數據通信網絡技術 教案9 訪問控制列表

《數據通信網絡技術 教案9 訪問控制列表》由會員分享，可在線閱讀，更多相關《數據通信網絡技術 教案9 訪問控制列表（10頁珍藏版）》請在裝配圖網上搜索。

1、 項目九訪問控制列表 【教學目標】 1. 知識目標： （1） 理解訪問控制列表的概念、分類、技術原理。 （2） 掌握訪問控制列表的匹配過程。 （3） 掌握標準、擴展訪問控制列表的配置方法及應用原則。 （4） 理解基于時間的訪問控制列表的概念。 2. 技能目標： （1） 能夠完成標準、擴展訪問控制列表的配置。 （2） 能夠完成基于時間的訪問控制列表的配置。 3. 素養(yǎng)目標 （1） 培養(yǎng)溝通交流及團隊合作意識 （2） 養(yǎng)成規(guī)范操作的職業(yè)習慣 （3） 培養(yǎng)精益求精的工匠精神 【教學重點】 標準、擴展訪問控制列表的配置 【教學難點】 基于時間的訪問控制列表 【

2、教學方法】 項目教學法、啟發(fā)式教學法、自主探究、合作探究。 【導入新課】 企業(yè)網絡在運行過程中，會面臨網內、網外的很多攻擊，如病毒攻擊、惡意訪問等，如何解決 呢？通過在三層交換機或路由器上配置訪問控制列表過濾數據包，不但能夠有效抵御這些攻擊，而 且能夠控制訪問流量、提高網絡性能，具體如何配置，我們本次課來學習。 【教學過程】 任務一：標準訪問控制列表 拓撲結構：標準訪問控制列表拓撲結構如圖9-1所示。 Server-PT Serverl Server-PT Server2 圖9-1標準訪問控制列表拓撲結構 所需設備：三層交換機（型號3560） 一臺、路由器（型號

3、2621） 一臺、計算機兩臺、服務器兩 臺、直通線三根、交叉線兩根。 規(guī)劃IP地址： 計算機 PC1 的 IP 地址：192. 168. 1. 1/24,網關：192. 168. 1.254O 服務器 Server 1 的 IP 地址:192. 168. 2. 1/24,網關：192. 168. 2. 254。 計算機 PC2 的 IP 地址：192. 168.4. 1/24,網關：192. 168. 4. 254。 服務器 Server2 的 IP 地址：192. 168. 5. 1/24,網關：192. 168. 5. 254。 交換機 SWA： Vian 10 的 IP

4、地址：192. 168. 1. 254/24。Vian 20 的 IP 地址：192. 168. 2. 254/24。 Vian 30 的 IP 地址：192. 168. 3. 1/24。 路由器 RA： fl/0 的 IP 地址：192. 168. 3. 2/24。f0/0 的 IP 地址：192. 168. 4. 254/24。 fO/1 的 IP 地址:192. 168. 5. 254/24o 設備連線： 計算機PCI-交換機SWA的fO/1端口，服務器Serverl一交換機SWA的fO/2端口。 計算機PC2—路由器RA的f0/0端口，服務器Server2一交換機RA的fO

5、/1端口。 交換機SWA的fO/24端口一路由器RA的fl/0端口。 任務要求： (1) 在三層交換機和路由器上配置OPSF路由，實現網絡連通。 (2) 利用標準訪問控制列表拒絕網絡192. 168. 1. 0/24訪問服務器Server2o (3) 利用標準訪問控制列表實現只允許計算機PC2能訪問服務器Serverlo 知識點鏈接： 1. 配置標準編號訪問控制列表 1) 定義標準編號訪問控制列表 定義標準編號訪問控制列表在全局模式下，配置命令如下。 Router (config) #access-l ist 編號 permit I deny 源地址 通配屏蔽碼 其中，編

6、號的取值范圍為1?99之間整數值。 permit I deny表示允許還是拒絕滿足條件的數據包通過。 源地址是某一計算機地址或一組地址，使用通配屏蔽碼對源地址進行匹配檢查。 2) 應用標準編號訪問控制列表 在端曰(Vian)模式下，應用命令如下。 Router (conf ig-if) #ip access-group 編號 in I out 其中，編號指的是前面定義的訪問控制列表的編號，in與out表示應用的方向。 3) 顯示標準編號訪問控制列表 配置完標準編號訪問控制列表后，要查看是否正確，可使用如下命令顯示。 Routerttshow access-lists 〃顯示所

