第七章 局域網(wǎng)安全技術(shù)

第七章  局域網(wǎng)安全技術(shù)

7.1 ACL、NAT概述

7.1.1 ACL

1. 概念

對于許多網(wǎng)管員來說，配置路由器的訪問控制列表是一件經(jīng)常性的工作，可以說，路由器的訪問控制列表是網(wǎng)絡(luò)安全保障的第一道關(guān)卡。訪問列表提供了一種機制，它可以控制和過濾通過路由器的不同接口去往不同方向的信息流。這種機制允許用戶使用訪問表來管理信息流，以制定公司內(nèi)部網(wǎng)絡(luò)的相關(guān)策略。這些策略可以描述安全功能，并且反映流量的優(yōu)先級別。例如，某個組織可能希望允許或拒絕Internet對內(nèi)部Web服務(wù)器的訪問，或者允許內(nèi)部局域網(wǎng)上一個或多個工作站能夠?qū)?shù)據(jù)流發(fā)到廣域網(wǎng)上。這些情形，以及其他的一些功能　都可以通過訪問表來達到目的。

2. 訪問列表的種類劃分

目前的路由器一般都支持兩種類型的訪問表：基本訪問表和擴展訪問表。

這兩種ACL的區(qū)別是，標(biāo)準(zhǔn)ACL只檢查數(shù)據(jù)包的源地址; 擴展ACL既檢查數(shù)據(jù)包的源地址，也檢查數(shù)據(jù)包的目的地址，同時還可以檢查數(shù)據(jù)包的特定協(xié)議類型、端口號等。 網(wǎng)絡(luò)管理員可以使用標(biāo)準(zhǔn)ACL阻止來自某一網(wǎng)絡(luò)的所有通信流量，或者允許來自某一特定網(wǎng)絡(luò)的所有通信流量，或者拒絕某一協(xié)議簇（比如IP）的所有通信流量。

擴展ACL比標(biāo)準(zhǔn)ACL提供了更廣泛的控制范圍。例如，網(wǎng)絡(luò)管理員如果希望做到“允許外來的Web通信流量通過，拒絕外來的FTP和Telnet等通信流量”，那么，他可以使用擴展ACL來達到目的，標(biāo)準(zhǔn)ACL不能控制這么精確。

1. 標(biāo)準(zhǔn)IP訪問控制列表

一個標(biāo)準(zhǔn)IP訪問控制列表匹配IP包中的源地址或源地址中的一部分，可對匹配的包采取拒絕或允許兩個操作。編號范圍是從1到99的訪問控制列表是標(biāo)準(zhǔn)IP訪問控制列表。

2. 擴展IP訪問控制列表

擴展IP訪問控制列表比標(biāo)準(zhǔn)IP訪問控制列表具有更多的匹配項，包括協(xié)議類型、源地址、目的地址、源端口、目的端口、建立連接的和IP優(yōu)先級等。編號范圍是從100到199的訪問控制列表是擴展IP訪問控制列表。

3. 命名的IP訪問控制列表

所謂命名的IP訪問控制列表是以列表名代替列表編號來定義IP訪問控制列表，同樣包括標(biāo)準(zhǔn)和擴展兩種列表，定義過濾的語句與編號方式中相似。

4. 標(biāo)準(zhǔn)IPX訪問控制列表

標(biāo)準(zhǔn)IPX訪問控制列表的編號范圍是800-899，它檢查IPX源網(wǎng)絡(luò)號和目的網(wǎng)絡(luò)號，同樣可以檢查源地址和目的地址的節(jié)點號部分。

5. 擴展IPX訪問控制列表

擴展IPX訪問控制列表在標(biāo)準(zhǔn)IPX訪問控制列表的基礎(chǔ)上，增加了對IPX報頭中以下幾個宇段的檢查，它們是協(xié)議類型、源Socket、目標(biāo)Socket。擴展IPX訪問控制列表的編號范圍是900-999。

6. 命名的IPX訪問控制列表

與命名的IP訪問控制列表一樣，命名的IPX訪問控制列表是使用列表名取代列表編號。從而方便定義和引用列表，同樣有標(biāo)準(zhǔn)和擴展之分。

3. 訪問控制列表的作用

1. 限制網(wǎng)絡(luò)流量，提高網(wǎng)絡(luò)性能。例如，ACL可以根據(jù)數(shù)據(jù)包的協(xié)議，指定數(shù)據(jù)包的優(yōu)先級。
2. 提供流量控制。例如，ACL可以限定或簡化路由更新信息的長度，從而限制通過路由器某一網(wǎng)段的通信流量。
3. 提供網(wǎng)絡(luò)訪問的基本安全級別。ACL允許主機A訪問人力資源網(wǎng)絡(luò)，而拒絕主機B訪問。
4. 在路由器接口決定哪種流量被轉(zhuǎn)發(fā)或被阻塞。例如，用戶可以允許E-mail通信流量被路由，拒絕所有的Telnet通信流量。

4．訪問控制列表使用原則

1. 最小特權(quán)原則

只給受控對象完成任務(wù)所必須的最小的權(quán)限。也就是說被控制的總規(guī)則是各個規(guī)則的交集，只滿足部分條件的是不容許通過規(guī)則的。

