數(shù)據(jù)通信網(wǎng)絡技術(shù) 教案9 訪問控制列表

項目九訪問控制列表【教學目標】1. 知識目標：（1）理解訪問控制列表的概念、分類、技術(shù)原理。（2）掌握訪問控制列表的匹配過程。（3）掌握標準、擴展訪問控制列表的配置方法及應用原則。（4）理解基于時間的訪問控制列表的概念。2. 技能目標：（1）能夠完成標準、擴展訪問控制列表的配置。（2）能夠完成基于時間的訪問控制列表的配置。3. 素養(yǎng)目標（1）培養(yǎng)溝通交流及團隊合作意識（2）養(yǎng)成規(guī)范操作的職業(yè)習慣（3）培養(yǎng)精益求精的工匠精神【教學重點】標準、擴展訪問控制列表的配置【教學難點】基于時間的訪問控制列表【教學方法】項目教學法、啟發(fā)式教學法、自主探究、合作探究?！緦胄抡n】企業(yè)網(wǎng)絡在運行過程中，會面臨網(wǎng)內(nèi)、網(wǎng)外的很多攻擊，如病毒攻擊、惡意訪問等，如何解決呢？通過在三層交換機或路由器上配置訪問控制列表過濾數(shù)據(jù)包，不但能夠有效抵御這些攻擊，而且能夠控制訪問流量、提高網(wǎng)絡性能，具體如何配置，我們本次課來學習?！窘虒W過程】任務一：標準訪問控制列表拓撲結(jié)構(gòu)：標準訪問控制列表拓撲結(jié)構(gòu)如圖9-1所示。Server-PTServerlServer-PTServer2圖9-1標準訪問控制列表拓撲結(jié)構(gòu)所需設備：三層交換機（型號3560） 一臺、路由器（型號2621） 一臺、計算機兩臺、服務器兩臺、直通線三根、交叉線兩根。規(guī)劃IP地址：計算機 PC1 的 IP 地址：192. 168. 1. 1/24,網(wǎng)關(guān)：192. 168. 1.254O服務器 Server 1 的 IP 地址:192. 168. 2. 1/24,網(wǎng)關(guān)：192. 168. 2. 254。計算機 PC2 的 IP 地址：192. 168.4. 1/24,網(wǎng)關(guān)：192. 168. 4. 254。服務器 Server2 的 IP 地址：192. 168. 5. 1/24,網(wǎng)關(guān)：192. 168. 5. 254。交換機 SWA： Vian 10 的 IP 地址：192. 168. 1. 254/24。Vian 20 的 IP 地址：192. 168. 2. 254/24。Vian 30 的 IP 地址：192. 168. 3. 1/24。路由器 RA： fl/0 的 IP 地址：192. 168. 3. 2/24。f0/0 的 IP 地址：192. 168. 4. 254/24。fO/1 的 IP 地址:192. 168. 5. 254/24o設備連線：計算機PCI-交換機SWA的fO/1端口，服務器Serverl一交換機SWA的fO/2端口。計算機PC2路由器RA的f0/0端口，服務器Server2一交換機RA的fO/1端口。交換機SWA的fO/24端口一路由器RA的fl/0端口。任務要求：(1) 在三層交換機和路由器上配置OPSF路由，實現(xiàn)網(wǎng)絡連通。(2) 利用標準訪問控制列表拒絕網(wǎng)絡192. 168. 1. 0/24訪問服務器Server2o(3) 利用標準訪問控制列表實現(xiàn)只允許計算機PC2能訪問服務器Serverlo知識點鏈接：1. 配置標準編號訪問控制列表1) 定義標準編號訪問控制列表定義標準編號訪問控制列表在全局模式下，配置命令如下。Router (config) #access-l ist 編號 permit I deny 源地址 通配屏蔽碼其中，編號的取值范圍為199之間整數(shù)值。permit I deny表示允許還是拒絕滿足條件的數(shù)據(jù)包通過。源地址是某一計算機地址或一組地址，使用通配屏蔽碼對源地址進行匹配檢查。2) 應用標準編號訪問控制列表在端曰(Vian)模式下，應用命令如下。Router (conf ig-if) #ip access-group 編號 in I out其中，編號指的是前面定義的訪問控制列表的編號，in與out表示應用的方向。3) 顯示標準編號訪問控制列表配置完標準編號訪問控制列表后，要查看是否正確，可使用如下命令顯示。Routerttshow access-lists顯示所有訪問控制列表Routerttshow access-lists編號 顯示某一編號訪問控制列表4) 刪除標準編號訪問控制列表刪除標準編號訪問控制列表有兩種方法，刪除某一編號訪問控制列表和刪除某一訪問控制列表在端口上的應用。(1) 刪除某一編號訪問控制列表命令。Router (config) #no access-list 編號使用該命令可以刪除此編號訪問控制列表中的所有語句。