计算机组网技术

《计算机组网技术》由会员分享，可在线阅读，更多相关《计算机组网技术（57页珍藏版）》请在装配图网上搜索。

1、浙江广播电视大学海盐学院浙江广播电视大学海盐学院【考核的知识点】n ISO定义的安全服务和安全机制n 网络安全架构n 网络设备安全访问方法n 二层交换设备安全技术n 基本的访问控制列表使用方法n 防火墙的功能和分类浙江广播电视大学海盐学院【考核要求】n 掌握：网络设备的安全管理配置、防火墙技术及配置。n 理解：网路安全问题。n 了解：VPN技术、IPsec安全协议浙江广播电视大学海盐学院一、网络安全（ISO/IEC 7498-2)IEC:国际电工委员会1、安全模式安全策略：基于身份 基于规则安全威胁：信息泄露、完整性破坏、拒绝服务、非法使用安全服务：认证服务（实体认证、数据源认证）访问控制 数

2、据机密性服务 数据完整性服务 不可否认服务浙江广播电视大学海盐学院2、定义提供服务的安全机制：实施安全服务的机制。特定安全机制：加密 数字签名 访问控制 完整性 认证 流量填充 路由控制 公证机制通用安全机制：功能可信机制 安全标记机制 事件监测 安全审计 安全恢复3、定义全程安全管理 是通过监视和控制安全服务和安全机制来实现安全策略的整个过程。DMZ(非军事区）浙江广播电视大学海盐学院二、设备安全二、设备安全1、本地访问认证、本地访问认证 控制台口令控制台口令 line console 0 password mm login 使能口令使能口令 enable password mm 使能加密口

3、令使能加密口令 enable secret mm /加密加密浙江广播电视大学海盐学院二、设备安全二、设备安全2、远程访问认证、远程访问认证 设置设置telnet口令口令 line vty 0 15 password mm SSH:Secure Shell(SSH)的目的在于在通过网络远程访问另一个主机时提供最大的保护。它通过提供更好的身份验证工具和 Secure Copy(SCP)、Secure File Transfer Protocol(SFTP)、X 会话转发和端口转发等功能来加密网络交换，从而增加其他非安全协议的安全性。Username user password 12345Ip do

4、main-name Crypto key generate rsaLine vty 0 4Transport input ssh 浙江广播电视大学海盐学院二、设备安全二、设备安全3、认证账号设置、认证账号设置 username localuser password local123 line vty 0 4 login local /必须使用设置的身份账号和口令必须使用设置的身份账号和口令4、AAA安全服务安全服务 身份认证、授权、统计身份认证、授权、统计 访问控制列表访问控制列表访问控制列表ACLACLACL浙江广播电视大学海盐学院 理解访问控制列表的工作原理（访问控制列表的作用，路由器对访

5、问控制列表的处理过程）理解访问控制列表的反码 掌握访问控制列表的种类 掌握标准和扩展访问控制列表的配置方法 能够利用访问控制列表对网络进行控制浙江广播电视大学海盐学院访问控制列表访问控制列表访问控制列表的种类访问控制列表的种类访问控制列表的工作原理访问控制列表的工作原理访问控制列表的反码访问控制列表的反码访问控制列表概述访问控制列表概述扩展访问控制列表扩展访问控制列表标准访问控制列表标准访问控制列表什么是扩展访问控制列表什么是扩展访问控制列表扩展访问控制列表的应用与配置扩展访问控制列表的应用与配置命名访问控制列表命名访问控制列表标准访问控制列表的应用与配置标准访问控制列表的应用与配置什么是标准

6、访问控制列表什么是标准访问控制列表浙江广播电视大学海盐学院什么是访问控制列表什么是访问控制列表 访问控制列表（ACL）应用于路由器接口的指令列表，用于指定哪些数据包可以接收转发，哪些数据包需要拒绝 ACL的工作原理 读取第三层及第四层包头中的信息 根据预先定义好的规则对包进行过滤 浙江广播电视大学海盐学院访问控制列表的作用访问控制列表的作用 提供网络访问的基本安全手段 可用于QoS，控制数据流量 控制通信量浙江广播电视大学海盐学院主机主机A主机主机B人力资源网络人力资源网络研发网络研发网络使用使用ACL阻止某指定网络访问另一指定网络阻止某指定网络访问另一指定网络 访问控制列表的作用访问控制列表

