交换机的访问控制.pptx

《工业网络技术》系列微课交换机的访问控制主讲教师：张云辉嘉兴职业技术学院

学习目标了解交换机的访问控制列表掌握基于MAC地址的端口访问控制列表配置掌握基于IP地址的端口访问控制列表配置

学习内容0102交换机的访问控制列表基于MAC地址的端口访问控制列表配置03基于IP地址的端口访问控制列表配置

“4.2交换机的访问控制工业以太网可以将现场层与企业管理层连接起来,但同时也给生产现场带来了网络安全隐患。提高网络安全性较为常规的做法之一就是为工业以太网交换机配置口令和设置访问控制策略。访问控制列表(AccessControlList,ACL)是包过滤技术的核心内容,通过获取IP数据包的包头信息,包括IP层所承载的上层协议的协议号,数据包的源地址、目的地址、源端口号和目的端口号等,然后与设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃,达到提高网络安全性能的目的。访问控制列表可以应用在交换机、路由器和防火墙上。

“4.2交换机的访问控制项目要求:某企业为了加强内部局域网内的网络安全防护,要求管理员利用访问控制列表实现可靠性的保证。项目设备:交换机SCALANCEXM408一台;PLC(S71200),分别标记为S71200A和S71200B)两台;工业以太网线缆两条;上位机一台。项目目的:理解访问控制列表的工作原理;掌握修改交换机口令的方法;掌握基于MAC的端口访问控制列表的配置方法;掌握基于IP的端口访问控制列表的配置方法。

“4.2交换机的访问控制项目实现功能:某工厂两个PLC(S71200A、S71200B),要求S71200A通过P3端口与上位机通信,S71200B通过P5端口与上位机通信,其他设备均不可通过P3、P5端口访问上位机。利用给定设备按照网络拓扑结构进行网络搭建,通过PST软件为SCALANCEXM408、S71200A和S71200B分配IP地址;通过WEB界面,对SCALANCEXM408进行访问控制设置并进行验证。其网络拓扑结构如图4-21所示。图4-21网络拓扑结构

“4.2.1基于MAC地址的端口访问控制列表配置基于MAC地址进行访问控制列表的设定来实现对网络的访问控制,在一定程度上可以提升网络的安全性,其具体操作如下:第1步,按照网络拓扑结构,将SCALANCEXM408、S71200A和S71200B安装到导轨上。并用工业以太网线缆将上位机与SCALANCEXM408的P1端口相连,将SCALANCEXM408的P3端口与S71200A的以太网接口相连,将SCALANCEXM408的P5端口与S71200B的以太网接口相连,并接通电源。

“补充:项目的实现可以使用SCALANCEXM408中除用于VLAN划分的其他端口与上位机和S71200相连。第2步,将上位机的IP地址配置为192.168.0.120,利用PST工具将SCALANCEXM408的IP地址配置为192.168.0.11,将S71200A的IP地址配置为192.168.0.21,将S71200B的IP地址配置为192.168.0.22。第3步,在上位机中打开浏览器,输入IP地址192.168.0.11,通过Web打开SCALANCEXM408,选择“Security”目录树下的“MACACL”选项,进入“MACAccessControlListConfiguration”界面,如图4-22所示。4.2.1基于MAC地址的端口访问控制列表配置

“第4步,单击“Create”按钮三次,会产生三条默认规则。对这三条规则进行修改后,单击“SetValues”按钮,界面显示如图4-23所示。图4-23ACL设定界面4.2.1基于MAC地址的端口访问控制列表配置

“第5步,在“MACAccessControlListConfiguration”界面中选择“IngressRules”选项,进入对具体端口进行入站(ingress)配置界面,在“Interface”下拉列表中选择“P1.3”,在“AddRule”下拉列表中选择“Rule1”,然后单击“Add”按钮,接着在“AddRule”下拉列表中选择“Rule3”,然后单击“Add”按钮,P3端口设定规则的结果如图4-24所示。4.2.1基于MAC地址的端口访问控制列表配置

“补充:上述规则的设置表示只有S71200A能通过P3端口访问上位机,具有其他M