务二训练2 扩展访问控制列表的配置 训练步骤查看配置 把访问控制列表在接口下应用Switch#show ip access-lists denystudentwww Extended IP access list denystu
20、dentwww deny tcp 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255 eq www permit ip any any Switch(config)#int vlan30 Switch(config-if)#ip access-group denystudentwww in 首页任务一任务二训练2 扩展访问控制列表的配置 训练测试分别在学生机所在的网段和教师机所在的网段使用1台主机,访问Web服务器。测试发现,学生网段不能访问网页,教学宿舍网段可以访问网页。训 练 小 结(1)访问控制列表要在接口下应用。(2)要注意deny某个网段后要p
21、ermit其他网段。首页任务一任务二训练3 专家级访问控制列表的配置 训练描述你是某公司的网络管理员,最近你怀疑有人可能利用一些工具进行网络攻击和访问。为了提高网络访问的安全性,你需要利用专家级的访问列表,根据用户的IP地址和MAC地址进行网络访问的控制。实验拓扑如图所示。PC1 PC2 F0/1 F0/2 F0/0 F0/1 F0/3 172.16.1.2 IP:172.16.1.1 默认网关 172.16.1.2 IP:172.16.1.3 默认网关 172.16.1.2 Multilayer Switch2 3560-24PS 2811 160.16.1.2 Router IP:160.
展开阅读全文