7、的作用浙江广播电视大学海盐学院 实现访问控制列表的核心技术是包过滤Internet公司总部公司总部内部网络内部网络未授权用户未授权用户办事处办事处访问控制列表访问控制列表访问控制列表工作原理访问控制列表工作原理VPN浙江广播电视大学海盐学院通过分析IP数据包包头信息，进行判断（这里IP所承载的上层协议为TCP）访问控制列表工作原理访问控制列表工作原理浙江广播电视大学海盐学院路由器对访问控制列表的处理过程路由器对访问控制列表的处理过程浙江广播电视大学海盐学院访问控制列表入与访问控制列表入与出出 使用命令ip access-group将ACL应用到某一个接口上 在接口的一个方向上，只能应用一个ac

8、cess-listRouter(config-if)#ip access-group access-list-number in|浙江广播电视大学海盐学院访问控制列表入与出访问控制列表入与出浙江广播电视大学海盐学院 访问控制列表入与出访问控制列表入与出浙江广播电视大学海盐学院Deny和和permit命令命令Router(config)#access-list access-list-number permit|deny test conditions允许数据包通过应允许数据包通过应用了访问控制列表用了访问控制列表的接口的接口拒绝数据包通过拒绝数据包通过浙江广播电视大学海盐学院 第一步，创建访问

9、控制列表 第二步，应用到接口e0的出方向上 访问控制列表实例访问控制列表实例浙江广播电视大学海盐学院使用通配符使用通配符any和和host通配符any可代替0.0.0.0 255.255.255.255 浙江广播电视大学海盐学院使用通配符使用通配符any和和hosthost表示检查IP地址的所有位 浙江广播电视大学海盐学院访问控制列表的种类访问控制列表的种类 基本类型的访问控制列表 标准访问控制列表 扩展访问控制列表 其他种类的访问控制列表 基于MAC地址的访问控制列表 基于时间的访问控制列表浙江广播电视大学海盐学院扩展扩展acl标准标准acl路由器路由器B路由器路由器C路由器路由器D路由器路

10、由器AS0S0S1S1E0E0E1E0E0E1应用访问控制列表应用访问控制列表源源目的目的浙江广播电视大学海盐学院标准访问控制标准访问控制列表列表 标准访问控制列表 根据数据包的源IP地址来允许或拒绝数据包 访问控制列表号从1到浙江广播电视大学海盐学院标准访问控制标准访问控制列表列表标准访问控制列表只使用源地址进行过滤，表明是允许还是拒绝浙江广播电视大学海盐学院 标准访问控制列表标准访问控制列表浙江广播电视大学海盐学院标准访问控制列表的配置第一步，使用access-list命令创建访问控制列表 第二步，使用ip access-group命令把访问控制列表应用到某接口Router(config)

11、#access-list access-list-number permit|deny source source-wildcard logRouter(config-if)#ip access-group access-list-number in|out 浙江广播电视大学海盐学院标准标准ACL应用应用1：允许特定源的流量：允许特定源的流量172.16.3.0172.16.4.0Non-172.16.0.0E0E1S浙江广播电视大学海盐学院标准ACL应用：允许特定源的流量 第一步，创建允许来自172.16.0.0的流量的ACL 第二步，应用到接口E0和E1的出方向上 Router(confi

12、g)#access-list 1 permit 172.16.0.0 0.0.255.255Router(config)#interface fastethernet 0/0Router(config-if)#ip access-group 1 outRouter(config)#interface fastethernet 0/1Router(config-if)#ip access-group 1 浙江广播电视大学海盐学院标准ACL应用：拒绝特定主机的通信流量 第一步，创建拒绝来自172.16.4.13的流量的ACL 第二步，应用到接口E0的出方向Router(config)#access

