学习情境 3 内容回顾学习情境 3 内容回顾

交换基础 交换机工作原理 VLAN 技术 VLAN 技术概述 VLAN 的优点 VLAN 划分方法 基于端口 VLAN 划分— Port VLAN 技术 基于标识的 VLAN 划分— Tag VLAN 技术

交换网络中的链路冗余技术 生成树技术 以太网通道聚合技术

VLAN 之间的通信 利用路由器实现 VLAN 间的通信 单臂路由技术 利用三层交换机实现 VLAN 间通信

企业内网安全控制 企业内网安全控制 学习情境 4学习情境 4

复杂

程度

Internet 飞速增长

Internet Email

Web 浏览

Intranet 站点

电子商务 电子政务

电子交易

时间

第一代•引导性病毒第一代•引导性病毒

第二代•宏病毒• DOS•电子邮件•有限的黑

客攻击

第二代•宏病毒• DOS•电子邮件•有限的黑

客攻击

第三代•网络 DOS

攻击•混合威胁

（蠕虫 +病毒 +特洛伊）•广泛的系

统黑客攻击

第三代•网络 DOS

攻击•混合威胁

（蠕虫 +病毒 +特洛伊）•广泛的系

统黑客攻击

下一代•网络基础

设施黑客攻击•瞬间威胁•大规模蠕

虫• DDoS•破坏有效

负载的病毒和蠕虫

下一代•网络基础

设施黑客攻击•瞬间威胁•大规模蠕

虫• DDoS•破坏有效

负载的病毒和蠕虫

波及全球网络基础架构

地区网络

多个网络

单个网络

单台计算机

周

天

分钟

秒影响目标

1980s 1990s 今天 未来

安全事件对我们的威胁越来越快

网络安全的演化网络安全的演化

VLAN

帧中继

北京总部

广州分公司上海分公司

VLAN VLAN VLANVLAN VLAN VLAN

情境三：构建企业交换式局域网

情境四：企业内网安全控制

课程综合项目： Center 公司网络改造项目实施

Internet

情境一：网络设备选型情境一：网络设备选型

课程结构课程结构

情境二：企业内部路由配置情境二：企业内部路由配置

本章目标本章目标

了解网络安全的基础知识 掌握网络互联设备的安全控制保护措施 掌握交换机端口的安全知识 学习访问控制列表技术 区别不同的访问控制列表技术

管理设备控制台安全 管理设备控制台安全

本章结构本章结构

企业内网安全控制企业内网安全控制

网络安全概述网络安全概述

访问控制列表技术 访问控制列表技术

交换机端口安全 交换机端口安全

标准访问控制列表标准访问控制列表

扩展访问控制列表扩展访问控制列表

命名访问控制列表命名访问控制列表

端口安全概述端口安全概述

端口安全配置与维护端口安全配置与维护

任务分解任务分解

配置交换机端口安全1

配置标准访问控制列表访问安全技术2

配置扩展访问控制列表访问安全技术3

任务进度任务进度

配置交换机端口安全1

4.1 网络安全概述4.1 网络安全概述 安全威胁

窃听 、重放 、篡改 、拒绝服务攻击 、行为否认 、电子欺骗 、非授权访问 、传播病毒

网络攻击方法 获取口令 放置木马程序 WWW 的欺骗技术 电子邮件攻击 通过一个节点来攻击其他节点 网络监听 寻找系统漏洞 利用帐号进行攻击 偷取特权

手段多样的网络攻击：手段多样的网络攻击：

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

/病毒 网络蠕虫

针对网络服务器漏洞的攻击

拒绝服务攻击

基于缓冲区溢出的攻击

Act i ve Code与 相关的攻击

与协议弱点相关的攻击

与不完全的密码相关的攻击

网络攻击的防御技术网络攻击的防御技术

身份认证技术 加解密技术边界防护技术 访问控制技术主机加固技术安全审计技术 检测监控技术

4.2 管理设备控制台安全4.2 管理设备控制台安全

对于大多数企业内部网来说，连接网络中各个节点的互联设备，是整个网络规划中最需要重要保护的对象。大多数网络都有一、二个主要的接入点，对这个接入点的破坏，直接造成整个网络瘫痪。如果网络互相设备没有很好的安全防护措施，来自网络内部的攻击或者恶作剧式的破坏，将对网络的打击是最致命的。因此设置恰当的网络设备防护措施是保护网络安全的重要手段之一。