2. 最靠近受控對象原則
   所有的網(wǎng)絡(luò)層訪問權(quán)限控制。也就是說在檢查規(guī)則時是采用自上而下在ACL中一條條檢測的，只要發(fā)現(xiàn)符合條件了就立刻轉(zhuǎn)發(fā)，而不繼續(xù)檢測下面的ACL語句。
3. 默認丟棄原則　　
   在CISCO路由交換設(shè)備中默認最后一句為ACL中加入了DENY ANY ANY，銳捷路由交換設(shè)備也具有此特性。也就是丟棄所有不符合條件的數(shù)據(jù)包。這一點要特別注意，雖然我們可以修改這個默認，但未改前一定要引起重視。
   由于ACL是使用包過濾技術(shù)來實現(xiàn)的，過濾的依據(jù)又僅僅只是第三層和第四層包頭中的部分信息，這種技術(shù)具有一些固有的局限性，如無法識別到具體的人，無法識別到應(yīng)用內(nèi)部的權(quán)限級別等。因此，要達到端到端的權(quán)限控制目的，需要和系統(tǒng)級及應(yīng)用級的訪問權(quán)限控制結(jié)合使用。

5．訪問控制列表的格式

標(biāo)準(zhǔn)IP訪問表

1. 標(biāo)準(zhǔn)IP訪問表的基本格式為：
   access-list [list number][permit|deny][host/any][sourceaddress][wildcard-mask][log]
   下面對標(biāo)準(zhǔn)IP訪問表基本格式中的各項參數(shù)進行解釋：
   list number---表號范圍
   標(biāo)準(zhǔn)IP訪問表的表號標(biāo)識是從1到99。
2. permit/deny----允許或拒絕
   關(guān)鍵字permit和deny用來表示滿足訪問表項的報文是允許通過接口，還是要過濾掉。permit表示允許報文通過接口，而deny表示匹配標(biāo)準(zhǔn)IP訪問表源地址的報文要被丟棄掉。
3. source address----源地址
   對于標(biāo)準(zhǔn)的IP訪問表，源地址是主機或一組主機的點分十進制表示。
4. host/any----主機匹配  host和any分別用于指定單個主機和所有主機。

host表示一種精確的匹配，其屏蔽碼為0.0.0.0。

any是源地證/目標(biāo)地址0.0.0.0/255.255.255.255的簡寫。

5. wi1dcardmask------通配符屏蔽碼   二進制的0表示一個"匹配"條件，二進制的1表示一個"不關(guān)心"條件。
6. Log----日志記錄  如果該關(guān)鍵字用于訪問表中，則對那些能夠匹配訪問表中的permit和deny語句的報文進行日志記錄。日志信息包含訪問表號、報文的允許或拒絕、源IP地址以及在顯示了第一個匹配以來每5分鐘間隔內(nèi)的報文數(shù)目。

擴展的IP訪問控制列表

擴展IP訪問表的基本格式為：

access-list access-list-number[dynamic dynamic-name[timeout minutes]]  {deny|permit} protocol source source-wildcard destination destination-wildcard [precedence precedence]           [tos tos] [log|log-input] [time-range time range-name] [fragments]

1. access-list-number ----表號范圍
   擴展IP訪問表的表號標(biāo)識從l00到199。
2. dynamic dynamic-name （可選項）把ACL定義為動態(tài)的ACL。
3. timeout minutes 指定時間的絕對長度，準(zhǔn)確到分鐘的一個臨時訪問控制列表入口可以保持在動態(tài)訪問控制列表種的時間。默認的是一個無窮大的時間，并允許一個入口保持不變。
4. deny|permit  

deny  如果條件符合就拒絕訪問。

permit 如果條件符合就允許訪問。

5. protocol-----協(xié)議
   協(xié)議項定義了需要被過濾的協(xié)議，例如IP、TCP、UDP、1CMP等等。協(xié)議選項是很重要的，因為在TCP/IP協(xié)議棧中的各種協(xié)議之間有很密切的關(guān)系，如果管理員希望根據(jù)特殊協(xié)議進行報文過濾，就要指定該協(xié)議。
6. Source 發(fā)送份組的網(wǎng)絡(luò)號或主機。
7. source-wildcard  用于源地址的通配符位。
8. Destination  分組的目的網(wǎng)絡(luò)號或主機。
9. destination-wildcard  用于源地址的通配符位。
10. precedence precedence  分組可基于優(yōu)先級來過濾。
11. tos tos 分組可基于服務(wù)類型的級別來過濾。
12. log|log-input 日志的輸出消息包括輸入接口和源MAC地址或虛擬信道。
13. ime-range time range-name  應(yīng)用與該語句的時間范圍的名稱。時間發(fā)內(nèi)的名稱及其要求由ime-range命令指定。
14. Icmp-type  （可選項）基于ICMP消息類型來過濾ICMP分組。
15. Icmp-code  （可選項）基于ICMP消息代碼來過濾ICMP分組。
16. Icmp-message  （可選項）基于ICMP消息的類型名或者ICMP消息類型和代碼名稱來過濾ICMP分組。
17. igmp-type  （可選項）基于IGMP消息類型或者消息名稱來過濾ICMP分組，消息類型是一個從0到15的數(shù)字。
18. Operator  （可選項）比較源和目的端口，可用的操作符包括lt（小于），gt（大于），eq（等于），neq（不等于）和range（包括的范圍）

如果操作符位于源地址和源地址通配符之后，那么它必須匹配源端口。

如果操作符位于目的地址和目的地址統(tǒng)配符之后，那么它必須匹配目的端口。

Range操作符需要兩個端口號，其他操作符只需要一個端口號。

19. Port （可選項）指明TCP或UDP端口的十進制數(shù)字或名字。
20. Established （可選項）只針對TCP協(xié)議，指一個已經(jīng)建立的連接。如果TCP數(shù)據(jù)報中的ACK，F(xiàn)IN，PSH，RST，SYN或者URG等控制位被指定，則匹配，如果是要求建立連接的初始數(shù)據(jù)報，則不匹配。
21. Fragments （可選項）該ACL入口應(yīng)用于分組的非初始部分，這個段將被允許或拒絕。