13、-list 1 deny host 172.16.4.13 Router(config)#access-list 1 permit 0.0.0.0 255.255.255.255Router(config)#interface fastethernet 0/0Router(config-if)#ip access-group 1 out 浙江广播电视大学海盐学院标准ACL应用：拒绝特定子网的流量 第一步，创建拒绝来自子网172.16.4.0的流量的ACL 第二步，应用到接口E0的出方向Router(config)#access-list 1 deny 172.16.4.0 0.0.0.255R

14、outer(config)#accesslist 1 permit anyRouter(config)#interface fastethernet 0/0Router（config-if）#ip access-group 1 浙江广播电视大学海盐学院扩展访问控制列表 扩展访问控制列表 基于源和目的地址、传输层协议和应用端口号进行过滤 每个条件都必须匹配，才会施加允许或拒绝条件 使用扩展ACL可以实现更加精确的流量控制 访问控制列表号从100到199 浙江广播电视大学海盐学院扩展访问控制列表扩展访问控制列表使用更多的信息描述数据包，表明是允许还是拒绝从从172.16.3.0/24来的来的,到到

15、172.16.4.13的，的，使用使用TCP协议，协议，利用利用HTTP访问的访问的数据包可以通过！数据包可以通过！路由器路由器浙江广播电视大学海盐学院扩展访问控制列表扩展访问控制列表浙江广播电视大学海盐学院20FTP-DATA（文件传输协议）（文件传输协议）FTP（数据）（数据）TCP21FTP（文件传输协议）（文件传输协议）FTPTCP23TELNET终端连接终端连接TCP25SMTP简单邮件传输协议简单邮件传输协议TCP42NAMESERVER主机名字服务器主机名字服务器UDP53DOMAIN域名服务器（域名服务器（DNS)TCP/UDP69TFTP普通文件传输协议（普通文件传输协议（T

16、FTP)UDP80WWW万维网万维网TCP扩展访问控制列表扩展访问控制列表浙江广播电视大学海盐学院扩展访问控制列表的配置 第一步，使用access-list命令创建扩展访问控制列表Router(config)#access-list access-list-number permit|deny protocol source source-wildcard destination destination-wildcard operator port established 浙江广播电视大学海盐学院eq portnumber等于端口号等于端口号 portnumbergt portnumber大于

17、端口号大于端口号portnumberlt portnumber小于端口号小于端口号portnumberneq portnumber不等于端口号不等于端口号portnumber扩展访问控制列表的配置扩展访问控制列表的配置浙江广播电视大学海盐学院扩展访问控制列表的扩展访问控制列表的配置配置 第二步，使用ip access-group命令将扩展访问控制列表应用到某接口Router（config-if）#ip access-group access-list-number in|out 浙江广播电视大学海盐学院扩展扩展ACL应用应用1：拒绝：拒绝ftp流量通过流量通过E0 第一步，创建拒绝来自172.

18、16.4.0、去往172.16.3.0、ftp流量的ACL 第二步，应用到接口E0的出方向Router(config)#access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21Router(config)#access-list 101 permit ip any anyRouter(config)#interface fastthernet 0/0Router（config-if）#ip access-group 101 浙江广播电视大学海盐学院扩展扩展ACL应用应用2：拒绝拒绝telnet流量通过流量通

19、过E0 第一步，创建拒绝来自172.16.4.0、去往172.16.3.0、telnet流量的ACL 第二步，应用到接口E0的出方向上Router(config)#access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 23Router(config)#access-list 101 permit ip any anyRouter(config)#interface fastethernet 0/0Router（config-if）#ip access-group 101 浙江广播电视大学海盐学院命名的访问控制

20、列表命名的访问控制列表 标准ACL和扩展ACL中可以使用一个字母数字组合的字符串（名字）代替来表示ACL的表号 命名IP访问列表允许从指定的访问列表删除单个条目 如果添加一个条目到列表中，那么该条目被添加到列表末尾 不能以同一个名字命名多个ACL 在命名的访问控制列表下，permit和deny命令的语法格式与前述有所不同 浙江广播电视大学海盐学院命名的访问控制列表命名的访问控制列表 第一步，创建名为cisco的命名访问控制列表 第二步，指定一个或多个permit及deny条件 第三步，应用到接口E0的出方向Router（config）#interface fastethernet 0/0Rou

