第七章 局域網(wǎng)安全技術(shù)
7.1 ACL、NAT概述
7.1.1 ACL
- 概念
對于許多網(wǎng)管員來說,配置路由器的訪問控制列表是一件經(jīng)常性的工作,可以說,路由器的訪問控制列表是網(wǎng)絡(luò)安全保障的第一道關(guān)卡。訪問列表提供了一種機制,它可以控制和過濾通過路由器的不同接口去往不同方向的信息流。這種機制允許用戶使用訪問表來管理信息流,以制定公司內(nèi)部網(wǎng)絡(luò)的相關(guān)策略。這些策略可以描述安全功能,并且反映流量的優(yōu)先級別。例如,某個組織可能希望允許或拒絕Internet對內(nèi)部Web服務(wù)器的訪問,或者允許內(nèi)部局域網(wǎng)上一個或多個工作站能夠?qū)?shù)據(jù)流發(fā)到廣域網(wǎng)上。這些情形,以及其他的一些功能 都可以通過訪問表來達到目的。
- 訪問列表的種類劃分
目前的路由器一般都支持兩種類型的訪問表:基本訪問表和擴展訪問表。
這兩種ACL的區(qū)別是,標(biāo)準(zhǔn)ACL只檢查數(shù)據(jù)包的源地址; 擴展ACL既檢查數(shù)據(jù)包的源地址,也檢查數(shù)據(jù)包的目的地址,同時還可以檢查數(shù)據(jù)包的特定協(xié)議類型、端口號等。 網(wǎng)絡(luò)管理員可以使用標(biāo)準(zhǔn)ACL阻止來自某一網(wǎng)絡(luò)的所有通信流量,或者允許來自某一特定網(wǎng)絡(luò)的所有通信流量,或者拒絕某一協(xié)議簇(比如IP)的所有通信流量。
擴展ACL比標(biāo)準(zhǔn)ACL提供了更廣泛的控制范圍。例如,網(wǎng)絡(luò)管理員如果希望做到“允許外來的Web通信流量通過,拒絕外來的FTP和Telnet等通信流量”,那么,他可以使用擴展ACL來達到目的,標(biāo)準(zhǔn)ACL不能控制這么精確。
- 標(biāo)準(zhǔn)IP訪問控制列表
一個標(biāo)準(zhǔn)IP訪問控制列表匹配IP包中的源地址或源地址中的一部分,可對匹配的包采取拒絕或允許兩個操作。編號范圍是從1到99的訪問控制列表是標(biāo)準(zhǔn)IP訪問控制列表。
- 擴展IP訪問控制列表
擴展IP訪問控制列表比標(biāo)準(zhǔn)IP訪問控制列表具有更多的匹配項,包括協(xié)議類型、源地址、目的地址、源端口、目的端口、建立連接的和IP優(yōu)先級等。編號范圍是從100到199的訪問控制列表是擴展IP訪問控制列表。
- 命名的IP訪問控制列表
所謂命名的IP訪問控制列表是以列表名代替列表編號來定義IP訪問控制列表,同樣包括標(biāo)準(zhǔn)和擴展兩種列表,定義過濾的語句與編號方式中相似。
- 標(biāo)準(zhǔn)IPX訪問控制列表
標(biāo)準(zhǔn)IPX訪問控制列表的編號范圍是800-899,它檢查IPX源網(wǎng)絡(luò)號和目的網(wǎng)絡(luò)號,同樣可以檢查源地址和目的地址的節(jié)點號部分。
- 擴展IPX訪問控制列表
擴展IPX訪問控制列表在標(biāo)準(zhǔn)IPX訪問控制列表的基礎(chǔ)上,增加了對IPX報頭中以下幾個宇段的檢查,它們是協(xié)議類型、源Socket、目標(biāo)Socket。擴展IPX訪問控制列表的編號范圍是900-999。
- 命名的IPX訪問控制列表
與命名的IP訪問控制列表一樣,命名的IPX訪問控制列表是使用列表名取代列表編號。從而方便定義和引用列表,同樣有標(biāo)準(zhǔn)和擴展之分。
- 訪問控制列表的作用
- 限制網(wǎng)絡(luò)流量,提高網(wǎng)絡(luò)性能。例如,ACL可以根據(jù)數(shù)據(jù)包的協(xié)議,指定數(shù)據(jù)包的優(yōu)先級。
- 提供流量控制。例如,ACL可以限定或簡化路由更新信息的長度,從而限制通過路由器某一網(wǎng)段的通信流量。
- 提供網(wǎng)絡(luò)訪問的基本安全級別。ACL允許主機A訪問人力資源網(wǎng)絡(luò),而拒絕主機B訪問。
- 在路由器接口決定哪種流量被轉(zhuǎn)發(fā)或被阻塞。例如,用戶可以允許E-mail通信流量被路由,拒絕所有的Telnet通信流量。
4.訪問控制列表使用原則
- 最小特權(quán)原則
只給受控對象完成任務(wù)所必須的最小的權(quán)限。也就是說被控制的總規(guī)則是各個規(guī)則的交集,只滿足部分條件的是不容許通過規(guī)則的。
- 最靠近受控對象原則
所有的網(wǎng)絡(luò)層訪問權(quán)限控制。也就是說在檢查規(guī)則時是采用自上而下在ACL中一條條檢測的,只要發(fā)現(xiàn)符合條件了就立刻轉(zhuǎn)發(fā),而不繼續(xù)檢測下面的ACL語句。 - 默認丟棄原則
在CISCO路由交換設(shè)備中默認最后一句為ACL中加入了DENY ANY ANY,銳捷路由交換設(shè)備也具有此特性。也就是丟棄所有不符合條件的數(shù)據(jù)包。這一點要特別注意,雖然我們可以修改這個默認,但未改前一定要引起重視。
由于ACL是使用包過濾技術(shù)來實現(xiàn)的,過濾的依據(jù)又僅僅只是第三層和第四層包頭中的部分信息,這種技術(shù)具有一些固有的局限性,如無法識別到具體的人,無法識別到應(yīng)用內(nèi)部的權(quán)限級別等。因此,要達到端到端的權(quán)限控制目的,需要和系統(tǒng)級及應(yīng)用級的訪問權(quán)限控制結(jié)合使用。