据国外调查显示， 80% 的安全破坏事件都是由薄弱的口令引起的，因此为网络互联设备，配置一个恰当口令，是保护网络不受侵犯最根本保护

保护设备控制台的安全措施 保护设备控制台的安全措施

通过一根配置线缆连接到交换机的配置端口（ Console），另一端连接到配置计算机的串口。通过如下命令，配置登入交换机控制台特权密码

Switch> Switch#configure terminal Switch(config)#line console 0 Switch(config-line)#password mypassword！配置控制台密码

Switch(config)#login ！配置登陆时需要验证密码

配置线缆 配置线缆

仿真终端

RJ45口

F0/1 Console口

Com1口

配置线

测试机

配置交换机的连接模式 配置交换机的连接模式 配置线缆 配置线缆

配置交换机远程登录的安全措施配置交换机远程登录的安全措施

除通过 Console 端口与设备直接相连管理设备之外，用户还可以通过 Telnet 程序和交换机 RJ45 口建立远程连接，以方便管理员对网络设备进行远程管理。 配置交换机远程登录密码过程如下（路由器远程登录密码的配置与之相同）。

Switch> Switch#configure terminal Switch(config)#line vty 0 4 ！开启 Telnet线路 Switch(config-line)#password mypassword ！配置 Telnet登录密码

Switch(config-line)#login ！配置登陆时需要验证密码

4.3 交换机端口安全4.3 交换机端口安全

端口安全概述 大部分网络攻击行为都采用欺骗源 IP 或源MAC地址的方法，对网络的核心设备进行连续的数据包攻击，如典型的 ARP 攻击、MAC 攻击和 DHCP 攻击等。这些针对交换机端口产生的攻击行为，可以通过启用交换机端口安全功能特性加以防范。

FF.FF.FF.FF.FF.FF广播 MAC地址

00.d0.f8. 00.07.3c

前 3 个字节： IEEE 分配给网络设备制造厂商的

后 3 个字节：网络设备制造厂商自行分配的，不重复，生产时写入设备

MAC地址：链路层唯一标识

接入交换机

MAC Port A 1

B 2 C 3

MAC Port A 1

B 2 C 3

MAC地址表：空间有限

MAC 攻击MAC 攻击

攻击：攻击： MAC地址表空间是有限， MAC 攻击会占满交换机地址表 ;

使得单播包在交换机内部也变成广播包 , 向所有端口转发，每个连在端口上客户端都可以收到该报文 ;

交换机变成了一个 Hub ，用户的信息传输也没有安全保障了

攻击：攻击： MAC地址表空间是有限， MAC 攻击会占满交换机地址表 ;

使得单播包在交换机内部也变成广播包 , 向所有端口转发，每个连在端口上客户端都可以收到该报文 ;

交换机变成了一个 Hub ，用户的信息传输也没有安全保障了

MAC 攻击MAC 攻击

端口安全配置方式端口安全配置方式

配置安全地址：当开启交换机端口安全功能并为交换机端口配置安全 MAC地址，则这个端口将不转发除安全源MAC地址外的其他任何数据帧。

配置安全地址数：交换机安全端口不仅可以配置安全 MAC地址，也可以设置安全地址数目，也就是说，一个安全端口可以配置多个安全 MAC地址。

配置安全违例处理方式：当发生安全违规事件时，可以指定不同的处理方式。

配置老化时间和处理方式：可以为安全端口设置老化时间和处理方式，可以清除长时间不活动的安全 MAC地址。

将 IP地址绑定到MAC地址：可以在交换机上将 IP地址绑定到MAC地址，以实现在特定端口上允许特定的 IP终端接入。

端口安全的配置和维护端口安全的配置和维护

配置安全端口的过程包括启用端口安全，设置安全 MAC地址的最大数量、配置安全地址、设置违例发生后的处理方式、配置老化时间和将 MAC地址与 IP地址绑定等。 对于 Cisco 交换机，需要注意的是： Cisco 系列交换机可以做基于 2 层的端口安全，即MA