6．注意事項

1. ACL語句屬于相同的ACL并具有相同的ACL號很重要。
2. 為創(chuàng)建一個ACL時ACL語句的順序是至關(guān)重要的。當(dāng)根據(jù)訪問控制列表來比較分組時，比較是按照ACL語句一句一句比較的，直到與某一語句匹配。一旦與某一語句匹配，就執(zhí)行匹配語句中所指定的動作，不再檢查其他條件語句。
3. 當(dāng)一個ACL被創(chuàng)建后，新的語句行都會被加到ACL的最后。無法刪除列表中的單獨一行，只能刪除整個ACL列表。
4. 最好的辦法是，使用PC機上的文本編輯器創(chuàng)建或修改ACL，然后再通過TFTP或超級終端的發(fā)送文本文件將ACL傳到路由器。
5. 為每個ACL分配唯一的編號
6. ACL語句中條件判斷的語句是無限的，其數(shù)量的大小只受內(nèi)存的限制。當(dāng)然，條件判斷語句越多，該ACL的執(zhí)行和管理就越困難。ACL會消耗路由器的CPU資源，路由器在轉(zhuǎn)發(fā)分組時不得不消耗大量資源。
7. 當(dāng)分組不能與任何一個條件判斷語句匹配時，則在ACL的末尾隱含對所有訪問的拒絕。

7．ACL的配置方法

ACL的配置分為兩個步驟：

1. 在全局配置模式下，使用下列命令創(chuàng)建ACL：

Router (config)# access-list access-list-number {permit | deny } {test-conditions}

其中，access-list-number為ACL的表號。人們使用較頻繁的表號是標(biāo)準(zhǔn)的IP ACL（1—99）和擴展的IP ACL（100－199）。

2. 在接口配置模式下，使用access-group命令A(yù)CL應(yīng)用到某一接口上：

Router (config-if)# {protocol} access-group access-list-number {in | out }

其中，in和out參數(shù)可以控制接口中不同方向的數(shù)據(jù)包，如果不配置該參數(shù)，缺省為out。 ACL在一個接口可以進行雙向控制，即配置兩條命令，一條為in，一條為out，兩條命令執(zhí)行的ACL表號可以相同，也可以不同。但是，在一個接口的一個方向上，只能有一個ACL控制。

值得注意的是，在進行ACL配置時，網(wǎng)管員一定要先在全局狀態(tài)配置ACL表，再在具體接口上進行配置，否則會造成網(wǎng)絡(luò)的安全隱患。

7.1.2 NAT

1. NAT概述

隨著internet的網(wǎng)絡(luò)以爆炸性的速度膨脹，IP地址短缺及路由規(guī)模越來越大已成為一個相當(dāng)嚴(yán)重的問題。為了解決這個問題，出現(xiàn)了多種解決方案。一種在目前網(wǎng)絡(luò)環(huán)境中比較有效的方法即地址轉(zhuǎn)換(NAT)功能。

所謂的地址轉(zhuǎn)換，即NAT功能，就是指在一個組織網(wǎng)絡(luò)內(nèi)部，根據(jù)需要可以隨意自定義的IP地址（不需要經(jīng)過申請）即假的IP地址。在本組織內(nèi)部，各計算機間通過假的IP地址進行通訊。而當(dāng)組織內(nèi)部的計算機要與外部internet網(wǎng)絡(luò)進行通訊時，具有NAT功能的設(shè)備（這里路由器）負責(zé)將其假的IP地址轉(zhuǎn)換為真的IP地址，即該組織申請的合法IP地址進行通信。

簡單地說，NAT就是通過某種方式將IP地址進行轉(zhuǎn)換。

2. NAT的幾個概念

1. 內(nèi)部本地地址（Inside local address）：

分配給內(nèi)部網(wǎng)絡(luò)中的計算機的內(nèi)部IP地址。

2. 內(nèi)部合法地址（Inside global address）：

對外進入IP通信時，代表一個或多個內(nèi)部本地地址的合法IP地址。需要申請才可取得的IP地址。

3. NAT 的應(yīng)用環(huán)境　

情況1：一個企業(yè)不想讓外部網(wǎng)絡(luò)用戶知道自己的網(wǎng)絡(luò)內(nèi)部結(jié)構(gòu)，可以通過NAT將內(nèi)部網(wǎng)絡(luò)與外部Internet隔離開，則外部用戶根本不知道通過NAT設(shè)置的內(nèi)部IP地址。

 情況2：一個企業(yè)申請的合法Internet IP地址很少，而內(nèi)部網(wǎng)絡(luò)用戶很多?？梢酝ㄟ^NAT功能實現(xiàn)多個用戶同時公用一個合法IP與外部Internet 進行通信。

設(shè)置NAT功能的路由器至少要有一個內(nèi)部端口(Inside)，一個外部端口(Outside)。內(nèi)部端口連接的網(wǎng)絡(luò)用戶使用的是內(nèi)部IP地址（非法IP）；外部端口連接的是外部的網(wǎng)絡(luò)，使用電信部門分配給我們的IP地址。一般來說，內(nèi)部端口應(yīng)使用ETHERNET端口，外部端口使用SERIAL 端口。另外，想要使用NAT功能，路由器的IOS必須支持NAT功能。

    NAT設(shè)置可以分為靜態(tài)地址轉(zhuǎn)換、動態(tài)地址轉(zhuǎn)換、復(fù)用動態(tài)地址轉(zhuǎn)換。以下設(shè)置以Cisco路由器為例。