7、有訪問控制列表 Routerttshow access-lists編號 〃顯示某一編號訪問控制列表 4) 刪除標準編號訪問控制列表 刪除標準編號訪問控制列表有兩種方法，刪除某一編號訪問控制列表和刪除某一訪問控制列表 在端口上的應用。 (1) 刪除某一編號訪問控制列表命令。 Router (config) #no access-list 編號 使用該命令可以刪除此編號訪問控制列表中的所有語句。 (2) 刪除某一訪問控制列表在端口上的應用命令。 Router (conf ig~if) #no ip access-group 編號 in I out 刪除訪問控制列表在端口上的應

8、用，不會刪除訪問控制列表，只會刪除與端口的關聯(lián)。 2. 配置標準命名訪問控制列表 標準命名訪問控制列表的配置過程也分為兩步，定義標準命名訪問控制列表和應用標準命名訪 問控制列表。 1) 定義標準命名訪問控制列表命令 Router (config) #ip access-list standard 名稱 Router (conf ig-std-nacl) ttpermi t I deny 源地址 通配屏蔽碼 其中，名稱指訪問控制列表的名稱，由字符串組成，但不能出現空格。 2) 應用標準命名訪問控制列表命令 應用方法與標準編號訪問控制列表相同，在此不再贅述。 3) 顯示標準命名

9、訪問控制列表 Switchttshow access-lists 名稱 注意：編號訪問控制列表只要在端口上應用了，就不可以再添加、刪除控制語句了，只能刪除 整個訪問控制列表。而命名訪問控制列表可以隨意添加和刪除控制語句，而無須刪除整個訪問控制 列表。 訪問控制列表可以在路由器上配置，也可以在三層交換機上配置，方法完全一樣。 任務分析： (1) 在路由器RA上配置標準編號訪問控制列表，拒絕網絡192. 168. 1.0/24訪問服務器Server2, 并在F0/0端口 out方向上應用。 (2) 在三層交換機上配置標準命名訪問控制列表，允許計算機PC2訪問服務器Server 1

10、,拒絕 其他任何計算機訪問，并在Vian 20的out方向上應用。 任務實施： 1) 繪制拓撲結構 繪制如圖9-1所示的拓撲結構，配置計算機的IP地址與網關。 2) 設置IP地址，配置0PSF路由 在三層交換機SWA上創(chuàng)建Vian,設置IP地址，配置OPSF路由。 3) 配置路由器RA的端口與OPSF路由 4) 連通測試 計算機PCI、PC2、Serverl和Server2之間能夠連通。 5) 拒絕網絡訪問服務器 6) 允許計算機訪問服務器 7) 故障診斷 如果沒有達到拒絕或允許數據包通過的目的，則可能是訪問控制列表語句錯誤，或應用位置、 方向錯誤。 任務二：擴

11、展訪問控制列表 拓撲結構：擴展訪問控制列表拓撲結構如圖9-7所示。 , PC-PT PC2 Server-PT Serverl PC-PT PC1 3560-24PS 2621XM RA Server-PT Servwe2 圖9-7擴展訪問控制列表拓撲結構 所需設備：與任務一相同。 規(guī)劃IP地址：與任務一相同。 設備連線：與任務一相同。 任務要求: (1)在三層交換機和路由器上配置OPSF路由，實現網絡連通。 (2)配置擴展訪問控制列表禁止網絡192. 168. 1.0/24訪問服務器Server2 ±的WWW服務。 (3) 配置名稱為deny_ho

12、st的擴展訪問控制列表禁止IP地址為192. 168. 4. 1/24的計算機使用 ping 命令 ping 服務器 Serverl o 知識點鏈接：擴展命名訪問控制列表的配置 擴展命名訪問控制列表的配置也分為兩步，定義訪問控制列表和應用訪問控制列表。 1) 定義擴展命名訪問控制列表 命令格式如下: Switch (config) #ip access-list extended 規(guī)則名稱 Switch (config-ext-nac 1)#permit I deny協(xié)議源地址通配屏蔽碼操作符源端口號目的 地址通配屏蔽碼操作符目的端口號 其中，名稱是指訪問控制列表的名稱。其他

13、參數與擴展編號訪問控制列表命令中的一樣，在此 不再贅述。 例3：在三層交換機上配置訪問控制列表拒絕網絡172. 16. 3. 0/24訪問IP地址為172. 16. 4.1/24 的服務器上的WEB服務。 Switch (config)#ip access-list extended no_enter_80 Switch(config-ext-nacl)#deny tcp 172.16.3.0 0.0.0.255 host 172.16.4.1 eq www Switch(config-ext-nacl)^permit ip any any 2) 應用擴展命名訪問控制列表 應用