21、ter（config-if）#ip access-group cisco outRouter(config)#ip access-list extended ciscoRouter（config-ext-nacl）#deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 23Router（config-ext-nacl）#permit ip any 浙江广播电视大学海盐学院查看访问控制查看访问控制列表列表Router#show ip interface fastethernet 0/0 FastEthernet0/0 is up,line p

22、rotocol is up Internet address is 172.16.3.1/24 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is cisco Inbound access list is not set Proxy ARP is enabled Local Proxy

23、 ARP is disabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is enabled IP fast switching on the same interface is disabled 浙江广播电视大学海盐学院查看访问控制查看访问控制列表列表Router#show access-list E

24、xtended IP access list cisco 10 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq telnet 20 permit ip any 浙江广播电视大学海盐学院访问控制列表访问控制列表访问控制列表的种类访问控制列表的种类访问控制列表的工作原理访问控制列表的工作原理访问控制列表的反码访问控制列表的反码访问控制列表概访问控制列表概述述扩展访问控制列扩展访问控制列表表标准访问控制列标准访问控制列表表什么是扩展访问控制列表什么是扩展访问控制列表扩展访问控制列表的应用与配置扩展访问控制列表的应用与配置命名访问控制列表命名

25、访问控制列表标准访问控制列表的标准访问控制列表的应用与配置应用与配置什么是标准访问控制什么是标准访问控制列表列表访问控制列表（访问控制列表（ACLACL）是应用在路由器接是应用在路由器接口的指令列表（规口的指令列表（规则）则）ACLACL的工作原理：根的工作原理：根据预先定义好的规据预先定义好的规则对包进行过滤，则对包进行过滤，从而达到访问控制从而达到访问控制的目的的目的ACLACL的处理过程：若的处理过程：若第一条不匹配，则第一条不匹配，则依次往下进行判断，依次往下进行判断，直到有任一条语句直到有任一条语句匹配匹配ACLACL使用反码来标志使用反码来标志一个或几个地址是一个或几个地址是被允许

26、还是被拒绝被允许还是被拒绝标准访问控制列表：检查被路由的标准访问控制列表：检查被路由的数据包的源地址。其结果基于源网数据包的源地址。其结果基于源网络络/子网子网/主机主机IPIP地址来决定是允许地址来决定是允许还是拒绝转发数据包。它使用还是拒绝转发数据包。它使用1 1到到9999之间的数字作为表号之间的数字作为表号对数据包的原地址与目标地址均对数据包的原地址与目标地址均进行检查。它也能检查特定的协进行检查。它也能检查特定的协议、端口号以及其它参数。它使议、端口号以及其它参数。它使用用100100到到199199之间的数字作为表号之间的数字作为表号应用访问控制列表首先使用应用访问控制列表首先使用

27、access-listaccess-list命令创建访问控命令创建访问控制列表，再用制列表，再用ip access-ip access-groupgroup命令把该访问控制列表命令把该访问控制列表应用到某一接口应用到某一接口可以使用一个字母数字组合的可以使用一个字母数字组合的字符串（名字）代替前面所使字符串（名字）代替前面所使用的数字（用的数字（11991199）来表示）来表示ACLACL的表号的表号浙江广播电视大学海盐学院实验实验 实验背景 随着BENET公司网络建设的开展，对网络的安全性也要求越来越高，需要在路由器上应用访问控制列表进行控制 作为网络管理员，需要设计访问控制条件，对通过路由

28、器的数据包进行过滤 一台路由器为外部路由器，一台路由器为公司内部路由器，下面连接两个网段：网段1（10.10.1.0/24）和网段2（10.10.2.0/24），对公司内网络和外部网络的通信进行控制 浙江广播电视大学海盐学院实验拓扑实验拓扑 浙江广播电视大学海盐学院实验任务实验任务 任务1 标准访问控制列表配置 完成标准 在网段1上的PC上，ping 172.16.1.10，测试结果是网络连通 在网段2上的PC上，ping 172.16.1.10，测试结果是网络不能到达 浙江广播电视大学海盐学院实验实验任务任务 任务2 扩展访问控制列表配置 完成标准 在网段1的PC上ping 172.16.1