4. 靜態(tài)地址轉(zhuǎn)換

靜態(tài)地址轉(zhuǎn)換將內(nèi)部本地地址與內(nèi)部合法地址進行一對一地轉(zhuǎn)換，且需要指定和哪個合法地址進行轉(zhuǎn)換。如果內(nèi)部網(wǎng)絡(luò)有www服務(wù)器或FTP服務(wù)器等可以為外部用戶提供服務(wù)，則這些服務(wù)器的IP地址必須采用靜態(tài)地址轉(zhuǎn)換，以便外部用戶可以使用這些服務(wù)。

靜態(tài)地址轉(zhuǎn)換基本配置步驟：

1. 在內(nèi)部本地地址與內(nèi)部合法地址之間建立靜態(tài)地址轉(zhuǎn)換。在全局設(shè)置狀態(tài)下輸入：

Ip nat inside source static 內(nèi)部本地地址 內(nèi)部合法地址

2. 指定連接網(wǎng)絡(luò)的內(nèi)部端口 在端口設(shè)置狀態(tài)下輸入：

       ip nat inside

3. 指定連接外部網(wǎng)絡(luò)的外部端口 在端口設(shè)置狀態(tài)下輸入：

       ip nat outside

注：可以根據(jù)實際需要定義多個內(nèi)部端口及多個外部端口。

5. 動態(tài)地址轉(zhuǎn)換

動態(tài)地址轉(zhuǎn)換也是將內(nèi)部本地地址與內(nèi)部合法地址一對一地轉(zhuǎn)換，但是動態(tài)地址轉(zhuǎn)換是從內(nèi)部合法地址池中動態(tài)地選擇一個未使用的地址來對內(nèi)部本地地址進行轉(zhuǎn)換的。

動態(tài)地址轉(zhuǎn)換基本配置步驟：

1. 在全局設(shè)置模式下，定義內(nèi)部合法地址池

        ip nat pool 地址池名稱 起始IP地址 終止IP地址 子網(wǎng)掩碼

        其中地址池名稱可以任意設(shè)定。

2. 在全局設(shè)置模式下，定義一個標(biāo)準(zhǔn)的access-list規(guī)則以允許哪些內(nèi)部地址可以進行動態(tài)地址轉(zhuǎn)換。

        Access-list 標(biāo)號 permit 源地址 通配符

        其中標(biāo)號為1-99之間的整數(shù)。

3. 在全局設(shè)置模式下，將由access-list指定的內(nèi)部本地地址與指定的內(nèi)部合法地址池進行地址轉(zhuǎn)換。

        ip nat inside source list 訪問列表標(biāo)號 pool內(nèi)部合法地址池名字

4. 指定與內(nèi)部網(wǎng)絡(luò)相連的內(nèi)部端口在端口設(shè)置狀態(tài)下：

        ip nat inside

5. 指定與外部網(wǎng)絡(luò)相連的外部端口

        ip nat outside

6. 復(fù)用動態(tài)地址轉(zhuǎn)換

復(fù)用動態(tài)地址轉(zhuǎn)換首先是一種動態(tài)地址轉(zhuǎn)換，但是它可以允許多個內(nèi)部本地地址共用一個內(nèi)部合法地址。對只申請到少量IP地址但卻經(jīng)常同時有多個用戶上外部網(wǎng)絡(luò)的情況，這種轉(zhuǎn)換極為有用。

復(fù)用動態(tài)地址轉(zhuǎn)換配置步驟：

1. 在全局設(shè)置模式下，定義內(nèi)部合地址池

        ip nat pool 地址池名字 起始IP地址 終止IP地址 子網(wǎng)掩碼

        其中地址池名字可以任意設(shè)定。

2. 在全局設(shè)置模式下，定義一個標(biāo)準(zhǔn)的access-list規(guī)則以允許哪些內(nèi)部本地地址可以進行動態(tài)地址轉(zhuǎn)換。

        access-list 標(biāo)號 permit 源地址 通配符

        其中標(biāo)號為1－99之間的整數(shù)。

3. 在全局設(shè)置模式下，設(shè)置在內(nèi)部的本地地址與內(nèi)部合法IP地址間建立復(fù)用動態(tài)地址轉(zhuǎn)換。

        ip nat inside source list 訪問列表標(biāo)號 pool 內(nèi)部合法地址池名字 overload

4. 在端口設(shè)置狀態(tài)下，指定與內(nèi)部網(wǎng)絡(luò)相連的內(nèi)部端口

        ip nat inside

5. 在端口設(shè)置狀態(tài)下，指定與外部網(wǎng)絡(luò)相連的外部端口

ip nat outside

7. 涉及NAT的配置命令

與配置NAT有關(guān)的命令描述如下。

1. Clear ip nat :用來清除所有活動的NAT。
2. Ip nat:用來為發(fā)送報文（從內(nèi)部）或接收報文（到外部）的接口應(yīng)用NAT。
3. Ip nat inside destination list:全局命令，為內(nèi)部目的的地址應(yīng)用NAT?？膳渲脼閯討B(tài)或靜態(tài)的
4. Ip nat inside source:全局命令，為內(nèi)部源地址應(yīng)用NAT?？膳渲脼閯討B(tài)或靜態(tài)的。
5. Ip nat outside source:全局命令，為外部源地址應(yīng)用NAT?？膳渲脼閯討B(tài)或靜態(tài)的。
6. Ip nat pool name:全局命令，定義一個IP地址池用來為網(wǎng)絡(luò)轉(zhuǎn)換，可定義為內(nèi)部全局池、外部本地池或旋轉(zhuǎn)池。
7. Ip nat translation: NAT超時后，該全局命令用來改變時間長度。
8. Show ip nat statistics:用來顯示關(guān)于NAT統(tǒng)計數(shù)據(jù)。
9. Show ip nat translations:顯示所有激活的NAT轉(zhuǎn)換。
10. 上述部分命令僅列出了部分關(guān)鍵字，具體使用時還需給出相關(guān)參數(shù)。