C地址与端口进行绑定。 Cisco3550 以上交换机均可做基于 2 层和 3 层的端口安全，即MAC地址与端口绑定以及MAC地址与 IP地址绑定。

交换机端口安全功能交换机端口安全功能

交换机的端口安全功能，防止网内部攻击 , 如MAC地址攻击、 ARP 攻击、 IP/MAC 欺骗等。

交换机端口安全的基本功能1 、端口安全地址绑定 , 解决网中 IP地址冲突、 ARP

欺骗例：在学校宿舍网内端口地址绑定，可以解决学生随意更改 IP地址，造成 IP地址冲突，或者学生利用黑客工具，进行 ARP地址欺骗。

2 、限制端口最大连接数 ，控制恶意扩展接入例：学校宿舍网可以防止学生随意购买小型交换机或 HUB 扩展网

络，对网络造成破坏。

配置端口安全 MAC地址 配置端口安全 MAC地址

下面以以 Cisco 交换机为例，来介绍端口安全地址绑定。MAC地址与端口绑定可以实现两种应用：

（ 1）设定一端口只接受第一次连接该端口的计算机 MAC地址，当该端口第一次获得某计算机 MAC地址后，其他计算机接入到此端口所发送的数据帧则认为非法，做丢弃处理。 Switch#config terminal Switch(config)#interface interface-id ！进入端口 Switch(config-if)#switchport mode access ！配置端口为交

换模式 Switch(config-if)#switchport port-security ！打开端口安全模式

Switch(config-if)#switchport port-security violation protect ！设置违例处理

配置端口安全 MAC地址配置端口安全 MAC地址

（ 2）设定一端口只接受某一特定计算机 MAC地址，其他计算机均无法接入到此端口。 Switch#config terminal Switch(config)#interface interface-id Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security violati

on protect // 以上步骤与第一种应用相同 Switch(config-if)#switchport port-security mac-a

ddress mac-address // 将端口绑定到特定的 MAC地址

设置安全端口最大连接数 设置安全端口最大连接数

可以通过 MAC地址来限制端口流量。以下配置允许一接口最多通过 100 个 MAC地址，超过 100时，来自新主机的数据帧将丢失。具体配置如下： Switch#config terminal Switch(config)#interface fastEthernet 0/1 Switch(config)#Switchport mode access Switch(config-if)#switchport port-security maximu

m 100 // 允许通过的最大 MAC地址数目为 100 Switch(config-if)#switchport port-security violation

protect // 当主机 MAC地址数超过 100时，交换机继续工作，但来自新主机的数据帧将丢失

配置安全违例 配置安全违例

当交换机端口配制成安全端口后，以下情况发生时就产生了一个安全违例事件：端口安全地址数已达最大安全数目，这时，如果有一个安全 MAC地址表外的 MAC地址试图访问这个端口。

如果一个站点试图访问这个端口，而这个站点的源MAC地址已被配置为其他的端口的安全地址。

配置安全违例配置安全违例

当安全违例产生时，可以选择多种方式来处理违例： protect ：当 MAC地址的数量达到了这个端口所最大允许的数目，带有未知的源地址的数据帧就会被丢弃，直到删除了足够数量的 MAC地址为止。

restrict ：当安全违例发生时，产生一个 Trap消息并将“安全违规”计数器增加 1 。

shutdown ：一旦违例发生，马上关闭该端口，并且发送Trap消息。安全端口由于违例被关闭后处在 error-disable状态。如要恢复该端口，必须敲入全局命令 errdisable recovery cause psecure-violation ，或者手动的 shutdown然后再 no shutdown恢复该端口。这个是 Cisco 交换机端口安全违例的默认处理方式。

配置安全端口与 IP地址绑定 配置安全端口与 IP地址绑定

MAC地址与 IP地址绑定基本原理是：在交换机内建立MAC地址和 IP地址映射的 ARP 表。端口获得的 IP和MAC地址将匹配该表，不符合则丢弃该端口发送的数据帧。具体实现方法如下： Switch#configure terminal Switch(config)#arp ip地址 mac地址 arpa 如下命令建立 ip地址 1.1.1.1和mac地址 0001.0001.