5.訪問控制列表的格式
標(biāo)準(zhǔn)IP訪問表
- 標(biāo)準(zhǔn)IP訪問表的基本格式為:
access-list [list number][permit|deny][host/any][sourceaddress][wildcard-mask][log]
下面對標(biāo)準(zhǔn)IP訪問表基本格式中的各項參數(shù)進行解釋:
list number---表號范圍
標(biāo)準(zhǔn)IP訪問表的表號標(biāo)識是從1到99。 - permit/deny----允許或拒絕
關(guān)鍵字permit和deny用來表示滿足訪問表項的報文是允許通過接口,還是要過濾掉。permit表示允許報文通過接口,而deny表示匹配標(biāo)準(zhǔn)IP訪問表源地址的報文要被丟棄掉。 - source address----源地址
對于標(biāo)準(zhǔn)的IP訪問表,源地址是主機或一組主機的點分十進制表示。 - host/any----主機匹配 host和any分別用于指定單個主機和所有主機。
host表示一種精確的匹配,其屏蔽碼為0.0.0.0。
any是源地證/目標(biāo)地址0.0.0.0/255.255.255.255的簡寫。
- wi1dcardmask------通配符屏蔽碼 二進制的0表示一個"匹配"條件,二進制的1表示一個"不關(guān)心"條件。
- Log----日志記錄 如果該關(guān)鍵字用于訪問表中,則對那些能夠匹配訪問表中的permit和deny語句的報文進行日志記錄。日志信息包含訪問表號、報文的允許或拒絕、源IP地址以及在顯示了第一個匹配以來每5分鐘間隔內(nèi)的報文數(shù)目。
擴展的IP訪問控制列表
擴展IP訪問表的基本格式為:
access-list access-list-number[dynamic dynamic-name[timeout minutes]] {deny|permit} protocol source source-wildcard destination destination-wildcard [precedence precedence] [tos tos] [log|log-input] [time-range time range-name] [fragments]
- access-list-number ----表號范圍
擴展IP訪問表的表號標(biāo)識從l00到199。 - dynamic dynamic-name (可選項)把ACL定義為動態(tài)的ACL。
- timeout minutes 指定時間的絕對長度,準(zhǔn)確到分鐘的一個臨時訪問控制列表入口可以保持在動態(tài)訪問控制列表種的時間。默認的是一個無窮大的時間,并允許一個入口保持不變。
- deny|permit
deny 如果條件符合就拒絕訪問。
permit 如果條件符合就允許訪問。
- protocol-----協(xié)議
協(xié)議項定義了需要被過濾的協(xié)議,例如IP、TCP、UDP、1CMP等等。協(xié)議選項是很重要的,因為在TCP/IP協(xié)議棧中的各種協(xié)議之間有很密切的關(guān)系,如果管理員希望根據(jù)特殊協(xié)議進行報文過濾,就要指定該協(xié)議。 - Source 發(fā)送份組的網(wǎng)絡(luò)號或主機。
- source-wildcard 用于源地址的通配符位。
- Destination 分組的目的網(wǎng)絡(luò)號或主機。
- destination-wildcard 用于源地址的通配符位。
- precedence precedence 分組可基于優(yōu)先級來過濾。
- tos tos 分組可基于服務(wù)類型的級別來過濾。
- log|log-input 日志的輸出消息包括輸入接口和源MAC地址或虛擬信道。
- ime-range time range-name 應(yīng)用與該語句的時間范圍的名稱。時間發(fā)內(nèi)的名稱及其要求由ime-range命令指定。
- Icmp-type (可選項)基于ICMP消息類型來過濾ICMP分組。
- Icmp-code (可選項)基于ICMP消息代碼來過濾ICMP分組。
- Icmp-message (可選項)基于ICMP消息的類型名或者ICMP消息類型和代碼名稱來過濾ICMP分組。
- igmp-type (可選項)基于IGMP消息類型或者消息名稱來過濾ICMP分組,消息類型是一個從0到15的數(shù)字。
- Operator (可選項)比較源和目的端口,可用的操作符包括lt(小于),gt(大于),eq(等于),neq(不等于)和range(包括的范圍)
如果操作符位于源地址和源地址通配符之后,那么它必須匹配源端口。
如果操作符位于目的地址和目的地址統(tǒng)配符之后,那么它必須匹配目的端口。
Range操作符需要兩個端口號,其他操作符只需要一個端口號。
- Port (可選項)指明TCP或UDP端口的十進制數(shù)字或名字。
- Established (可選項)只針對TCP協(xié)議,指一個已經(jīng)建立的連接。如果TCP數(shù)據(jù)報中的ACK,F(xiàn)IN,PSH,RST,SYN或者URG等控制位被指定,則匹配,如果是要求建立連接的初始數(shù)據(jù)報,則不匹配。
- Fragments (可選項)該ACL入口應(yīng)用于分組的非初始部分,這個段將被允許或拒絕。
6.注意事項
- ACL語句屬于相同的ACL并具有相同的ACL號很重要。
