07第7章 安全配置实验课件.ppt

张世勇 QQ第？章 标题 交换机与路由器配置实验教程 第7章 安全配置实验 实验一、交换机端口安全（略） 实验二、标准IP访问控制列表 教学目标： 理解访问控制列表ACL概念。 理解访问控制列表ACL作用。 了解访问控制列表ACL分类。 掌握标准IP访问控制列表设置方法。 一、实验概述 命令格式，全局配置模式下： 1、Access-list number {permit|deny} source-add source-wildcard 其中number就是访问控制列表的号，其编号取值范围为1—99或1300—1999 Permit就是允许数据包通过，Deny就是拒绝通过 Source-add就是允许或拒绝的源地址，source-wildcard就是通配符掩码。 一、实验概述 2、定义访问控制列表作用于接口上的方向 接口模式下，某一接口：Ip access-group number in|out ！在某一接口上应用标识为number的访问控制列表，in|out，表示在入站端口调用还是在出站端口调用。 二、实验规划 二、实验规划 拓扑编址：两个SW：没有Vlan，没有IP地址，不用设置 PC1——IP：/24，网关为R1上E0/1的IP PC2——IP：/24，网关为R1上E0/2的IP PC3——IP：/24，网关为R1上E0/0的IP R1：E0/1——IP：/24 E0/2——IP：/24 E0/0——IP：/24 三、实验步骤 创建连接如下： Router1 E0/0 ---- VPCS V0/3 Router1 E0/1 ---- Switch1 F0/1 Router1 E0/2 ---- Switch2 F0/1 Switch1 F0/2 ---- VPCS V0/1 Switch2 F0/2 ---- VPCS V0/2 四、结果总结 在设定好标准访问控制列表后，在PC1上还可以Ping通PC3，而PC2则不能连通PC3。用“show ace-list 10”命令查看标准访问控制列表的配置情况如下：R1#sh access-list 10 Standard IP access list 10 10 deny , wildcard bits 55 (30 matches) 20 permit , wildcard bits 55 (10 matches) 在路由器上运行“show run”，则可以查看到端口情况 实验三、扩展IP访问控制列表 教学目标： 理解扩展访问控制列表概念。 理解扩展访问控制列表功能。 掌握扩展访问控制列表设置方法。 一、实验概述 扩展IP访问控制列表的功能比较强大，可以根据协议或服务进行配置，如果要想对网络访问实现精确控制，就必须使用扩展访问控制列表。 标准访问控制列表的编号取值范围为1—99或1300—1999。扩展访问控制列表的编号取值范围是100—199或2000—2699。 一、实验概述 命令格式如下，全局配置模式下： Access-list number deny|permit protocol [source-add source-wildcard operator port] [des-add des-wildcard operator port] 其中：number是访问控制列表编号，deny表示拒绝，permit表示允许。 Protocol表示协议，可以是IP、TCP、UDP、IGMP等协议。 source-add source-wildcard和 des-add des-wildcard表示源地址和目标地址以及它们的通配符掩码。 Operator 表示操作符可以是eq（等于）、neq（不等于）、或range（范围） Port表示应用层端口号，比如www为80，ftp为20、21，telnet为23 另外还可以用主机的IP地址来进行精确控制，其通配符为。 和host 意思一样都是表示IP地址为的主机，也可以用any表示所有主机。 二、实验规划 二、实验规划 拓扑编址：SW1：Vlan 10 IP:/24 Vlan 20 IP:/24 Vlan 30 IP:/24 PC1——IP：/24，网关为Vlan 10的IP PC2——IP：/24，网关为Vlan 10的IP PC3——IP：/24，网关为Vl