 

 

 

 

7.2 命名的標(biāo)準(zhǔn)IP訪問列表配置實驗

7.2.1實驗?zāi)康?/h3>

掌握命名的標(biāo)準(zhǔn)IP訪問列表規(guī)則及配置。

 

7.2.2背景描述

假如你是學(xué)校的網(wǎng)絡(luò)管理員，在學(xué)校核心交換機上連著學(xué)校的提供學(xué)習(xí)資料的服務(wù)器，另外還連接著學(xué)生宿舍樓和教工宿舍樓，學(xué)校規(guī)定學(xué)生只能訪問學(xué)習(xí)資料存放的服務(wù)器，學(xué)生宿舍樓不能訪問教工宿舍樓

7.2.3實現(xiàn)功能  

實現(xiàn)網(wǎng)段間互相訪問的安全控制。

7.2.4實驗拓撲

 

 

圖 訪問控制列表配置

 

7.2.5實驗設(shè)備

• 一臺RG-S3760三層交換機，三臺RG-S2126G交換機
• PC機四臺（其中一臺用于打開管理端網(wǎng)頁，進行設(shè)備配置）
• 直通和交叉雙絞線若干

7.2.6實驗步驟

 1.  在三層交換機上做基本配置，主要是創(chuàng)建VLAN
Center(config)#vlan 10
Center(config-vlan)#name server
Center(config)#vlan 20
Center(config-vlan)#name teachers
Center(config)#vlan 30
Center(config-vlan)#name students
Center(config)#interface f0/5
Center(config-if)#switchport mode access
Center(config-if)#switchport access vlan 10
Center(config)#interface f0/10
Center(config-if)#switchport mode access
Center(config-if)#switchport access vlan 20
Center(config)#interface f0/15
Center(config-if)#switchport mode access
Center(config-if)#switchport access vlan 30
Center(config)#int vlan10
Center(config-if)#ip add 192.168.10.1 255.255.255.0
Center(config-if)#no sh
Center(config-if)#int vlan 20
Center(config-if)#ip add 192.168.20.1 255.255.255.0
Center(config-if)#no sh
Center(config-if)#int vlan 30
Center(config-if)#ip add 192.168.30.1 255.255.255.0
Center(config-if)#no sh

本實驗，RG-S2126G三個二層交換機不需要做任何配置，只需要連線就可以了。
 2.     配置命名標(biāo)準(zhǔn)IP訪問控制列表
Center(config)#ip access-list standard denystudent    （定義命名訪問控制列表）
Center(config-std-nacl)#deny 192.168.20.0 0.0.0.255    （定義列表匹配的條件）
Center(config-std-nacl)#permit any                   （允許其他流量通過）

說明：  要注意deny某個網(wǎng)段后要peimit其他網(wǎng)段
3.   用命令sh ip access-lists denystudent查看定義的列表
Center#sh ip access-lists denystudent
Standard IP access list: denystudent
                  deny 192.168.20.0 0.0.0.255
                  permit any
4 .    把訪問控制列表在接口下應(yīng)用
Center(config)#int vlan 10
Center(config-if)#ip access-group denystudent out （訪問控制列表在接口出方向應(yīng)用）
 
5.  啟用三層路由

  Center(config)#ip routing

 

6.  查看配置文件
Center#show run
version 1.0
!
hostname Center
ip access-list standard denystudent
  deny 192.168.20.0 0.0.0.255
  permit any
interface FastEthernet 0/5
switchport access vlan 10
!
interface FastEthernet 0/10
switchport access vlan 20
!
interface FastEthernet 0/15
switchport access vlan 30

!
interface Vlan 10
ip address 192.168.10.1 255.255.255.0
!
interface Vlan 20
ip address 192.168.20.1 255.255.255.0
ip access-group denystudent out
!
interface Vlan 30
ip address 192.168.30.1 255.255.255.0
!
end

 

7.   驗證測試

 

在屬于學(xué)生宿舍（VLAN20）的主機PC2上PING屬于服務(wù)器區(qū)（VLAN10）的主機PC1，發(fā)現(xiàn)不能PING通

在屬于教職工宿舍(VLAN30)的主機PC3上PING屬于服務(wù)區(qū)(VLAN10)的主機PC1，發(fā)現(xiàn)可以PING通

7.2.7  注意事項

1. 標(biāo)準(zhǔn)的訪問控制列表編號范圍為1-99。
2. 在路由器中，如果使用ACL的表號進行配置，則列表不能插入或刪除行。如果列表要插入或刪除一行，必須先去掉所有ACL，然后重新配置。當(dāng)ACL中條數(shù)很多時，這種改變非常煩瑣。一個比較有效的解決辦法是：在遠程主機上啟用一個TFTP服務(wù)器，先把路由器配置文件下載到本地，利用文本編輯器修改ACL表，然后將修改好的配置文件通過TFTP傳回路由器。
3. 配置完訪問控制列表后要在接口下應(yīng)用。
4. Deny某個網(wǎng)段后要permit其他網(wǎng)段。
5. in和out參數(shù)可以控制接口中不同方向的數(shù)據(jù)包，如果不配置該參數(shù)，缺省為out。

ACL在一個接口可以進行雙向控制，即配置兩條命令，一條為in，一條為out，兩條命令執(zhí)行的ACL表號可以相同，也可以不同。但是，在一個接口的一個方向上，只能有一個ACL控制。

值得注意的是，在進行ACL配置時，網(wǎng)管員一定要先在全局狀態(tài)配置ACL表，再在具體接口上進行配置，否則會造成網(wǎng)絡(luò)的安全隱患。

 

 

 

 

 

 

 

 

 