- 為創(chuàng)建一個ACL時ACL語句的順序是至關(guān)重要的。當(dāng)根據(jù)訪問控制列表來比較分組時,比較是按照ACL語句一句一句比較的,直到與某一語句匹配。一旦與某一語句匹配,就執(zhí)行匹配語句中所指定的動作,不再檢查其他條件語句。
- 當(dāng)一個ACL被創(chuàng)建后,新的語句行都會被加到ACL的最后。無法刪除列表中的單獨一行,只能刪除整個ACL列表。
- 最好的辦法是,使用PC機上的文本編輯器創(chuàng)建或修改ACL,然后再通過TFTP或超級終端的發(fā)送文本文件將ACL傳到路由器。
- 為每個ACL分配唯一的編號
- ACL語句中條件判斷的語句是無限的,其數(shù)量的大小只受內(nèi)存的限制。當(dāng)然,條件判斷語句越多,該ACL的執(zhí)行和管理就越困難。ACL會消耗路由器的CPU資源,路由器在轉(zhuǎn)發(fā)分組時不得不消耗大量資源。
- 當(dāng)分組不能與任何一個條件判斷語句匹配時,則在ACL的末尾隱含對所有訪問的拒絕。
7.ACL的配置方法
ACL的配置分為兩個步驟:
- 在全局配置模式下,使用下列命令創(chuàng)建ACL:
Router (config)# access-list access-list-number {permit | deny } {test-conditions}
其中,access-list-number為ACL的表號。人們使用較頻繁的表號是標(biāo)準(zhǔn)的IP ACL(1—99)和擴展的IP ACL(100-199)。
- 在接口配置模式下,使用access-group命令A(yù)CL應(yīng)用到某一接口上:
Router (config-if)# {protocol} access-group access-list-number {in | out }
其中,in和out參數(shù)可以控制接口中不同方向的數(shù)據(jù)包,如果不配置該參數(shù),缺省為out。 ACL在一個接口可以進行雙向控制,即配置兩條命令,一條為in,一條為out,兩條命令執(zhí)行的ACL表號可以相同,也可以不同。但是,在一個接口的一個方向上,只能有一個ACL控制。
值得注意的是,在進行ACL配置時,網(wǎng)管員一定要先在全局狀態(tài)配置ACL表,再在具體接口上進行配置,否則會造成網(wǎng)絡(luò)的安全隱患。
7.1.2 NAT
- NAT概述
隨著internet的網(wǎng)絡(luò)以爆炸性的速度膨脹,IP地址短缺及路由規(guī)模越來越大已成為一個相當(dāng)嚴(yán)重的問題。為了解決這個問題,出現(xiàn)了多種解決方案。一種在目前網(wǎng)絡(luò)環(huán)境中比較有效的方法即地址轉(zhuǎn)換(NAT)功能。
所謂的地址轉(zhuǎn)換,即NAT功能,就是指在一個組織網(wǎng)絡(luò)內(nèi)部,根據(jù)需要可以隨意自定義的IP地址(不需要經(jīng)過申請)即假的IP地址。在本組織內(nèi)部,各計算機間通過假的IP地址進行通訊。而當(dāng)組織內(nèi)部的計算機要與外部internet網(wǎng)絡(luò)進行通訊時,具有NAT功能的設(shè)備(這里路由器)負責(zé)將其假的IP地址轉(zhuǎn)換為真的IP地址,即該組織申請的合法IP地址進行通信。
簡單地說,NAT就是通過某種方式將IP地址進行轉(zhuǎn)換。
- NAT的幾個概念
- 內(nèi)部本地地址(Inside local address):
分配給內(nèi)部網(wǎng)絡(luò)中的計算機的內(nèi)部IP地址。
- 內(nèi)部合法地址(Inside global address):
對外進入IP通信時,代表一個或多個內(nèi)部本地地址的合法IP地址。需要申請才可取得的IP地址。
- NAT 的應(yīng)用環(huán)境
情況1:一個企業(yè)不想讓外部網(wǎng)絡(luò)用戶知道自己的網(wǎng)絡(luò)內(nèi)部結(jié)構(gòu),可以通過NAT將內(nèi)部網(wǎng)絡(luò)與外部Internet隔離開,則外部用戶根本不知道通過NAT設(shè)置的內(nèi)部IP地址。
情況2:一個企業(yè)申請的合法Internet IP地址很少,而內(nèi)部網(wǎng)絡(luò)用戶很多??梢酝ㄟ^NAT功能實現(xiàn)多個用戶同時公用一個合法IP與外部Internet 進行通信。
設(shè)置NAT功能的路由器至少要有一個內(nèi)部端口(Inside),一個外部端口(Outside)。內(nèi)部端口連接的網(wǎng)絡(luò)用戶使用的是內(nèi)部IP地址(非法IP);外部端口連接的是外部的網(wǎng)絡(luò),使用電信部門分配給我們的IP地址。一般來說,內(nèi)部端口應(yīng)使用ETHERNET端口,外部端口使用SERIAL 端口。另外,想要使用NAT功能,路由器的IOS必須支持NAT功能。
NAT設(shè)置可以分為靜態(tài)地址轉(zhuǎn)換、動態(tài)地址轉(zhuǎn)換、復(fù)用動態(tài)地址轉(zhuǎn)換。以下設(shè)置以Cisco路由器為例。
- 靜態(tài)地址轉(zhuǎn)換
靜態(tài)地址轉(zhuǎn)換將內(nèi)部本地地址與內(nèi)部合法地址進行一對一地轉(zhuǎn)換,且需要指定和哪個合法地址進行轉(zhuǎn)換。如果內(nèi)部網(wǎng)絡(luò)有www服務(wù)器或FTP服務(wù)器等可以為外部用戶提供服務(wù),則這些服務(wù)器的IP地址必須采用靜態(tài)地址轉(zhuǎn)換,以便外部用戶可以使用這些服務(wù)。