1111绑定：Switch(config)#arp 1.1.1.1 0001.0001.1111 arpa 

注意：需要将网段内所有 IP 都建立MAC地址映射，没有使用的 IP地址可以与 0000.0000.0000建立映射。否则该绑定对于网段内没有建立映射的 IP地址无效。

配置端口安全老化 配置端口安全老化

当为端口指定最大安全 MAC地址数时，交换机可以不断学习到新MAC地址，并将它添加到该端口的安全 MAC地址表中。这时，安全 MAC地址表中可能会有一些MAC地址长期处于不活动状态。为了保障此端口能够得以充分利用，可以采用设置端口安全老化时间和模式的方式，使系统能够自动删除长时间不活动的 MAC地址，从而减少网络维护的工作量。配置端口安全老化的过程如下： Switch(config)#interface interface_id ！指定欲配置端口安全老化的接口

Switch(config-if)#switchport port-security aging time aging_time

// 为安全端口配置老化时间 Switch(config-if)#switchport port-security aging type {absol

ute|inactivity} // 为安全端口设置老化类型

查看端口安全设置 查看端口安全设置

在完成端口安全相关设置后，可用下列命令查看端口安全配置：

Switch#show port-security ！查看哪些接口启用了端口安全

Switch#show port-security address ！查看安全端口 mac地址绑定关系

实例 4.1 配置交换机端口安全 实例 4.1 配置交换机端口安全 某公司拓扑如图所示，为了防止局域网内部用户的 IP地址冲突，防范内部网络攻击行为，公司要求网络中心管理员为财务部中每一台计算机配置固定 IP地址，并限制只允许局域网内部员工的电脑才可以使用网络，不得随意连接其他主机。此外，公司还需限制业务部的最大连接数目为 20 。

财务部 业务部

PC1192.168.1.1

PC2192.168.1.2

PC3192.168.1.3

F0/1 F0/2

F0/1 F0/2 F0/3

阶段总结阶段总结

网络安全概述 安全威胁 、网络攻击方法 、网络攻击的防御技术

管理设备控制台安全 保护设备控制台的安全措施 、配置交换机远程登录

的安全措施 交换机端口安全

端口安全概述 、端口安全的配置和维护

任务进度任务进度

√√配置交换机端口安全1

配置标准访问控制列表访问安全技术2

ISP

4.4 访问控制列表 (ACL)4.4 访问控制列表 (ACL)

ACL 对经过设备的数据包，根据一定的规则，进行数据包的过滤。

√√

FTP

RG-S2126

RG-S3512G /RG-S4009

RG-NBR1000 Internet

RG-S2126

不同部门所属 VLAN 不同

1 2 2 2 1 1 1 2技术部VLAN20

财务部VLAN10

隔离病毒源

隔离外网病毒

为什么要使用访问列表为什么要使用访问列表

ACL 的功能ACL 的功能

通过灵活地应用访问控制列表，可以把 ACL 作为一种网络控制的有力工具，用来实现以下功能：提供对通讯流量的控制手段。提供网络访问的基本安全手段。在路由器接口处，决定哪种类型的通讯流量被转发，哪种类型的流量被丢弃。

ACL 检查数据包ACL 检查数据包

帧报头 数据包 段 数据

源地址

目的地址

协议

端口号

拒绝 允许

使用 ACL规则来检验数据包

交换机支持的访问控制列表 交换机支持的访问控制列表

交换机支持三种访问控制列表的应用过滤传输： 端口访问控制列表：也称MAC 访问控制列表。对进入二层接口的通信实施访问控制。交换机不支持外出访问的访问控制列表。在三层接口可以应用 IP 访问控制列表和端口访问控制列表。

路由访问控制列表：对 VLAN 之间以及三层接口之间通信实施访问控制。并且可以控制进、出双向通信。

VLAN 访问控制列表：也称 VLAN映射，对所有包实现访问控制。在同一 VLAN 的设备之间，可以采用 VLAN ACL 实施访问控制。 VLAN 访问控制列表的配置与访问控制均基于 IP地址，不支持基于 MAC地址的访问控制。