29、.10，测试结果是网络连通 在网段1的PC上访问内部服务器的WWW服务，成功 在网段1的PC上访问内部服务器的tenet服务，不成功 在网段2的PC上ping 172.16.1.10，测试结果是网络连通 在网段2的PC上访问内部服务器的WWW服务，不成功 在网段2的PC上访问内部服务器的tenet服务，成功 浙江广播电视大学海盐学院实训：实训：访问控制访问控制一、实验目的要求学生掌握理解访问控制列表ACL的概念，掌握访问控制列表的基本配置方法，了解使用访问控制列表进行数据包过滤、保护内部网络方法。二、内容、要求1、建立交换机、路由器和PC机组成的网络，画出拓扑图要求：掌握根据需求画出网络拓扑，

30、标记出相关接口、网络地址的方法2、标准访问控制列表要求：理解ACL的设计原则和工作过程，掌握定义标准ACL的方法，能够应用标准ACL并进行标准ACL调试。3、扩展访问控制列表要求：能够定义及应用扩展ACL，并进行扩展ACL调试，根据网络安全需求设计ACL规则，并配置ACL完成对数据包的过滤，对内网PC机进行访问控制。浙江广播电视大学海盐学院【实验目的】【实验目的】掌握编号的标准IP访问列表规则及配置。【背景描述】【背景描述】你是一个公司的网络管理员，公司的经理部、财务部门和销售部门分属不同的三个网段，三部门之间用路由器进行信息传递，为了安全起见，公司领导要求销售部门不能对财务部门进行访问，但经

31、理部可以对财务部门进行访问。【实验拓扑】【实验拓扑】浙江广播电视大学海盐学院【实验【实验步骤步骤】1、基本配置、基本配置Red-GiantRed-GiantenableRed-Giant#configure terminalRed-Giant(config)#hostname R1R1(config)#interface fastEthernet 0R1(config-if)#ip add 192.168.1.1 255.255.255.0R1(config-if)#no sh2、配置标准IP访问控制列表R1(config)#access-list 1 deny 192.168.1.0 0.0

32、.0.255 !拒绝来自192.168.1.0网段的流量通过R1(config)#access-list 1 permit 192.168.3.0 0.0.0.255!允许来自192.168.3.0网段的流量通过3、把访问控制列表在接口下应用R1(config)#interface fastEthernet 1R1(config-if)#ip access-group 1 out!在接口下访问控制列表出栈流量调用【注意事项注意事项】（1）、注意在访问控制列表的网络掩码是反掩码；（2）、标准控制列表要应用在尽量靠近目的地址的接口；（3）、注意标准访问控制列表的编号是从1-99。浙江广播电视大学海

33、盐学院【背景描述】【背景描述】你是学校的网络管理员，学校规定每年新入学的学生时所在的网段不能通过学校的FTP服务器上网，学校规定新生所在网段是172.16.10.0/24,学校服务器所在网段是172.16.20.0/24【实现功能】【实现功能】实现对网络服务访问的安全控制【实验拓扑】【实验拓扑】浙江广播电视大学海盐学院【实验【实验步骤步骤】1、基本配置、基本配置Red-GiantRed-GiantenableRed-Giant#configure terminalRed-Giant(config)#hostname R1R1(config)#interface fastEthernet 0Re

34、d-Giant(config-if)#ip address 172.16.10.1 255.255.255.0R1(config-if)#no sh2、配置标准IP访问控制列表Red-Giant(config)#access-list 101 deny tcp 172.16.10.0 0.0.0.255 172.16.20.0 0.0.0.255 eq ftp！禁止规定网段对服务器进行www访问Red-Giant(config)#access-list 101 permit ip any any！允许其他流量通过3、把访问控制列表在接口下应用Red-Giant(config)#interface fastEthernet 0Red-Giant(config-if)#ip access-group 101 in !访问控制列表在接口下in方向应用Red-Giant(config-if)#end【注意事项注意事项】（1）、注意在访问控制列表的网络掩码是反掩码；（2）、标准控制列表要应用在尽量靠近目的地址的接口；（3）、注意标准访问控制列表的编号是从1-99。