靜態(tài)地址轉(zhuǎn)換基本配置步驟:
- 在內(nèi)部本地地址與內(nèi)部合法地址之間建立靜態(tài)地址轉(zhuǎn)換。在全局設(shè)置狀態(tài)下輸入:
Ip nat inside source static 內(nèi)部本地地址 內(nèi)部合法地址
- 指定連接網(wǎng)絡(luò)的內(nèi)部端口 在端口設(shè)置狀態(tài)下輸入:
ip nat inside
- 指定連接外部網(wǎng)絡(luò)的外部端口 在端口設(shè)置狀態(tài)下輸入:
ip nat outside
注:可以根據(jù)實際需要定義多個內(nèi)部端口及多個外部端口。
- 動態(tài)地址轉(zhuǎn)換
動態(tài)地址轉(zhuǎn)換也是將內(nèi)部本地地址與內(nèi)部合法地址一對一地轉(zhuǎn)換,但是動態(tài)地址轉(zhuǎn)換是從內(nèi)部合法地址池中動態(tài)地選擇一個未使用的地址來對內(nèi)部本地地址進行轉(zhuǎn)換的。
動態(tài)地址轉(zhuǎn)換基本配置步驟:
- 在全局設(shè)置模式下,定義內(nèi)部合法地址池
ip nat pool 地址池名稱 起始IP地址 終止IP地址 子網(wǎng)掩碼
其中地址池名稱可以任意設(shè)定。
- 在全局設(shè)置模式下,定義一個標(biāo)準(zhǔn)的access-list規(guī)則以允許哪些內(nèi)部地址可以進行動態(tài)地址轉(zhuǎn)換。
Access-list 標(biāo)號 permit 源地址 通配符
其中標(biāo)號為1-99之間的整數(shù)。
- 在全局設(shè)置模式下,將由access-list指定的內(nèi)部本地地址與指定的內(nèi)部合法地址池進行地址轉(zhuǎn)換。
ip nat inside source list 訪問列表標(biāo)號 pool內(nèi)部合法地址池名字
- 指定與內(nèi)部網(wǎng)絡(luò)相連的內(nèi)部端口在端口設(shè)置狀態(tài)下:
ip nat inside
- 指定與外部網(wǎng)絡(luò)相連的外部端口
ip nat outside
- 復(fù)用動態(tài)地址轉(zhuǎn)換
復(fù)用動態(tài)地址轉(zhuǎn)換首先是一種動態(tài)地址轉(zhuǎn)換,但是它可以允許多個內(nèi)部本地地址共用一個內(nèi)部合法地址。對只申請到少量IP地址但卻經(jīng)常同時有多個用戶上外部網(wǎng)絡(luò)的情況,這種轉(zhuǎn)換極為有用。
復(fù)用動態(tài)地址轉(zhuǎn)換配置步驟:
- 在全局設(shè)置模式下,定義內(nèi)部合地址池
ip nat pool 地址池名字 起始IP地址 終止IP地址 子網(wǎng)掩碼
其中地址池名字可以任意設(shè)定。
- 在全局設(shè)置模式下,定義一個標(biāo)準(zhǔn)的access-list規(guī)則以允許哪些內(nèi)部本地地址可以進行動態(tài)地址轉(zhuǎn)換。
access-list 標(biāo)號 permit 源地址 通配符
其中標(biāo)號為1-99之間的整數(shù)。
- 在全局設(shè)置模式下,設(shè)置在內(nèi)部的本地地址與內(nèi)部合法IP地址間建立復(fù)用動態(tài)地址轉(zhuǎn)換。
ip nat inside source list 訪問列表標(biāo)號 pool 內(nèi)部合法地址池名字 overload
- 在端口設(shè)置狀態(tài)下,指定與內(nèi)部網(wǎng)絡(luò)相連的內(nèi)部端口
ip nat inside
- 在端口設(shè)置狀態(tài)下,指定與外部網(wǎng)絡(luò)相連的外部端口
ip nat outside
- 涉及NAT的配置命令
與配置NAT有關(guān)的命令描述如下。
- Clear ip nat :用來清除所有活動的NAT。
- Ip nat:用來為發(fā)送報文(從內(nèi)部)或接收報文(到外部)的接口應(yīng)用NAT。
- Ip nat inside destination list:全局命令,為內(nèi)部目的的地址應(yīng)用NAT??膳渲脼閯討B(tài)或靜態(tài)的
- Ip nat inside source:全局命令,為內(nèi)部源地址應(yīng)用NAT??膳渲脼閯討B(tài)或靜態(tài)的。
- Ip nat outside source:全局命令,為外部源地址應(yīng)用NAT??膳渲脼閯討B(tài)或靜態(tài)的。
- Ip nat pool name:全局命令,定義一個IP地址池用來為網(wǎng)絡(luò)轉(zhuǎn)換,可定義為內(nèi)部全局池、外部本地池或旋轉(zhuǎn)池。
- Ip nat translation: NAT超時后,該全局命令用來改變時間長度。
- Show ip nat statistics:用來顯示關(guān)于NAT統(tǒng)計數(shù)據(jù)。
- Show ip nat translations:顯示所有激活的NAT轉(zhuǎn)換。