(2) 刪除某一訪問控制列表在端口上的應用命令。Router (conf igif) #no ip access-group 編號 in I out刪除訪問控制列表在端口上的應用，不會刪除訪問控制列表，只會刪除與端口的關(guān)聯(lián)。2. 配置標準命名訪問控制列表標準命名訪問控制列表的配置過程也分為兩步，定義標準命名訪問控制列表和應用標準命名訪問控制列表。1) 定義標準命名訪問控制列表命令Router (config) #ip access-list standard 名稱Router (conf ig-std-nacl) ttpermi t I deny 源地址 通配屏蔽碼其中，名稱指訪問控制列表的名稱，由字符串組成，但不能出現(xiàn)空格。2) 應用標準命名訪問控制列表命令應用方法與標準編號訪問控制列表相同，在此不再贅述。3) 顯示標準命名訪問控制列表Switchttshow access-lists 名稱注意：編號訪問控制列表只要在端口上應用了，就不可以再添加、刪除控制語句了，只能刪除整個訪問控制列表。而命名訪問控制列表可以隨意添加和刪除控制語句，而無須刪除整個訪問控制列表。訪問控制列表可以在路由器上配置，也可以在三層交換機上配置，方法完全一樣。任務分析：(1) 在路由器RA上配置標準編號訪問控制列表，拒絕網(wǎng)絡192. 168. 1.0/24訪問服務器Server2,并在F0/0端口 out方向上應用。(2) 在三層交換機上配置標準命名訪問控制列表，允許計算機PC2訪問服務器Server 1,拒絕其他任何計算機訪問，并在Vian 20的out方向上應用。任務實施：1) 繪制拓撲結(jié)構(gòu)繪制如圖9-1所示的拓撲結(jié)構(gòu)，配置計算機的IP地址與網(wǎng)關(guān)。2) 設置IP地址，配置0PSF路由在三層交換機SWA上創(chuàng)建Vian,設置IP地址，配置OPSF路由。3) 配置路由器RA的端口與OPSF路由4) 連通測試計算機PCI、PC2、Serverl和Server2之間能夠連通。5) 拒絕網(wǎng)絡訪問服務器6) 允許計算機訪問服務器7) 故障診斷如果沒有達到拒絕或允許數(shù)據(jù)包通過的目的，則可能是訪問控制列表語句錯誤，或應用位置、方向錯誤。任務二：擴展訪問控制列表拓撲結(jié)構(gòu)：擴展訪問控制列表拓撲結(jié)構(gòu)如圖9-7所示。, PC-PTPC2Server-PTServerlPC-PTPC13560-24PS2621XMRAServer-PTServwe2圖9-7擴展訪問控制列表拓撲結(jié)構(gòu)所需設備：與任務一相同。規(guī)劃IP地址：與任務一相同。設備連線：與任務一相同。任務要求:(1)在三層交換機和路由器上配置OPSF路由，實現(xiàn)網(wǎng)絡連通。(2)配置擴展訪問控制列表禁止網(wǎng)絡192. 168. 1.0/24訪問服務器Server2 ±的WWW服務。(3) 配置名稱為deny_host的擴展訪問控制列表禁止IP地址為192. 168. 4. 1/24的計算機使用ping 命令 ping 服務器 Serverl o知識點鏈接：擴展命名訪問控制列表的配置擴展命名訪問控制列表的配置也分為兩步，定義訪問控制列表和應用訪問控制列表。1) 定義擴展命名訪問控制列表命令格式如下:Switch (config) #ip access-list extended 規(guī)則名稱Switch (config-ext-nac 1)#permit I deny協(xié)議源地址通配屏蔽碼操作符源端口號目的地址通配屏蔽碼操作符目的端口號其中，名稱是指訪問控制列表的名稱。其他參數(shù)與擴展編號訪問控制列表命令中的一樣，在此不再贅述。例3：在三層交換機上配置訪問控制列表拒絕網(wǎng)絡172. 16. 3. 0/24訪問IP地址為172. 16. 4.1/24的服務器上的WEB服務。Switch (config)#ip access-list extended no_enter_80Switch(config-ext-nacl)#deny tcp 172.16.3.0 0.0.0.255 host 172.16.4.1 eq wwwSwitch(config-ext-nacl)permit ip any any2) 應用擴展命名訪問控制列表應用擴展命名訪問控制列表與應用標準訪問控制列表的方法相同。任務分析：（1）配置擴展訪問控制列表禁止網(wǎng)絡192. 168. 1. 0/24訪問服務器Server2上的WWW服務。定義編號為101的擴展訪問控制列表的第一條語句，動作為deny,協(xié)議為tcp,源地址為192.168.1.0/24,目地址為192.168. 