网络设备配置与调试案例教程 课件 第四章 路由设备配置4.4.pptx

主讲人：万鹏第四章路由设备配置网络设备配置与调试案例教程

CONTENTS教学目标路由器是网络的核心，负责在网络间将数据包从初始源位置转发到最终目的地；路由器可以实现路由、网络访问控制、防止广播风暴，提高网络安全等功能；路由器的安装和调试比较复杂，相对其他网络互连设备的价格较高。【知识目标】?了解路由器的类型。?掌握路由器基本原理。?掌握各种路由的常用命令。【技能目标】?能够配置静态路由、动态路由，是网络畅通。?能够用OSPF路由完成路由配置，使网络畅通。?能够配置标准ACL实现网络基本流量控制。?能够配置DHCP服务实现内部网络地址动态获取。?能够配置静态NAT、动态NAT，实现内网和外网的互访。?能够配置三层交换机实现VLAN间的路由转发。

CONTENTS4.1路由器基本配置4.24.34.44.54.64.7静态路由动态路由访问控制列表DHCP与NAT广域网链路三层交换机配置

4.4访问控制列表网络设备配置与调试案例教程4.4.1项目背景1.需求分析随着企业开放式网络的不断开发和建设，网络面临的威胁越来越多。数据在网络上的任意流动会给网络带来很多安全问题，网络的可用性和安全性成为网络管理员最为关心的问题。一方面，为了业务的发展，必须允许对网络资源开放访问权限；另一方面，又必须确保数据和资源的尽可能安全。网络安全采用的技术很多，而访问控制列表是最重要的技术之一。本项目将说明管理员如何使用访问控制列表实现网络安全定义，阻止不合理的和非法的流虽，允许特定流量的同时阻止网络中的所有其他流量，从而保护中型企业的分支机构网络。2.环境准备 ?设备：路由器2台，PC3台，服务器1台。?线缆：标准交叉线3根，串行电缆2组，控制台电缆1根。?每组2名学生，各操作一台PC，协同进行实训。

4.4访问控制列表网络设备配置与调试案例教程3.技能准备（1）访问控制列表简介访问控制列表（ACL）是一种路由器配置脚本，它根据从数据包报头中发现的条件（源地址、目的地址、源端口、目的端口和协议等）来控制路由器应该允许还是拒绝数据包通过，从而达到访问控制的目的。ACL可以实现的主要功能如下：①检查和过滤数据包。②限制网络流量，提高网络性能。③限制或减少路由更新的内容。④提供网络访问的基本安全级别。问控制列表ACL（AccessControlList）可以定义一系列不同的规则，设备根据这些规则对数据包进行分类，并针对不同类型的报文进行不同的处理，从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等等。默认情况下，路由器上没有配置任何ACL，不会过滤流量。进入路由器的流量根据路由表进行路由。如果路由器上没有使用ACL，所有可以被路由器路由的数据包都会经过路由器到达下一个网段。

4.4访问控制列表网络设备配置与调试案例教程（2）配置ACL的原则①顺序处理原则。对ACL表项的检查是按照自上而下的顺序进行的，从第1行起，直到找到第1个符合条件的行为止，其余的行不再继续比较。因此必须考虑在访问控制列表中放入语句的次序，如测试性的语句最好放在ACL的最顶部。②最小特权原则。对ACL表项的设置应只给受控对象完成任务所必需的最小的权限。如果没有ACL，则等于permitany。一旦添加了ACL，默认在每个ACL中最后一行为隐含的拒绝（denyany）。如果之前没找到一条许可（permit）语句，意味着包将被丢弃。因此每个ACL必须至少有一行permit语句，除非用户想将所有数据包丢弃。③最靠近受控对象原则。尽量考虑将扩展的ACL放在靠近源地址的位置上这样创建的过滤器就不会反过来影响其他接口上的数据流。另外，尽量使标准的ACL靠近目的地址，由于标准ACL只使用源地址，如果将其靠近源地址会阻止报文流向其他端口。

4.4访问控制列表网络设备配置与调试案例教程（3）ACL类型①标准ACL，比较简单，根据数据包的源IP地址进行过滤。其表号范围是1—99或1300?1999。②扩展ACL，根据多种属性（协议类型、源IP地址、目的IP地址、源TCP或UDP端口、目的TCP或UDP端口）过滤IP数据包，并可依据协议类型信息进行更为精确的控制。其表号范围是100?199或2000?2699。除了使用数字定义ACL外，也可以使用命名的方法定义ACL，即命名ACL。包括标准命名ACL和扩展命名ACL两种。（4）复杂ACL复杂ACL是指在标准AC