- 上述部分命令僅列出了部分關(guān)鍵字,具體使用時還需給出相關(guān)參數(shù)。
7.2 命名的標(biāo)準(zhǔn)IP訪問列表配置實驗
7.2.1實驗?zāi)康?/h3>
掌握命名的標(biāo)準(zhǔn)IP訪問列表規(guī)則及配置。
7.2.2背景描述
假如你是學(xué)校的網(wǎng)絡(luò)管理員,在學(xué)校核心交換機上連著學(xué)校的提供學(xué)習(xí)資料的服務(wù)器,另外還連接著學(xué)生宿舍樓和教工宿舍樓,學(xué)校規(guī)定學(xué)生只能訪問學(xué)習(xí)資料存放的服務(wù)器,學(xué)生宿舍樓不能訪問教工宿舍樓
7.2.3實現(xiàn)功能
實現(xiàn)網(wǎng)段間互相訪問的安全控制。
7.2.4實驗拓撲
圖 訪問控制列表配置
7.2.5實驗設(shè)備
- 一臺RG-S3760三層交換機,三臺RG-S2126G交換機
- PC機四臺(其中一臺用于打開管理端網(wǎng)頁,進行設(shè)備配置)
- 直通和交叉雙絞線若干
7.2.6實驗步驟
1. 在三層交換機上做基本配置,主要是創(chuàng)建VLAN
Center(config)#vlan 10
Center(config-vlan)#name server
Center(config)#vlan 20
Center(config-vlan)#name teachers
Center(config)#vlan 30
Center(config-vlan)#name students
Center(config)#interface f0/5
Center(config-if)#switchport mode access
Center(config-if)#switchport access vlan 10
Center(config)#interface f0/10
Center(config-if)#switchport mode access
Center(config-if)#switchport access vlan 20
Center(config)#interface f0/15
Center(config-if)#switchport mode access
Center(config-if)#switchport access vlan 30
Center(config)#int vlan10
Center(config-if)#ip add 192.168.10.1 255.255.255.0
Center(config-if)#no sh
Center(config-if)#int vlan 20
Center(config-if)#ip add 192.168.20.1 255.255.255.0
Center(config-if)#no sh
Center(config-if)#int vlan 30
Center(config-if)#ip add 192.168.30.1 255.255.255.0
Center(config-if)#no sh
本實驗,RG-S2126G三個二層交換機不需要做任何配置,只需要連線就可以了。
2. 配置命名標(biāo)準(zhǔn)IP訪問控制列表
Center(config)#ip access-list standard denystudent (定義命名訪問控制列表)
Center(config-std-nacl)#deny 192.168.20.0 0.0.0.255 (定義列表匹配的條件)
Center(config-std-nacl)#permit any (允許其他流量通過)
說明: 要注意deny某個網(wǎng)段后要peimit其他網(wǎng)段
3. 用命令sh ip access-lists denystudent查看定義的列表
Center#sh ip access-lists denystudent
Standard IP access list: denystudent
deny 192.168.20.0 0.0.0.255
permit any
4 . 把訪問控制列表在接口下應(yīng)用
Center(config)#int vlan 10
Center(config-if)#ip access-group denystudent out (訪問控制列表在接口出方向應(yīng)用)
5. 啟用三層路由
Center(config)#ip routing
6. 查看配置文件
Center#show run
version 1.0
!
hostname Center
ip access-list standard denystudent
deny 192.168.20.0 0.0.0.255
permit any
interface FastEthernet 0/5
switchport access vlan 10
!
interface FastEthernet 0/10
switchport access vlan 20
!
interface FastEthernet 0/15
switchport access vlan 30
!
interface Vlan 10
ip address 192.168.10.1 255.255.255.0
!
interface Vlan 20
ip address 192.168.20.1 255.255.255.0
ip access-group denystudent out
!
interface Vlan 30
ip address 192.168.30.1 255.255.255.0
!