5.1,目的端口號為80；第二條語句配置任何計算機可以訪問任何計算機。（2）配置名稱為deny_host的擴展訪問控制列表禁止IP地址為192. 168. 4. 1/24的計算機使用ping 命令 ping 服務器 Serverlo定義擴展訪問控制列表的第一條語句，拒絕協(xié)議為icmp、源地址為192. 168. 4. 1目地址為192. 168.2. K訪問7端口（助記符為echo）的數(shù)據(jù)包通過，第二條語句配置任何計算機可以訪問任何計算機。任務實施：1）全網(wǎng)連通參照任務一任務實施中的第1步第6步進行配置，使全網(wǎng)連通。2）禁止訪問服務器禁止網(wǎng)絡192. 168. 1. 0/24訪問服務器Server2上的WWW服務。（3）在三層交換機上配置編號訪問控制列表。（4）測試。再次在計算機PC1的瀏覽器中輸入網(wǎng)址http:/192.168. 5.1,點擊“前往”按鈕,網(wǎng)頁顯示請求超時。在PC2中測試，是正常的，說明擴展訪問控制列表配置起作用了。3）禁止ping服務器禁止IP地址為192. 168. 4. 1/24的計算機使用ping命令ping服務器Serverlo（1）在路由器上配置命名擴展訪問控制列表。（2）在計算機PC2中ping服務器Server 1的IP地址，此時顯示數(shù)據(jù)包無法到達，而其他計算機依然可以ping通。4）故障診斷如果沒有達到拒絕或允許數(shù)據(jù)包的目的，則可能是訪問控制列表語句錯誤，或應用的位置、方向任務三：基于時間的訪問控制列表拓撲結(jié)構(gòu)：基于時間的訪問控制列表拓撲結(jié)構(gòu)如圖9-12所示。PC-PTPC-PTPCAPCB圖9-12基于時間的訪問控制列表拓撲結(jié)構(gòu)所需設備：三層交換機（型號3560） 一臺、計算機兩臺、服務器一臺、直通線三根。規(guī)劃IP地址：計算機 PCA 的 IP 地址：172. 16. 1. 1/24,網(wǎng)關(guān)：172. 16. 1.254。計算機 PCB 的 IP 地址：172. 16. 2. 1/24,網(wǎng)關(guān)：172. 16. 2. 254。服務器 Server 的 IP 地址：172. 16. 3. 1/24,網(wǎng)關(guān)：172. 16. 3. 254。SWE： Vian 10 的 IP 地址：172. 16. 1. 254/24。Vian 20 的 IP 地址：172. 16. 2. 254/24。Vian 30 的 IP 地址：172. 16. 3. 254/24。設備連線：計算機PCA的f0端口一交換機SWE的fO/1,計算機PCB的f0端口一交換機SWE的fO/11。服務器Server的f0端口一交換機SWE的gO/1端口。任務要求：(1) 配置標準訪問控制列表，實現(xiàn)2020年5月1日至2021年5月1日之間的時間只有網(wǎng)絡172. 16. 1. 0/24可以訪問服務器Servero(2) 配置擴展訪問控制列表，實現(xiàn)網(wǎng)絡172. 16. 2. 0/24在周一至周五每天8:00-17:00不能訪問服務器Server的FTP服務。知識點鏈接：2.配置基于時間的訪問控制列表配置基于時間的訪問控制列表分為兩步：第一步是定義時間范圍，第二步是關(guān)聯(lián)時間范圍。1)定義時間范圍時間范圍是一段絕對時間或一段周期性的時間，配置命令如下。Router (config) #t ime-range 名稱其中，time-range 定義時間范圍的命令，名稱指時間范圍的名稱，可以是132個字符，中間不能有空格，用來標識時間范圍，以便在訪問控制列表的語句上關(guān)聯(lián)。例如，定義一個名稱為noftp的時間范圍。Router (config)#time-range noftp定義好時間范圍后，就進入了時間范圍模式，在該模式下，使用absolute命令設置絕對時間范圍；使用periodic命令設置以星期為周期的時間范圍。(1)設置絕對時間范圍。absolute命令用來設置一段絕對時間的范圍，其后一般接start和end兩個關(guān)鍵字，在兩個關(guān)鍵字后的時間以24小時制的時間hh:mm (小時：分鐘)表示，日期按照“XX月XX日XXXX年”的格式表示，注意月份使用英文的全稱，時間范圍模式下，配置命令如下。Switch (config-time-range) ttabsolute start 開始時間 end 結(jié)束時間例1： 一個訪問控制列表從2020年5月1日上午8點開始起作用，一直到2020年10月10日23點停止起作用。