访问控制列表的类型 访问控制列表的类型

访问控制列表的分类：1 、标准 ACL

2 、扩展 ACL

3 、命名 ACL （标准／扩展）

访问控制列表工作过程 访问控制列表工作过程

可路由吗？

N

路由表选择入口？

接口配置ACL ？

规则允许？

丢弃数据

通知发送端

入 站数据包

选择接口出站

出站

N Y N

Y

Y

Y

N

ACL 配置数据包流程ACL 配置数据包流程

是否匹配测试条件 1 ？

是否匹配测试条件 2 ？

是否匹配最后一个测试条件？

允许

允许

允许

拒绝

拒绝

拒绝

系统隐含拒绝

拒绝

允许

Y

Y

YY

Y

Y N

N

N

配置标准访问控制列表 配置标准访问控制列表

标准 ACL 的工作过程 标准 ACL只检查可以被路由的数据包的源地址，从而允许或拒绝基于网络、子网或主机 IP地址的所有流量通过路由器。

从路由器某一接口进来的数据包经过检查其源地址和协议类型，并且与 ACL条件判断语句相匹配，如果匹配，则执行允许或拒绝。如果该数据包被允许通过，就从路由器的出口转发出去；如果该数据包被拒绝通过，就丢弃它。当网络管理员要允许或阻止来自某一网络的所有通信流量，可以使用标准 ACL 来实现这一目标。

标准访问列表 只根据源 IP地址，进行数据包的过滤。

学生网段学生网段

校领导网段校领导网段

教研网段教研网段

标准列表规则定义

源地址

TCP/UDP 数据IPeg.HDLC

1-99 号列表

IP 标准访问列表 IP 标准访问列表

1 、定义标准 ACLRouter(config)# access-list access-list-number { de

ny | permit } source [source-wildcard]access-list-number: 访问控制列表号，对于标准 A

CL 来说，是一个从 1～ 99 之间的数字 .deny | permit: 如果满足测试条件，则拒绝 /允许从该入口来的通信流量

Source ：数据包的源地址，可以是网络地址或是主机 IP地址

source-wildcard(可选项 ) ：通配符掩码，又称反掩码，用来跟源地址一起决定哪些位需要匹配

0表示检查相应的地址比特 1表示不检查相应的地址比特

0 0 1 1 1 1 1 1

128 64 32 16 8 4 2 1

0 0 0 0 0 0 0 0

0 0 0 0 1 1 1 1

1 1 1 1 1 1 0 0

1 1 1 1 1 1 1 1

反掩码（通配符） 反掩码（通配符）通配符掩码是一个 32 比特位。其中 0表示“检查相应的位”， 1表示“不检查相应的位”。

在 IP子网掩码中，数字 1和 0用来决定是网络，还是主机的 IP 地址。

通配符掩码与子网掩码工作原理是不同的。如表示 172.16.0.0这个网段，使用通配符掩码应为 0.0.255.255。

在通配符掩码用 255.255.255.255表示所有 IP 地址，全为 1说明所有 32 位都不检查，这是可以用 any来取代。

0.0.0.0的通配符掩码则表示所有 32 位都要进行匹配，这样只表示一个 IP 地址，可以用 host表示。

（ 1） access-list 1 deny host 192.168.0.99

（ 2） access-list 2 deny host 192.168.0.99 access-list 2 permit any

（ 3） access-list 3 permit host 192.168.0.99

（ 4） access-list 4 deny 192.168.0.99 0.0.0.255 access-list 4 permit any

（限制所有主机）

（只限制 IP 地址为 192.168.0.99 的主机）（ 除 192.168.0.99 的主机都 deny ）

（限制 192.168.0.0 网络）

2 、应用 ACL到接口Router(config-if)#ip access-group access-lis

t-number { in | out } 其中，参数 in和 out 表示 ACL 作用在接口上的方向，两者都是以路由器作为参照物。如果 in和 out 都没有指定，那么默认为 out

access-list 1 permit 172.16.3.0 0.0.0.255(access-list 1 deny 0.0.0.0 255.255.255.255)interface serial 0ip access-group 1 out