end
7. 驗證測試
在屬于學(xué)生宿舍(VLAN20)的主機PC2上PING屬于服務(wù)器區(qū)(VLAN10)的主機PC1,發(fā)現(xiàn)不能PING通
在屬于教職工宿舍(VLAN30)的主機PC3上PING屬于服務(wù)區(qū)(VLAN10)的主機PC1,發(fā)現(xiàn)可以PING通
7.2.7 注意事項
- 標(biāo)準(zhǔn)的訪問控制列表編號范圍為1-99。
- 在路由器中,如果使用ACL的表號進行配置,則列表不能插入或刪除行。如果列表要插入或刪除一行,必須先去掉所有ACL,然后重新配置。當(dāng)ACL中條數(shù)很多時,這種改變非常煩瑣。一個比較有效的解決辦法是:在遠程主機上啟用一個TFTP服務(wù)器,先把路由器配置文件下載到本地,利用文本編輯器修改ACL表,然后將修改好的配置文件通過TFTP傳回路由器。
- 配置完訪問控制列表后要在接口下應(yīng)用。
- Deny某個網(wǎng)段后要permit其他網(wǎng)段。
- in和out參數(shù)可以控制接口中不同方向的數(shù)據(jù)包,如果不配置該參數(shù),缺省為out。
ACL在一個接口可以進行雙向控制,即配置兩條命令,一條為in,一條為out,兩條命令執(zhí)行的ACL表號可以相同,也可以不同。但是,在一個接口的一個方向上,只能有一個ACL控制。
值得注意的是,在進行ACL配置時,網(wǎng)管員一定要先在全局狀態(tài)配置ACL表,再在具體接口上進行配置,否則會造成網(wǎng)絡(luò)的安全隱患。
7.3命名的擴展的IP訪問控制列表配置實驗
7.3.1 實驗?zāi)康?/h3>
掌握擴展IP訪問控制列表的配置。
7.3.2 背景描述
在校園網(wǎng)中,學(xué)校希望學(xué)生在做實驗時只能訪問FTP服務(wù)器而不可以上網(wǎng)和訪問教師辦公室。教師沒有限制。機房實驗室所在網(wǎng)段是172.16.1.0/24,教師辦公室所在網(wǎng)段是172.16.2.0/24。要求網(wǎng)絡(luò)管理員按照需要,實現(xiàn)對網(wǎng)絡(luò)服務(wù)訪問的安全控制。
7.3.3 實驗設(shè)備
- 一臺RG-S3760三層交換機,一臺RG-R1700系列路由器
- PC機三臺(其中一臺作為機房實驗室計算機,一臺作為教師辦公室計算機,另一臺用于打開管理端網(wǎng)頁,進行設(shè)備配置)
- 直通和交叉雙絞線若干
7.3.4 實驗拓撲圖
實驗拓撲如圖4-2所示:
圖4-2 擴展的IP訪問控制列表配置
7.3.5 實驗步驟
要實現(xiàn)所需的訪問控制,有兩種方法。
一種是通過在三層交換機的f0/1接口上配置擴展訪問控制列表,通過指定分組的源地址和目的地址和協(xié)議類型、端口號來實現(xiàn)機房實驗室對FTP服務(wù)器的訪問并拒絕機房實驗室訪問Internet。
另一種是通過在路由器的f1/0接口上配置標(biāo)準(zhǔn)訪問控制列表,拒絕來自172.16.1.0網(wǎng)段的訪問。
這兩種方法種比較好的方法是第一種。當(dāng)這個擴展ACL被放在交換機的F0/1端口上,被拒絕的分組就不能通過交換機到達路由器了,這樣就減少了交換機和路由器間的通信流量,而其他源地址和目的地址的流量仍然被允許通過。
放置ACL的一般原則是,盡可能把擴展ACL放置在距離要被拒絕的通信流量最近的地方。標(biāo)準(zhǔn)ACL由于不能指定目的地址,所以它們應(yīng)該盡可能放置在距離目的地最近的地方。
- 基本配置
參照實驗拓撲圖配置好各網(wǎng)段IP。
測試配置訪問控制列表前的網(wǎng)絡(luò)互訪
- 配置擴展訪問控制列表
在全局配置模式下,創(chuàng)建ACL
Center(config)#ip access-list extended student (定義擴展名為student的訪問控制列表)
Center(config-ext-nacl)# deny tcp 172.16.1.0 0.0.0.255 host 172.16.3.1 eq www
Center(config-ext-nacl)# deny ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255
Center(config-ext-nacl)# permit ip any any
- 把訪問控制列表應(yīng)用到具體接口。
Center(config)#interface f0/1
Center(config-if)#ip access-group student in
Center(config-if)#no shut
Center(config-if)#exit
- 驗證測試
在作為機房實驗室計算機的PC機上訪問服務(wù)器、教師辦公室、internet來測試網(wǎng)絡(luò)訪問。
- 配置詳解
- 配置擴展的訪問控制列表的第一條語句,定義了命名訪問控制列表的名字。
- 配置擴展的訪問控制列表的第二條語句,定義了拒絕172.16.1.0網(wǎng)段的www服務(wù)。
- 配置擴展的訪問控制列表的第三條語句,定義了拒絕172.16.1.0網(wǎng)段訪問172.16.2.0網(wǎng)段。
- 配置擴展的訪問控制列表的第四條語句,允許其他流量通過。
- 注意事項
- 配置完訪問控制列表后要在接口下應(yīng)用。
- Deny某個網(wǎng)段后要permit其他網(wǎng)段。
7.4 路由器NAT配置實驗
7.4.1 實驗?zāi)康?/h3>
- 理解NAT地址轉(zhuǎn)換原理。
- 掌握NAT的幾種地址轉(zhuǎn)換方法(在本實驗中,只介紹靜態(tài)和復(fù)用動態(tài)地址轉(zhuǎn)換)。
7.4.2 背景描述
你是某公司的網(wǎng)絡(luò)管理員,內(nèi)部有文件服務(wù)器、FTP服務(wù)器、WEB服務(wù)器,這些服務(wù)器可以為外部用戶提供服務(wù),服務(wù)器的IP地址采用靜態(tài)地址轉(zhuǎn)換,以便外部用戶可以使用這些服務(wù)。同時,由于公司內(nèi)部有很多的PC機,要求能夠訪問Internet網(wǎng),但因IP地址的緊缺,所以申請到的IP只有連續(xù)的122.204.1.10-122.204.1.13網(wǎng)段,所以公司采用NAT的復(fù)用動態(tài)技術(shù)對網(wǎng)內(nèi)PC機分配IP。
7.4.3 實驗設(shè)備
- 兩臺RG-R1700系列路由器,一臺二層交換機
- PC機若干臺(其中一臺用于打開管理端網(wǎng)頁,進行設(shè)備配置)
- 直通和交叉雙絞線若干
7.4.4 實驗拓撲圖
實驗拓撲如圖4-4所示:
圖4-4 路由器NAT配置
7.4.5 實驗步驟
