中小型网络组建技术普通高等教育“十一五”国家级规划教材余明辉汪双顶proj4-2上课用课件.ppt

项目四 构建复杂办公网(任务5-任务7) 项目四 构建复杂办公网 任务5 初识路由器 一 任务分析 带外路由器配置 路由器配置命令模式 用户模式 Router 特权模式 Router # 全局模式 Router(config)# 端口模式 Router(config-if)# 线程配置模式 Router(config-line)# 路由协议配置模式　 Router(config-router)# 路由器配置命令模式 路由器的操作模式:配置模式 路由器的操作模式:配置模式 常用路由器show命令 配置路由器特权口令 配置路由器登陆口令 路由器接口配置命令 路由器接口显示命令 ? Red-Giant#show interfaces serial 0 serial0 is up, line protocol is up (表示物理层协议正常) (表示数据链路层协议正常) serial0 is up, line protocol is down (表示物理层协议正常) (表示数据链路层协议不正常) serial0 is down, line protocol is down (表示物理层协议不正常) serial0 is administratively down, line protocol is down (表示从管理上将该接口处于关闭状态) 任务6 保障区域网络安全:ACL技术 一任务分析： 二 相关知识 访问控制列表技术是一种重要的软件防火墙技术，配置在网络互联设备上，为网络提供安全保护功能。 访问控制列表中包含了一组安全控制和检查的命令列表，一般应用在交换机或者路由器接口上，这些指令列表告诉路由器哪些数据包可以通过，哪些数据包需要拒绝。至于什么样特征的数据包被接收还是被拒绝，可以由数据包中携带的源地址、目的地址、端口号、协议等包的特征信息来决定。 访问控制列表技术通过对网络中所有的输入和输出访问数据流进行控制，过滤掉网络中非法的未授权的数据服务，限制通过网络中的流量流，对通信信息起到控制的手段，提高网络安全性能。 什么是访问列表 ? ACL对经过设备的数据包，根据一定的规则，进行数据包的过滤。 访问列表的组成 ? 定义访问列表的步骤 第一步：定义规则（哪些数据允许通过，哪些不允许） 第二步：将规则应用在设备接口／ＶＬＡＮ上 ? 访问控制列表的分类： 1、标准ＡＣＬ 2、扩展ＡＣＬ 3、命名ＡＣＬ（标准／扩展） ? 访问控制列表规则元素 源IP、目的IP、源端口、目的端口、协议、服务 访问列表规则的应用 访问列表对流经接口的数据包进行控制： 1. 入栈应用（in） 2. 出栈应用（out） ACL的基本准则 ? 一切未被允许的就是禁止的。 路由器缺省允许所有的信息流通过; 防火墙缺省封锁所有的信息流，对希望提供的服务逐项开放。 ? 按规则链来进行匹配 使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配 ? 从头到尾，至顶向下的匹配方式 ? 匹配成功马上停止 ? 立刻使用该规则的“允许、拒绝……” 一个访问列表多个测试条件 ? 标准访问列表 根据数据包源IP地址进行规则定义 ? 扩展访问列表 根据数据包中源IP、目的IP、源端口、目的端口、协议进行规则定义 IP标准访问列表（2） IP标准访问列表配置技术 反掩码（通配符） 三 任务实施 （一）配置路由器标准访问控制列表 【任务场景】 如图4-42所示的网络拓扑是该校学生网和行政办公网网络的工作场景，要实现学生网（）和行政办公网（）的隔离，禁止来自学生网中的主机访问学院的行政办公网络，可以在其中R1路由器上做标准ACL技术控制，以实现网络之间的隔离。 实际校园网的工作场景是在核心交换机上实施标准ACL技术，本项目的解决方法是为了体现网络数据流的控制技术，选择路由器作为问题的解决方案，更容易理解和实现。 【工程拓扑】 三 任务实施 （一）配置路由器标准访问控制列表 【任务目标】 在校园网路由器上配置标准ACL，保护网络部分区域安全。 【材料清单】 路由器（2台）、网络连线（若干根）、测试PC（2台）、配置PC（1台）。 【地址规划】 三 任务实施 （一）配置路由器标准访问控制列表 【实施步骤】 步骤1 连接设备 步骤2 配置行政办公网络路由器R1 步骤3 配置学生网络的路由器R2 步骤4 测试从学生网到行政办公网的连通性 步骤5 禁止学生网访问行政办公网 （1）在路由器R