172.16.3.0 172.16.4.0

F0S0

F1

Internet172.17.0.0

IP 标准访问列表配置 IP 标准访问列表配置

只允许 172.16.3.0 网络中的计算机访问互联网络

IP 标准访问列表配置技术IP 标准访问列表配置技术

　阻止 192.168.0.45 主机通过 E0 访问网络，而允许其他的机器访问Router(config)# access-list 1 deny host 192.168.0.45

Router ( config)# access-list 1 permit any

Router ( config)# interface ethernet 0

Router ( config-if)# ip access-group 1 in

实例 4.2 配置标准访问控制列表 实例 4.2 配置标准访问控制列表 拓扑如图所示，要实现网络一和网络二隔离，可以在路由器 R2 上做标准 ACL 技术控制，以实现网络之间的隔离。

网络三192.168.17.0/24

网络一192.168.19.0/24

网络二192.168.16.0/24

PC1 ： 192.168.19.1

PC2 ： 192.168.16.1

F0/0

R2

F0/0S2/0 S2/0

R1

阶段总结阶段总结

ACL简介 访问列表功能 、交换机支持的访问控制列表 、访问

控制列表的类型、访问控制列表工作过程 配置标准访问控制列表

标准 ACL 的工作过程 、配置标准 ACL

任务进度任务进度

√√

√√

配置交换机端口安全1

配置标准访问控制列表访问安全技术2

配置扩展访问控制列表访问安全技术3

配置交换机端口安全1

配置标准访问控制列表访问安全技术2

配置扩展访问控制列表访问安全技术3

配置扩展访问控制列表配置扩展访问控制列表

扩展 ACL 的工作过程

接口是否有 ACL ？

N

丢 弃 数据

Y 是否匹配源地

址？

匹配目的地址？

匹配协议端口？

允许或拒绝？

通 知发 送端

将 数据 包转 发出去

最后一条规则？

至 下一 条规则

Y Y Y

N N N

N Y

拒绝

允许

扩展型访问控制列表扩展型访问控制列表

扩展型访问控制列表（ Extended IP ACL ）在数据包的过滤和控制方面，增加了更多的精细度和灵活性，具有比标准的 ACL更强大数据包检查功能。

扩展 ACL 不仅检查数据包源 IP地址，还检查数据包中目的 IP地址，源端口，目的端口、建立连接和 IP 优先级等特征信息。利用这些选项对数据包特征信息进行匹配 。

扩展访问列表

扩展 ACL可以根据数据包内的源、目的地址，应用服务等进行过滤。

学生网段学生网段 校领导网段校领导网段

邮件邮件 serverserver

WEBserverWEBserver

目的地址

源地址

协议

端口号

100-199 号列表

TCP/UDP 数据IPeg.HDLC

IP 扩展访问列表 IP 扩展访问列表

IP 扩展访问列表的配置IP 扩展访问列表的配置

1 、定义扩展的 ACLRouter(config)#access-list access-list-number {deny|p

ermit} protocol source [source-wildcard destination destination-wildcard] [operator operand] [established]

Access-list-number ：访问控制列表表号，使用一个 100～ 199 之间的数字来标识

Deny| Permit ：如果条件符合就拒绝 /允许后面指定的特定地址的通信流量

Protocol ：用来指定协议类型，如 IP 、 ICMP 、 TCP或 UDP等

Source 或 destination ：数据包的源地址和目的地址，可以是网络地址或主机 IP地址

Source-wildcard| Desstination-wilcard ：应用于源 / 目的地址的反掩码

Operator（可选项）：比较源和目的端口，可用的操作符包括 lt（小于）、 gt( 大于 ) 、 eq（等于）、 neq（不等于）和 range（包括范围）如果操作符位于源地址和源地址反掩码之后，那么它必须匹配源端口。如果操作符位于目的地址和反掩码之后，那么它必须匹配目的端口。 Range操作符需要两个端口号，其他操作符中需要一个端口