7.3命名的擴展的IP訪問控制列表配置實驗

7.3.1 實驗?zāi)康?/h3>

掌握擴展IP訪問控制列表的配置。

7.3.2 背景描述

在校園網(wǎng)中，學(xué)校希望學(xué)生在做實驗時只能訪問FTP服務(wù)器而不可以上網(wǎng)和訪問教師辦公室。教師沒有限制。機房實驗室所在網(wǎng)段是172.16.1.0/24，教師辦公室所在網(wǎng)段是172.16.2.0/24。要求網(wǎng)絡(luò)管理員按照需要，實現(xiàn)對網(wǎng)絡(luò)服務(wù)訪問的安全控制。

7.3.3 實驗設(shè)備

• 一臺RG-S3760三層交換機，一臺RG-R1700系列路由器
• PC機三臺（其中一臺作為機房實驗室計算機，一臺作為教師辦公室計算機,另一臺用于打開管理端網(wǎng)頁，進行設(shè)備配置）
• 直通和交叉雙絞線若干

7.3.4 實驗拓撲圖

實驗拓撲如圖4-2所示：

圖4-2  擴展的IP訪問控制列表配置

7.3.5 實驗步驟

要實現(xiàn)所需的訪問控制，有兩種方法。

一種是通過在三層交換機的f0/1接口上配置擴展訪問控制列表，通過指定分組的源地址和目的地址和協(xié)議類型、端口號來實現(xiàn)機房實驗室對FTP服務(wù)器的訪問并拒絕機房實驗室訪問Internet。

另一種是通過在路由器的f1/0接口上配置標(biāo)準(zhǔn)訪問控制列表，拒絕來自172.16.1.0網(wǎng)段的訪問。

這兩種方法種比較好的方法是第一種。當(dāng)這個擴展ACL被放在交換機的F0/1端口上，被拒絕的分組就不能通過交換機到達路由器了，這樣就減少了交換機和路由器間的通信流量，而其他源地址和目的地址的流量仍然被允許通過。

放置ACL的一般原則是，盡可能把擴展ACL放置在距離要被拒絕的通信流量最近的地方。標(biāo)準(zhǔn)ACL由于不能指定目的地址，所以它們應(yīng)該盡可能放置在距離目的地最近的地方。

1. 基本配置

參照實驗拓撲圖配置好各網(wǎng)段IP。

測試配置訪問控制列表前的網(wǎng)絡(luò)互訪

2. 配置擴展訪問控制列表

在全局配置模式下，創(chuàng)建ACL

Center(config)#ip access-list extended student （定義擴展名為student的訪問控制列表）

Center(config-ext-nacl)# deny tcp 172.16.1.0 0.0.0.255 host 172.16.3.1 eq www

Center(config-ext-nacl)# deny ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255

Center(config-ext-nacl)# permit ip any any

3. 把訪問控制列表應(yīng)用到具體接口。

Center(config)#interface f0/1

Center(config-if)#ip access-group student in

Center(config-if)#no shut

Center(config-if)#exit

4. 驗證測試

在作為機房實驗室計算機的PC機上訪問服務(wù)器、教師辦公室、internet來測試網(wǎng)絡(luò)訪問。

5. 配置詳解
   1. 配置擴展的訪問控制列表的第一條語句，定義了命名訪問控制列表的名字。
   2. 配置擴展的訪問控制列表的第二條語句，定義了拒絕172.16.1.0網(wǎng)段的www服務(wù)。
   3. 配置擴展的訪問控制列表的第三條語句，定義了拒絕172.16.1.0網(wǎng)段訪問172.16.2.0網(wǎng)段。
   4. 配置擴展的訪問控制列表的第四條語句，允許其他流量通過。
6. 注意事項

1. 配置完訪問控制列表后要在接口下應(yīng)用。
2. Deny某個網(wǎng)段后要permit其他網(wǎng)段。

 

 

 

 

 

 

 

7.4 路由器NAT配置實驗

7.4.1 實驗?zāi)康?/h3>

• 理解NAT地址轉(zhuǎn)換原理。
• 掌握NAT的幾種地址轉(zhuǎn)換方法（在本實驗中，只介紹靜態(tài)和復(fù)用動態(tài)地址轉(zhuǎn)換）。

7.4.2 背景描述

你是某公司的網(wǎng)絡(luò)管理員，內(nèi)部有文件服務(wù)器、FTP服務(wù)器、WEB服務(wù)器，這些服務(wù)器可以為外部用戶提供服務(wù)，服務(wù)器的IP地址采用靜態(tài)地址轉(zhuǎn)換，以便外部用戶可以使用這些服務(wù)。同時，由于公司內(nèi)部有很多的PC機，要求能夠訪問Internet網(wǎng)，但因IP地址的緊缺，所以申請到的IP只有連續(xù)的122.204.1.10-122.204.1.13網(wǎng)段，所以公司采用NAT的復(fù)用動態(tài)技術(shù)對網(wǎng)內(nèi)PC機分配IP。

7.4.3 實驗設(shè)備

• 兩臺RG-R1700系列路由器，一臺二層交換機
• PC機若干臺（其中一臺用于打開管理端網(wǎng)頁，進行設(shè)備配置）

• 直通和交叉雙絞線若干

7.4.4 實驗拓撲圖

   實驗拓撲如圖4-4所示：

圖4-4  路由器NAT配置

7.4.5 實驗步驟

本實驗中采用兩臺路由器直連方式。其中一臺作為內(nèi)部網(wǎng)絡(luò)的路由器，即R2，另一臺相當(dāng)于外部網(wǎng)絡(luò)上的路由器，即R1。本實驗同時實現(xiàn)兩種NAT地址轉(zhuǎn)換功能：靜態(tài)地址轉(zhuǎn)換和復(fù)用動態(tài)地址轉(zhuǎn)換。將路由器R2的以太口作為內(nèi)部端口，同內(nèi)網(wǎng)交換機相連接，交換機接內(nèi)部的各種服務(wù)器和PC機，R2同步端口S0/0作為外部端口。對R2來說，擁有合法的公網(wǎng)IP地址是122.204.1.0/24，則在內(nèi)部使用的服務(wù)器的IP為10.1.1.10,10.1.1.11,10.1.1.12的內(nèi)部本地地址采用靜態(tài)地址轉(zhuǎn)換。而網(wǎng)內(nèi)PC機的IP為10.1.1.20-10.1.1.100網(wǎng)段采用復(fù)用動態(tài)地址轉(zhuǎn)換。