14、擴展命名訪問控制列表與應用標準訪問控制列表的方法相同。 任務分析： （1） 配置擴展訪問控制列表禁止網絡192. 168. 1. 0/24訪問服務器Server2上的WWW服務。 定義編號為101的擴展訪問控制列表的第一條語句，動作為deny,協(xié)議為tcp,源地址為 192.168.1.0/24,目地址為192.168. 5.1,目的端口號為80；第二條語句配置任何計算機可以訪問 任何計算機。 （2） 配置名稱為deny_host的擴展訪問控制列表禁止IP地址為192. 168. 4. 1/24的計算機使用 ping 命令 ping 服務器 Serverlo 定義擴展訪問控制

15、列表的第一條語句，拒絕協(xié)議為icmp、源地址為192. 168. 4. 1＞目地址為 192. 168.2. K訪問7端口（助記符為echo）的數據包通過，第二條語句配置任何計算機可以訪問 任何計算機。 任務實施： 1） 全網連通 參照任務一任務實施中的第1步~第6步進行配置，使全網連通。 2） 禁止訪問服務器 禁止網絡192. 168. 1. 0/24訪問服務器Server2上的WWW服務。 （3） 在三層交換機上配置編號訪問控制列表。 （4） 測試。再次在計算機PC1的瀏覽器中輸入網址http://192.168. 5.1,點擊“前往”按鈕, 網頁顯示請求超時。在PC2

16、中測試，是正常的，說明擴展訪問控制列表配置起作用了。 3） 禁止ping服務器 禁止IP地址為192. 168. 4. 1/24的計算機使用ping命令ping服務器Serverlo （1） 在路由器上配置命名擴展訪問控制列表。 （2） 在計算機PC2中ping服務器Server 1的IP地址，此時顯示數據包無法到達，而其他計算 機依然可以ping通。 4） 故障診斷 如果沒有達到拒絕或允許數據包的目的，則可能是訪問控制列表語句錯誤，或應用的位置、方 向 任務三：基于時間的訪問控制列表 拓撲結構：基于時間的訪問控制列表拓撲結構如圖9-12所示。 PC-PT PC-PT

17、 PCA PCB 圖9-12基于時間的訪問控制列表拓撲結構 所需設備：三層交換機（型號3560） 一臺、計算機兩臺、服務器一臺、直通線三根。 規(guī)劃IP地址： 計算機 PCA 的 IP 地址：172. 16. 1. 1/24,網關：172. 16. 1.254。 計算機 PCB 的 IP 地址：172. 16. 2. 1/24,網關：172. 16. 2. 254。 服務器 Server 的 IP 地址：172. 16. 3. 1/24,網關：172. 16. 3. 254。 SWE： Vian 10 的 IP 地址：172. 16. 1. 254/24。Vian 20 的

18、 IP 地址：172. 16. 2. 254/24。 Vian 30 的 IP 地址：172. 16. 3. 254/24。 設備連線： 計算機PCA的f0端口一交換機SWE的fO/1,計算機PCB的f0端口一交換機SWE的fO/11。 服務器Server的f0端口一交換機SWE的gO/1端口。 任務要求： (1) 配置標準訪問控制列表，實現2020年5月1日至2021年5月1日之間的時間只有網絡 172. 16. 1. 0/24可以訪問服務器Servero (2) 配置擴展訪問控制列表，實現網絡172. 16. 2. 0/24在周一至周五每天8:00-17:00不能訪 問服

19、務器Server的FTP服務。 知識點鏈接： 2.配置基于時間的訪問控制列表 配置基于時間的訪問控制列表分為兩步：第一步是定義時間范圍，第二步是關聯(lián)時間范圍。 1)定義時間范圍 時間范圍是一段絕對時間或一段周期性的時間，配置命令如下。 Router (config) #t ime-range 名稱 其中，time-range 定義時間范圍的命令，名稱指時間范圍的名稱，可以是1?32個字符，中 間不能有空格，用來標識時間范圍，以便在訪問控制列表的語句上關聯(lián)。 例如，定義一個名稱為noftp的時間范圍。 Router (config)#time-range noftp 定義好

20、時間范圍后，就進入了時間范圍模式，在該模式下，使用absolute命令設置絕對時間范 圍；使用periodic命令設置以星期為周期的時間范圍。 (1)設置絕對時間范圍。 absolute命令用來設置一段絕對時間的范圍，其后一般接start和end兩個關鍵字，在兩個關 鍵字后的時間以24小時制的時間hh:mm (小時：分鐘)表示，日期按照“XX月XX日XXXX年”的格 式表示，注意月份使用英文的全稱，時間范圍模式下，配置命令如下。 Switch (config-time-range) ttabsolute start 開始時間 end 結束時間 例1： 一個訪問控制列表從2020年