本實驗中采用兩臺路由器直連方式。其中一臺作為內(nèi)部網(wǎng)絡(luò)的路由器,即R2,另一臺相當(dāng)于外部網(wǎng)絡(luò)上的路由器,即R1。本實驗同時實現(xiàn)兩種NAT地址轉(zhuǎn)換功能:靜態(tài)地址轉(zhuǎn)換和復(fù)用動態(tài)地址轉(zhuǎn)換。將路由器R2的以太口作為內(nèi)部端口,同內(nèi)網(wǎng)交換機相連接,交換機接內(nèi)部的各種服務(wù)器和PC機,R2同步端口S0/0作為外部端口。對R2來說,擁有合法的公網(wǎng)IP地址是122.204.1.0/24,則在內(nèi)部使用的服務(wù)器的IP為10.1.1.10,10.1.1.11,10.1.1.12的內(nèi)部本地地址采用靜態(tài)地址轉(zhuǎn)換。而網(wǎng)內(nèi)PC機的IP為10.1.1.20-10.1.1.100網(wǎng)段采用復(fù)用動態(tài)地址轉(zhuǎn)換。
- 對路由器R1配置
R1>en 14
Password:
R1#conf t
R1(config)#int s1/2 進入接口配置模式)
R1(config-if)#ip address 122.204.1.2 255.255.255.0 (為接口s1/2配置IP)
R1(config-if)#clock rate 64000 (設(shè)置接口的時鐘頻率)
R1(config-if)#no shut (激活接口和時鐘)
R1(config-if)#exit
R1(config)#exit
R1#
- 對路由器R2具體配置
R2>en 14
Password:
R2#conf t
R2(config)#int s1/2
R2(config-if)#ip address 122.204.85.1 255.255.255.0
R2(config-if)#no shut
R2(config-if)#ip nat outside (指定接口S1/2為外網(wǎng)接口)
R2(config-if)#exit
R2(config)#int f1/0
R2(config-if)#ip address 10.1.1.1 255.255.255.0
R2(config-if)#no shut
R2(config-if)#ip nat inside (指定接口F1/0為內(nèi)網(wǎng)接口)
R2(config-if)#exit
R2(config)#ip nat pool nat100 122.204.85.13 122.204.85.13 netmask 255.255.255.0
(定義一個內(nèi)部合法IP地址池 這里有一個地址就夠了,下面可以配端口地址復(fù)用)
R2(config)#access-list 1 permit 10.1.1.0 0.0.0.255 (定義允許轉(zhuǎn)換的內(nèi)部地址)
R2(config)#ip nat inside source list 1 pool nat100 overload (用復(fù)用動態(tài)技術(shù)為內(nèi)
部本地調(diào)用轉(zhuǎn)換地址池)
R2(config)#ip nat inside source static 10.1.1.10 122.204.1.10 (定義靜態(tài)映射地址轉(zhuǎn)換)
R2(config)#ip nat inside source static 10.1.1.11 122.204.1.11
R2(config)#ip nat inside source static 10.1.1.12 122.204.1.12
R2(config)#ip route 0.0.0.0 0.0.0.0 122.204.1.2 (定義默認路由)
R2(config)#exit
R2#
- 設(shè)置PC機和服務(wù)器的IP
配置好路由器后,接下來就是設(shè)置服務(wù)器和PC的IP地址了,服務(wù)器的IP設(shè)置成靜態(tài)轉(zhuǎn)換的IP即可,網(wǎng)關(guān)為路由器R2的以太網(wǎng)接口的IP,PC機的IP地址使用復(fù)用動態(tài)轉(zhuǎn)換的IP地址,網(wǎng)關(guān)也是設(shè)置成路由器R2的以太網(wǎng)接口的IP。
- NAT配置驗證
通過PC機Ping路由器R1的S1/2接口IP后,可通過Show ip nat translations查看轉(zhuǎn)換的IP映射表。
R2#show ip nat translations
Pro Inside global Inside local Outside local Outside global
--- 122.204.1.10 10.1.1.10 --- ---
--- 122.204.1.11 10.1.1.11 --- ---
--- 122.204.1.12 10.1.1.12 --- ---
Icmp 122.204.1.13:512 10.1.1.18:512 122.204.1.2:512 122.204.1.2:512
結(jié)果顯示,一個數(shù)據(jù)包IP為10.1.1.18的地址被轉(zhuǎn)換成IP為122.204.1.13后,再通過路由器轉(zhuǎn)發(fā)。
7.5 配置DHCP 和IP幫助(IP helper)地址
7.5.1 實驗?zāi)康?/h3>
- 加深對DHCP協(xié)議工作原理的理解
- 配置一臺RG-R1762路由器充當(dāng)DHCP服務(wù)器,為兩個獨立子網(wǎng)(一個本地,一個遠程)的客戶提供DHCP服務(wù)。
- 配置IP幫助地址特性轉(zhuǎn)發(fā)來自于遠程子網(wǎng)的DHCP請求
7.5.2 背景描述
在網(wǎng)路192.168.3.0/24和10.1.1.0/24中的用戶需要DHCP服務(wù)來實現(xiàn)自動IP配置。通過在路由器R1上創(chuàng)建兩個獨立的IP地址池來為這兩個網(wǎng)絡(luò)提供DHCP服務(wù)。最后,配置路由器R2的快速以太網(wǎng)接口來轉(zhuǎn)發(fā)包括DHCP請求在內(nèi)的UDP廣播到路由器R1上。
7.5.3實驗設(shè)備
- RG-R1700路由器2臺,RG-S2126G交換機兩臺。
- V.35線一條,交叉雙絞線若干條。
- 至少3臺PC機,一臺用于打開管理端網(wǎng)頁,進行設(shè)備配置
7.5.4 實驗拓撲圖
實驗拓撲如圖所示:
。DHCP 和IP幫助(IP helper)地址網(wǎng)絡(luò)圖
試驗步驟
1 根據(jù)拓撲圖搭建和配置網(wǎng)絡(luò)。
2 先把兩路由器之間的網(wǎng)絡(luò)連接好,為了配置簡單,我們在這里用靜態(tài)和默認路由來完成網(wǎng)絡(luò)互通