Operand（可选项）：指明 TCP 或 UDP 端口的十进制数字或名字（端口号可以从 0到 65535）

Established（可选项）：只针对 TCP协议，如果数据包使用一个已建连接（例如，具有 ACK位组），使可允许TCP 信息通过

2 、将扩展 ACL应用到某一接口 用 access-group 命令把一个已经建立的扩展

ACL应用到某一个接口。 access-group 命令的使用方法与标准 ACL完全一样，这里不再赘述

实例 4.3 配置扩展访问控制列表 实例 4.3 配置扩展访问控制列表

拓扑如图所示，某公司销售部的网络和财务部的网络通过路由器 R1和 R2 相连，对整个网络配置RIPv2动态路由协议，保证网络正常通信。

网络三192.168.17.0/24

销售部192.168.18.0/24

财务部192.168.16.0/24

PC1 ：192.168.18.1

F0/0

R2

F0/0S2/0 S2/0

R1

FTP 服务器：192.168.16.2

WEB 服务器：192.168.16.1

要求在 R2 上配置扩展 ACL ，实现以下 4 个功能：（ 1）允许销售部网络 192.168.18.0 的主机访问 W

WW Server 192.168.16.1 。（ 2）拒绝销售部网络 192.168.18.0 的主机访问 FT

P Server 192.168.16.2 。（ 3）拒绝销售部网络 192.168.18.0 的主机 Telnet路由器 R2 。

命名访问控制列表 命名访问控制列表

命名 ACL 不使用编号而使用字符串来定义规则。在网络管理过程中，随时根据网络变化修改某一条规则，调整用户访问权限。通过字符串组成的名字直观地表示特定 ACL；不受编号 ACL中 100条限制；可以方便的对 ACL进行修改，无需删除重新配置

命名访问控制列表命名访问控制列表

1 、定义命名的 ACL Router(config)#ip access-list {standard|extented}

name Router(congfig-std-nacl)#permit|deny {source {so

urce-wilcard}｜ any} 其中， standard/extended选项是指明该命名 ACL 是标

准 ACL还是扩展 ACL 。 ACL 配置命令中， permit 或 deny操作符用于通知路由器当一个分组满足某一 ACL语句时应执行转发还是丢弃操作。

2 、应用 ACL到接口Router(config-if)#ip access-group name { in | out }

情境分解项目配置企业内网安全情境分解项目配置企业内网安全

拓扑如图所示， Center 公司北京总部四个部门通过交换机统一连接到核心交换机上，总部设有财务、研发、高管、信息中心四个部门，每个部门属于一个 VLAN 。 为了防止企业网出现 ARP 攻击，我们需要在二层交换机上配置端口安全。为了保证财务部的敏感数据的安全性，我们需要在在三层交换机上配置安全策略，只允许高管部可以访问财务部。为了防止连接外网的出口路由器出现 DoS 拒绝服务攻击，我们需要在出口路由器上配置扩展 ACL ，不允许外网用户 ping出口路由器。

情境分解项目拓扑图情境分解项目拓扑图

PC1172.16.10.2/24

GW:172.16.10.1VLAN10财务部

BJ-RS-1 BJ-RS-2

BJ-R-1

SH-R-1

BJ-S-4BJ-S-3

F0/15 F0/15

E0/0 E0/1

E0/2

E0/2

F0/6 F0/6

F0/6F0/6

E0/0

Internet

F0/3 F0/4

10.10.10.2/24

10.10.10.1/24

10.10.20.2/24

200.200.100.1/24

10.10.20.1/24200.200.100.2/24

F0/3 F0/4

PC2172.16.20.2/24

GW:172.16.20.1VLAN20研发部

PC3172.16.30.2/24

GW:172.16.30.1VLAN20高管部

Web 服务器172.16.127.2/24

GW:172.16.127.1VLAN127信息中心

PC5172.18.10.2/24

GW:172.18.10.1

172.18.10.1/24

阶段总结阶段总结

配置扩展访问控制列表 扩展 ACL 的工作过程、配置扩展 ACL

命名访问控制列表

任务进度任务进度

√√

√√√√

配置交换机端口安全1

配置标准访问控制列表访问安全技术2

配置扩展访问控制列表访问安全技术3

管理设备控制台安全 管理设备控制台安全

本章结构本章结构

企业内网安全控制企业内网安全控制

网络安全概述网络安全概述

访问控制列表技术 访问控制列表技术

交换机端口安全 交换机端口安全

标准访问控制列表标准访问控制列表

扩展访问控制列表扩展访问控制列表

命名访问控制列表命名访问控制列表

端口安全概述端口安全概述

端口安全配置与维护端口安全配置与维护