21、5月1日上午8點開始起作用，一直到2020年10月10日 23點停止起作用。 Switch(config-time-range)ttabsolute start 8:00 1 May 2020 end 23:00 10 October 2020 在配置時，start和end關鍵字也可以都省略。如果省略start及其后面的時間，表示與之關 聯(lián)的控制語句立即生效，并一直作用到end后面的時間為止；若省略end及其后面的時間，表示與 之關聯(lián)的控制語句在start后面的時間開始生效，并一直持續(xù)。 例2：從當天17:00開始生效直到永遠。 Switch(config-time-range

22、)#absolute start 17:00 例3：從配置開始生效，一直到2022年5月8日8時。 Switch(config-time-range)ttabsolute end 8:00 8 May 2022 例4：每天上午8點到晚上6點開始起作用。 Switch(config-time-range)^absolute start 8:00 end 18:00 (2)設置周期性時間范圍。 periodic設置以星期為周期的時間范圍。它的主要參數如表9-3所示，可以是其中的一個或多 個。 2)關聯(lián)時間范圍 時間范圍定義好后，必須關聯(lián)訪問控制列表語句才能生效，需要在訪問控制列表

23、語句的最后關 聯(lián)。 例如網絡172. 16.0.0/24中的計算機不能在每周一 9:00至周五17:00訪問網絡 172. 16. 11.0/24o Router (config)甘time-range monfr i _no_ac cess Router (config-time-range)ttperiodic weekday 9:00 to 17:00 Router (config) #access-l i st 101 deny ip 172. 16. 0. 0 0. 0. 0. 255 172. 16. 11.0 0. 0. 0. 255 time-range mon

24、fri noaccess Router (config)#access-list 101 permit ip any any 任務分析： (1) 配置標準訪問控制列表與絕對時間范圍，實現2020年5月1日至2021年5月1日之間的 時間只有網絡172. 16. 1. 0/24可以訪問服務器Servero (2) 配置擴展訪問控制列表與周期性時間范圍，實現使網絡172. 16. 2. 0/24在周一至周五每天 8:00-17:00不能訪問服務器Server的FTP服務。 任務實施： 1) 繪制拓撲結構 繪制如圖9-12所示的拓撲結構。 2) 配置各計算機的IP地址與網關 計

25、算機 PCA 的 IP 地址:172. 16. 1. 1/24 網關：172. 16. 1. 254 計算機 PCB 的 IP 地址:172. 16. 2. 1/24 網關：172. 16. 2. 254 3) 配置交換機SWE (1) 在交換機SWE上創(chuàng)建Vian,設置IP地址。 (2) 配置交換機的時鐘。 4) 測試，此時全網連通 5) 配置基于時間的訪問控制列表 (1)配置標準訪問控制列表與絕對時間范圍。 6）測試 （1） 網絡172. 16. 1.0/24在2020年5月1日至2021年5月1日之間的時間可以訪問服務器 Servero 從PC1中ping服務器S

26、erver,不通。因為時間不在2020年5月1日至2021年5月1日之間。 將交換機的時鐘配置為2020年5月1日至2021年5月1日之間。 Switchttclock set 21:10:09 May 22 2020 再次測試，可以連通。 （2） 網絡172. 16. 2. 0/24在周一至周五每天8:00-17:00不能訪問服務器Server的網站。 同樣的方法，將交換機的時間調整為周一至周五每天8:00-17:00之外，從PC2中訪問Server 的FTP服務，無法訪問。將交換機的時間調整為周一至周五每天8:00-17:00之間，從PC2中訪問 Server的FTP服務可以

27、訪問。 【項目小結】 本任務主要學習了： 1） 能夠完成標準、擴展訪問控制列表的配置。 2） 能夠完成基于時間的訪問控制列表的配置。 任務評價表 學生： 級 班 星期 日期 項目名稱 項目九訪問控制列表 組長 評價內容 主要評價標準 分數 小組評價 教師評價 任務一 標準訪問控制列表配置正確 40分 任務二 擴展訪問控制列表配置正確 40分 任務三 基于時間的訪問控制列表配置正確 20分 總分 合計 項目總結 （心得體會） 說明：（1）從設備選擇、設備連線、設備配置、連通測試等方面對任務進行評價。 （2）滿分100分，總分二組長評價x40%+教師評價x60%o