部分配置命令如下:
R1(config)#int s1/2
R1(config-if)#ip address 192.168.1.1 255.255.255.0
R1(config-if)#cl ra 64000
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#int f 1/0
R1(config-if)#ip address 10.1.1.1 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#exit
R2(config)#int s1/2
R2(config-if)#ip address 192.168.1.2 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#exit
R2(config)#int f 1/0
R2(config-if)#ip address 192.168.3.1 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#exit
R2(config)#ip route 0.0.0.0 0.0.0.0 s1/2 (R2上添加默認路由)
R1(config)#ip route 192.168.3.0 255.255.255.0 192.168.1.2 (R1上添加到R2的靜態(tài)路由)
之后,使用ping和show ip route 來驗證網(wǎng)絡(luò)并測試R1和R2之間的連通性。
3 配置R1 作為10.1.1.0/24 網(wǎng)絡(luò)客戶的DHCP服務(wù)器。首先,驗證R1能使用DHCP服務(wù)并且已經(jīng)啟用它了,命令如下:
R1(config)#service dhcp
接下來,配置10.1.1.0網(wǎng)絡(luò)的DHCP地址池,并將該地址池命名為10-network
R1(config)#ip dhcp pool 10-network
R1(dhcp-config)#network 10.1.1.0 255.255.255.0
- 配置了地址池,我們還應(yīng)該注意到,我們有必要配置一些保留地址。
我們可以將這些地址從DHCP地址池中去除,以便DHCP服務(wù)器不會嘗試把這寫地址分配給客戶,而是有可能手動固定的分配給一些特別的終端,比如說DNS服務(wù)器,WWW服務(wù)器等設(shè)備。命令如下
R1(config)#ip dhcp excluded-address 10.1.1.1 10.1.1.10
這樣配置,路由器R1從10-network地址池中可動態(tài)的分配IP地址的時候,分配的起始地址將是10.1.1.11
5 返回到DHCP配置模式,配置IP選項,包括默認網(wǎng)關(guān)地址,DNS/WINS服務(wù)器地址和域名,配置命令如下:
R1(config)#ip dhcp pool 10-network
R1(dhcp-config)#default-router 10.1.1.1
R1(dhcp-config)#dns-server 10.1.1.2
R1(dhcp-config)#netbios-name-server 10.1.1.3
R1(dhcp-config)#domain-name wuse.com
說明:上面這些服務(wù)器只是在有需要的時候再做配置,本實驗過程中可以不做配置
6 配置好DHCP服務(wù)器之后,就可以進行測試了。
在PC1的網(wǎng)卡屬性里配置IP地址選項的時候,選擇“自動獲得IP地址”以及“自動獲得DNS服務(wù)器地址”。點擊確定后,我們就可以在MS-DOS界面中查看自動獲取的情況了(ipconfig/all)
有時候,我們需要用命令釋放掉地址或重新獲得地址信息 (config /release) (ipconfig /renew )
7 在必要的時候,需要進行相關(guān)排錯,可以用命令“show ip dhcp binding/conflict”查看DHCP服務(wù)器地址分配信息。
R1#sh ip dhcp bin
IP address Hardware address Lease expiration Type
10.1.1.11 0004.6144.958c 1 days 23 hours 59 mins Automatic
輸入命令“show ip dhcp server statistics”可以詳細的查看網(wǎng)絡(luò)中發(fā)送了多少DHCPOFFER消息以及DHCPREQUEST/ DHCPDISCOVER /DHCPREQUEST等消息
R1#sh ip dhcp server statistics
Lease counter 1
Address pools 1
Automatic bindings 1
Manual bindings 0
Expired bindings 0
Malformed messages 0
Message Received
BOOTREQUEST 26
DHCPDISCOVER 25
DHCPREQUEST 1
DHCPDECLINE 0
DHCPRELEASE 0
DHCPINFORM 0
Message Sent
BOOTREPLY 20
DHCPOFFER 19
DHCPACK 1
DHCPNAK 0
8 由于PC2 也需要動態(tài)IP配置,所以需要創(chuàng)建第二個適合于該網(wǎng)絡(luò)的DHCP地址池(192.168.3.0 /24),并配置相應(yīng)的網(wǎng)關(guān)選項。配置命令為:
R1(config)#ip dhcp pool 3-network
R1(dhcp-config)#network 192.168.3.0 255.255.255.0
R1(dhcp-config)#default-router 192.168.3.1
R1(dhcp-config)#dns-server 10.1.1.2
R1(dhcp-config)#netbios-name-server 10.1.1.3
R1(dhcp-config)#domain-name wuse.com
R1(config)#ip dhcp excluded-address 192.168.3.1 192.168.3.3
9 現(xiàn)在,DHCP服務(wù)器的配置已經(jīng)完成了。然而,主機PC2使用UDP廣播來發(fā)現(xiàn)IP地址,但路由器R2 并沒有配置來轉(zhuǎn)發(fā)UDP廣播發(fā)路由器R1 ,命令如下:
R2(config)#interface f 1/0
R2(config-if)#ip helper-address 192.168.1.1
之后,PC2也就可以從在R1中的DHCP服務(wù)器獲取地址了。