原创力文档- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
第次课程教学方案
备课时间
备课教师
教学时间
年月日
教学地点
周次
课时数
4
教学内容(章、节)
模块/单元
第8章工业网络安全技术(1)
1、访问控制列表ACL概述
2、第3层工业交换机访问控制列表配置
教学目标和要求
1.理解访问控制列表
2.掌握基于MAC地址的访问控制列表配置方法
3.掌握基于IP的访问控制列表配置方法
教学重点
访问控制列表的工作原理
教学难点
基于IP的访问控制列表配置
教学方法
讲授法、直观演示法、实验法、小组讨论法等
使用媒体资源
√纸质材料√多媒体课件√网络资源□其他资源:
使用教具、设备、
设施等
多媒体教学设备
作业练习
完成电子版实训报告
课
后
记
教学内容(板书)
教学步骤、方法
及学生活动
一、相关知识介绍
1、ACL概述
访问控制列表(AccessControlList,ACL)是包过滤技术的核心内容,通过获取IP数据包的包头信息,包括IP层所承载的上层协议的协议号,数据包的源地址、目的地址、源端口号和目的端口号等,然后与设定的规则进行比较,根据比较的结果对数据包进行处理,合法的允许通过,不合法的阻截并丢弃,以达到提高网络安全性能的目的。
(1)入口ACL
传入数据包经过处理之后才会被路由到出站接口。因为如果数据包被丢弃,就节省了执行路由查找的开销,所以入口ACL非常高效。如果ACL允许该数据包,则会处理该数据包以进行路由。当与入接口连接的网络是需要检测的数据包的唯一来源时,适合使用入口ACL来过滤数据包。
(2)出口ACL
传入数据包路由到出接口后,由出口ACL进行处理。在来自多个入接口的数据包通过同一出接口之前,对数据包应用相同过滤器时,最适合使用出站AC。
2、ACL分类
根据工作方式的不同,访问控制列表分为基于MAC地址的ACL、基于IP地址的ACL和管理ACL三种类型。
(1).基于MAC地址的ACL
当数据通过设置ACL规则的网络设备时,网络设备会查看设备内的ACL规则表,判断此数据携带的MAC地址是否能通过ACL规则由指定接口转发。如图2-3所示,在创建规则时明确定义源MAC地址和目的MAC地址,并将规则应用在入端口或出端口上
(2).基于IP地址的ACL
当数据通过设置ACL规则的网络设备时,网络设备会查看设备内的ACL规则表,判断此数据携带的IP地址是否能通过ACL规则由指定接口转发。如图2-4所示,定义规则时使用的是第3层的源IP地址和目的IP地址。
(3).管理ACL
要指定具有哪个IP地址的工作站允许访问设备,必须组态相应的IP地址或一个地址范围,这就需要用到管理ACL。
理论部分以教师讲授为主要形式
学生可以提问,由教师进行进一步的解释和说明。
。
二、实验讲解、演示及分组练习
实训任务1基于MAC地址的访问控制列表配置
首先完成所有设备IP地址配置,在此基础上在第3层交换机XM408上配置基于MAC地址访问控制列表,实现如下访问控制:
(1)只有S71200-A能通过P3端口访问上位机,具有其他MAC地址的设备均不能通过P3端口访问上位机;
(2)只有S71200-B能通过P5端口访问上位机,具有其他MAC地址的设备均不能通过P5端口访问上位机。
1.完成各设备IP地址配置
2.在三层交换机XM-408上配置MACACL
在左侧选择“Security”项目下的“MACACL”,进入“MACAccessControlListConfiguration”界面,双击三次“Create”按钮,产生三条默认规则。对这三条规则修改后,点击“SetValues”按钮
规则1: SourceMAC:源MAC地址8c:f3:19:10:23:9f是S71200-A的MAC地址;Dest.MAC: 目的MAC地址50-7B-9D-E9-CF-12是上位机的MAC地址。
规则2: SourceMAC:源MAC地址8c:f3:19:10:26:53是S71200-B的MAC地址;Dest.MAC:目的MAC地址也是上位机的MAC地址。
规则3: SourceMAC:源MAC地址00-00-00-00-00-00b代表的是任意MAC地址;Dest.MAC:目的MAC地址也是上位机的MAC地址。
“Action”栏下拉列表中的“Forward”表示:如果报文满足ACL规则就允许报文通过;“Discard”表示:如果报文满足ACL规则就不允许报文通过。
教师布置实验任务,讲解实验拓扑结构及本实验的具体内容和要求
教师边讲解边演示实验操作。
学生可以提问,由教师进行进一步的解释和说明。
学生分组进行自主练习
3.在P3和P5入口方向上应用M
您可能关注的文档
- 《工业网络技术与应用(微课版)》-教案 第1次 第1章 绪论.docx
- 《工业网络技术与应用(微课版)》-教案 第2次 2.1工业网络设备.docx
- 《工业网络技术与应用(微课版)》-教案 第3次 2.2 网络地址基础.docx
- 《工业网络技术与应用(微课版)》-教案 第4次 第3章VLAN虚拟局域网技术.docx
- 《工业网络技术与应用(微课版)》-教案 第5次 西门子SCALANCE-XM-200交换机VLAN界面.docx
- 《工业网络技术与应用(微课版)》-教案 第6次 4.1 STP生成树与RSTP快速生成树.docx
- 《工业网络技术与应用(微课版)》-教案 第7次 4.2 环网冗余4.2.1.介质冗余协议(Media Redundancy Protocol)4.2.2.HRP高速冗余协议.docx
- 《工业网络技术与应用(微课版)》-教案 第8次 4.3 RSTP+协议.docx
- 《工业网络技术与应用(微课版)》-教案 第9次 4.4 PRPHSR并行冗余协议和高可靠性无缝冗余协议.docx
- 《工业网络技术与应用(微课版)》-教案 第10次 5.1 路由基础5.2 静态路由.docx
文档评论(0)