电子课件-《网络设备互联》-A06-2122项目六 网络安全——访问控制列表.pptVIP

项目六 网络安全——访问控制列表 《网络设备互联》 1 2 3 任务 1 标准ACL的配置 任务 2 标准扩展 ACL的配置 任务 3 命名ACL的配置 目录 4 任务 4 基于时间的 ACL的配置 学习目标 1. 理解 ACL的工作原理。 2. 能够根据管理需求配置路由器标准访问控制列表。 任务1 标准ACL的配置 任务描述 某学校的校办、教务处和人事处分属三个不同的网段，三个部门之间用网络进行信息传递，为了保证信息安全，学校要求教务处不能对人事处进行访问，但是校办可以访问人事处，实验拓扑图如图所示。 任务1 标准ACL的配置 实验拓扑图 相关知识 一、ACL概述 ACL全称是 Access ControlList，即访问控制列表。 二、ACL的分类 目前有两种主要的 ACL标准，ACL和扩展 ACL。 三、标准访问控制列表 标准访问控制列表只检查数据包的源地址，从而允许或拒绝基于网络、子网或主机的IP地址的所有通信流量通过路由器的出口。 标准访问控制列表要尽量靠近目的端，相反地，拓展访问控制列表要尽量靠近源端。 任务1 标准ACL的配置 四、标准 ACL配置命令 1. 定义标准 ACL Router(con.g)# access-list 列表号 {permit | deny }源地址反掩码 2. 应用 ACL到接口 Router(con.g-if)#access-group 列表号 {in|out} 任务1 标准ACL的配置 学习目标 1. 理解扩展访问控制列表丰富的过滤条件。 2. 掌握扩展访问列表的配置。 任务2 标准扩展 ACL的配置 任务描述 学校的校办、学生会和网络中心分属三个不同的网段，三个部门之间用网络进行信息传递，为了安全起见，学校要求学生会主机可以 ping通网络中心，但是不能 FTP到网络中心，网络结构如图所示。 任务2 标准扩展 ACL的配置 实验拓扑图 相关知识 一、扩展访问控制列表 扩展访问控制列表是应用在路由器接口的指令列表。 二、配置命令 1. 定义扩展 ACL Router（con.g）# access-list 列表号 {permit | deny }协议 源地址 反掩码目的地址 反掩码［运算符 端口号］ 2. 应用 ACL到接口 Router（con.g-if）#access-group 列表号 {in|out} 任务2 标准扩展 ACL的配置 学习目标 掌握命名访问控制列表的配置方法，了解其应用环境。 任务3 命名ACL的配置 任务描述 学校的校办、学生会和网络中心分属三个不同的网段，三个部门之间用网络进行信息传递，为了安全起见，学校要求学生会主机可以访问网络中心的 WWW服务，但是不能 FTP到网络中心，网络结构如图所示。 任务3 命名ACL的配置 实验拓扑图 相关知识 一、命名访问控制列表 二、配置命令 1. 标准的命名 ACL （1）定义标准的命名 ACL Switch(con.g)#ip access-list standard {name} Switch(con.g-ext-nacl)#{permit | deny }源地址 反掩码 （2）应用 ACL到接口 Switch(con.g-if)#ip access-group {name} in | out 任务3 命名ACL的配置 2. 扩展的命名 ACL （1）定义扩展的命名 ACL Switch(con.g)#ip access-list extended {name} Switch(con.g-ext-nacl)# {permit | deny }协议 源地址 反掩码 目的地址 反掩码［运算符 端口号］ （2）应用 ACL到接口 Switch(con.g-if)#ip access-group {name} in | out 任务3 命名ACL的配置 学习目标 掌握基于时间的访问控制列表的配置方法，了解其应用环境。 任务4 基于时间的 ACL的配置 任务描述 学校的校办、学生会和网络中心分属三个不同的网段，三个部门之间用网络进行信息传递。为了安全起见，学校要求学生会主机在星期一到星期五的 9:00—12:00和 14:00—18:00之间不能访问网络，网络结构如图所示。 任务4 基于时间的 ACL的配置 实验拓扑图 相关知识 一、基于时间的访问控制列表 基于时间访问控制列表的设计中，用 time-range命令来指定时间范围的名称，然后用absolute命令，或者一个或多个 periodic命令来具体定义时间范围。 任务4 基于时间的 ACL的配置 二、配置命令 1. 定义时间范围 （1）使用全局 time-range命令来正确地指定时间范围。 格式： time-range time-ra