1. 對路由器R1配置

R1>en 14

Password:

R1#conf t

R1(config)#int s1/2                                      進入接口配置模式）

R1(config-if)#ip address 122.204.1.2 255.255.255.0          （為接口s1/2配置IP）

R1(config-if)#clock rate 64000                          （設(shè)置接口的時鐘頻率）

R1(config-if)#no shut                                   （激活接口和時鐘）

R1(config-if)#exit

R1(config)#exit

R1#

2. 對路由器R2具體配置

R2>en 14

Password:

R2#conf t

R2(config)#int s1/2                                  

R2(config-if)#ip address 122.204.85.1 255.255.255.0

R2(config-if)#no shut

R2(config-if)#ip nat outside                       （指定接口S1/2為外網(wǎng)接口）

R2(config-if)#exit

R2(config)#int f1/0

R2(config-if)#ip address 10.1.1.1 255.255.255.0

R2(config-if)#no shut

R2(config-if)#ip nat inside                        （指定接口F1/0為內(nèi)網(wǎng)接口）

R2(config-if)#exit

R2(config)#ip nat pool nat100 122.204.85.13 122.204.85.13 netmask 255.255.255.0

（定義一個內(nèi)部合法IP地址池 這里有一個地址就夠了，下面可以配端口地址復(fù)用）

R2(config)#access-list 1 permit 10.1.1.0 0.0.0.255      （定義允許轉(zhuǎn)換的內(nèi)部地址）

R2(config)#ip nat inside source list 1 pool nat100 overload     （用復(fù)用動態(tài)技術(shù)為內(nèi)

部本地調(diào)用轉(zhuǎn)換地址池）

R2(config)#ip nat inside source static 10.1.1.10 122.204.1.10  （定義靜態(tài)映射地址轉(zhuǎn)換）

R2(config)#ip nat inside source static 10.1.1.11 122.204.1.11

R2(config)#ip nat inside source static 10.1.1.12 122.204.1.12

R2(config)#ip route 0.0.0.0 0.0.0.0 122.204.1.2                   （定義默認路由）

R2(config)#exit

R2#

3. 設(shè)置PC機和服務(wù)器的IP

配置好路由器后，接下來就是設(shè)置服務(wù)器和PC的IP地址了，服務(wù)器的IP設(shè)置成靜態(tài)轉(zhuǎn)換的IP即可，網(wǎng)關(guān)為路由器R2的以太網(wǎng)接口的IP，PC機的IP地址使用復(fù)用動態(tài)轉(zhuǎn)換的IP地址，網(wǎng)關(guān)也是設(shè)置成路由器R2的以太網(wǎng)接口的IP。

4. NAT配置驗證

通過PC機Ping路由器R1的S1/2接口IP后，可通過Show ip nat translations查看轉(zhuǎn)換的IP映射表。

R2#show ip nat translations

Pro Inside global      Inside local       Outside local      Outside global

--- 122.204.1.10       10.1.1.10          ---                ---

--- 122.204.1.11       10.1.1.11          ---                ---

--- 122.204.1.12       10.1.1.12          ---                ---

Icmp 122.204.1.13:512  10.1.1.18:512     122.204.1.2:512    122.204.1.2:512

結(jié)果顯示，一個數(shù)據(jù)包IP為10.1.1.18的地址被轉(zhuǎn)換成IP為122.204.1.13后，再通過路由器轉(zhuǎn)發(fā)。

7.5 配置DHCP 和IP幫助（IP helper）地址

7.5.1 實驗?zāi)康?/h3>

• 加深對DHCP協(xié)議工作原理的理解
• 配置一臺RG-R1762路由器充當(dāng)DHCP服務(wù)器，為兩個獨立子網(wǎng)（一個本地，一個遠程）的客戶提供DHCP服務(wù)。
• 配置IP幫助地址特性轉(zhuǎn)發(fā)來自于遠程子網(wǎng)的DHCP請求

7.5.2 背景描述

在網(wǎng)路192.168.3.0/24和10.1.1.0/24中的用戶需要DHCP服務(wù)來實現(xiàn)自動IP配置。通過在路由器R1上創(chuàng)建兩個獨立的IP地址池來為這兩個網(wǎng)絡(luò)提供DHCP服務(wù)。最后，配置路由器R2的快速以太網(wǎng)接口來轉(zhuǎn)發(fā)包括DHCP請求在內(nèi)的UDP廣播到路由器R1上。

7.5.3實驗設(shè)備

• RG-R1700路由器2臺，RG-S2126G交換機兩臺。

• V.35線一條，交叉雙絞線若干條。
• 至少3臺PC機，一臺用于打開管理端網(wǎng)頁，進行設(shè)備配置

7.5.4 實驗拓撲圖

實驗拓撲如圖所示：

 

。DHCP 和IP幫助（IP helper）地址網(wǎng)絡(luò)圖

 

試驗步驟

1  根據(jù)拓撲圖搭建和配置網(wǎng)絡(luò)。

2  先把兩路由器之間的網(wǎng)絡(luò)連接好，為了配置簡單，我們在這里用靜態(tài)和默認路由來完成網(wǎng)絡(luò)互通

部分配置命令如下：

 

R1(config)#int s1/2

R1(config-if)#ip address 192.168.1.1 255.255.255.0

R1(config-if)#cl ra 64000

R1(config-if)#no shutdown

R1(config-if)#exit

R1(config)#int f 1/0

R1(config-if)#ip address 10.1.1.1 255.255.255.0

R1(config-if)#no shutdown

R1(config-if)#exit

 

R2(config)#int s1/2

R2(config-if)#ip address 192.168.1.2 255.255.255.0

R2(config-if)#no shutdown

R2(config-if)#exit

R2(config)#int f 1/0

R2(config-if)#ip address 192.168.3.1 255.255.255.0

R2(config-if)#no shutdown

R2(config-if)#exit

 

R2(config)#ip route 0.0.0.0 0.0.0.0 s1/2                           (R2上添加默認路由)

R1(config)#ip route 192.168.3.0 255.255.255.0 192.168.1.2  （R1上添加到R2的靜態(tài)路由）

之后，使用ping和show ip route 來驗證網(wǎng)絡(luò)并測試R1和R2之間的連通性。

3  配置R1 作為10.1.1.0/24 網(wǎng)絡(luò)客戶的DHCP服務(wù)器。首先，驗證R1能使用DHCP服務(wù)并且已經(jīng)啟用它了，命令如下：

R1(config)#service dhcp

 

接下來，配置10.1.1.0網(wǎng)絡(luò)的DHCP地址池，并將該地址池命名為10-network

R1(config)#ip dhcp pool 10-network

R1(dhcp-config)#network 10.1.1.0 255.255.255.0

 

4. 配置了地址池，我們還應(yīng)該注意到，我們有必要配置一些保留地址。

我們可以將這些地址從DHCP地址池中去除，以便DHCP服務(wù)器不會嘗試把這寫地址分配給客戶，而是有可能手動固定的分配給一些特別的終端，比如說DNS服務(wù)器，WWW服務(wù)器等設(shè)備。命令如下

R1(config)#ip dhcp excluded-address 10.1.1.1  10.1.1.10

 

這樣配置，路由器R1從10-network地址池中可動態(tài)的分配IP地址的時候，分配的起始地址將是10.1.1.11

 

5  返回到DHCP配置模式，配置IP選項，包括默認網(wǎng)關(guān)地址，DNS/WINS服務(wù)器地址和域名，配置命令如下：

 

R1(config)#ip dhcp pool 10-network

R1(dhcp-config)#default-router 10.1.1.1

R1(dhcp-config)#dns-server 10.1.1.2

R1(dhcp-config)#netbios-name-server 10.1.1.3

R1(dhcp-config)#domain-name wuse.com

 

說明：上面這些服務(wù)器只是在有需要的時候再做配置，本實驗過程中可以不做配置

 

6  配置好DHCP服務(wù)器之后，就可以進行測試了。

在PC1的網(wǎng)卡屬性里配置IP地址選項的時候，選擇“自動獲得IP地址”以及“自動獲得DNS服務(wù)器地址”。點擊確定后，我們就可以在MS-DOS界面中查看自動獲取的情況了（ipconfig/all）

有時候，我們需要用命令釋放掉地址或重新獲得地址信息 (config /release) （ipconfig /renew ）

7  在必要的時候，需要進行相關(guān)排錯，可以用命令“show ip dhcp binding/conflict”查看DHCP服務(wù)器地址分配信息。

R1#sh ip dhcp bin     

IP address       Hardware address        Lease expiration          Type

10.1.1.11        0004.6144.958c            1 days 23 hours 59 mins Automatic

 

輸入命令“show ip dhcp server statistics”可以詳細的查看網(wǎng)絡(luò)中發(fā)送了多少DHCPOFFER消息以及DHCPREQUEST/ DHCPDISCOVER /DHCPREQUEST等消息

R1#sh ip dhcp server statistics

Lease counter             1

Address pools             1

Automatic bindings        1

Manual bindings           0

Expired bindings          0

Malformed messages        0

 

Message                   Received

BOOTREQUEST               26

DHCPDISCOVER              25

DHCPREQUEST               1

DHCPDECLINE               0

DHCPRELEASE               0

DHCPINFORM                0

 

Message                   Sent

BOOTREPLY                 20

DHCPOFFER                 19

DHCPACK                   1

DHCPNAK                   0

 

 

8  由于PC2 也需要動態(tài)IP配置，所以需要創(chuàng)建第二個適合于該網(wǎng)絡(luò)的DHCP地址池（192.168.3.0 /24），并配置相應(yīng)的網(wǎng)關(guān)選項。配置命令為：

 

R1(config)#ip dhcp pool 3-network

R1(dhcp-config)#network 192.168.3.0 255.255.255.0

R1(dhcp-config)#default-router 192.168.3.1

R1(dhcp-config)#dns-server 10.1.1.2

R1(dhcp-config)#netbios-name-server 10.1.1.3

R1(dhcp-config)#domain-name wuse.com

 

R1(config)#ip dhcp excluded-address 192.168.3.1 192.168.3.3

9  現(xiàn)在，DHCP服務(wù)器的配置已經(jīng)完成了。然而，主機PC2使用UDP廣播來發(fā)現(xiàn)IP地址，但路由器R2 并沒有配置來轉(zhuǎn)發(fā)UDP廣播發(fā)路由器R1 ，命令如下：

R2（config）#interface f 1/0

R2（config-if）#ip helper-address 192.168.1.1

 

之后，PC2也就可以從在R1中的DHCP服務(wù)器獲取地址了。