Switch(config-time-range)ttabsolute start 8:00 1 May 2020 end 23:00 10 October 2020在配置時，start和end關(guān)鍵字也可以都省略。如果省略start及其后面的時間，表示與之關(guān)聯(lián)的控制語句立即生效，并一直作用到end后面的時間為止；若省略end及其后面的時間，表示與之關(guān)聯(lián)的控制語句在start后面的時間開始生效，并一直持續(xù)。例2：從當天17:00開始生效直到永遠。Switch(config-time-range)#absolute start 17:00例3：從配置開始生效，一直到2022年5月8日8時。Switch(config-time-range)ttabsolute end 8:00 8 May 2022例4：每天上午8點到晚上6點開始起作用。Switch(config-time-range)absolute start 8:00 end 18:00(2)設置周期性時間范圍。periodic設置以星期為周期的時間范圍。它的主要參數(shù)如表9-3所示，可以是其中的一個或多個。2)關(guān)聯(lián)時間范圍時間范圍定義好后，必須關(guān)聯(lián)訪問控制列表語句才能生效，需要在訪問控制列表語句的最后關(guān)聯(lián)。例如網(wǎng)絡172. 16.0.0/24中的計算機不能在每周一 9:00至周五17:00訪問網(wǎng)絡172. 16. 11.0/24oRouter (config)甘time-range monfr i _no_ac cessRouter (config-time-range)ttperiodic weekday 9:00 to 17:00Router (config) #access-l i st 101 deny ip 172. 16. 0. 0 0. 0. 0. 255 172. 16. 11.0 0. 0. 0. 255time-range mon fri noaccessRouter (config)#access-list 101 permit ip any any任務分析：(1) 配置標準訪問控制列表與絕對時間范圍，實現(xiàn)2020年5月1日至2021年5月1日之間的時間只有網(wǎng)絡172. 16. 1. 0/24可以訪問服務器Servero(2) 配置擴展訪問控制列表與周期性時間范圍，實現(xiàn)使網(wǎng)絡172. 16. 2. 0/24在周一至周五每天8:00-17:00不能訪問服務器Server的FTP服務。任務實施：1) 繪制拓撲結(jié)構(gòu)繪制如圖9-12所示的拓撲結(jié)構(gòu)。2) 配置各計算機的IP地址與網(wǎng)關(guān)計算機 PCA 的 IP 地址:172. 16. 1. 1/24 網(wǎng)關(guān)：172. 16. 1. 254計算機 PCB 的 IP 地址:172. 16. 2. 1/24 網(wǎng)關(guān)：172. 16. 2. 2543) 配置交換機SWE(1) 在交換機SWE上創(chuàng)建Vian,設置IP地址。(2) 配置交換機的時鐘。4) 測試，此時全網(wǎng)連通5) 配置基于時間的訪問控制列表(1)配置標準訪問控制列表與絕對時間范圍。6）測試（1）網(wǎng)絡172. 16. 1.0/24在2020年5月1日至2021年5月1日之間的時間可以訪問服務器Servero從PC1中ping服務器Server,不通。因為時間不在2020年5月1日至2021年5月1日之間。將交換機的時鐘配置為2020年5月1日至2021年5月1日之間。Switchttclock set 21:10:09 May 22 2020再次測試，可以連通。（2）網(wǎng)絡172. 16. 2. 0/24在周一至周五每天8:00-17:00不能訪問服務器Server的網(wǎng)站。同樣的方法，將交換機的時間調(diào)整為周一至周五每天8:00-17:00之外，從PC2中訪問Server的FTP服務，無法訪問。將交換機的時間調(diào)整為周一至周五每天8:00-17:00之間，從PC2中訪問Server的FTP服務可以訪問?！卷椖啃〗Y(jié)】本任務主要學習了：1）能夠完成標準、擴展訪問控制列表的配置。2）能夠完成基于時間的訪問控制列表的配置。任務評價表學生：級 班星期日期項目名稱項目九訪問控制列表組長評價內(nèi)容主要評價標準分數(shù)小組評價教師評價任務一標準訪問控制列表配置正確40分任務二擴展訪問控制列表配置正確40分任務三基于時間的訪問控制列表配置正確20分總分合計項目總結(jié)（心得體會）說明：（1）從設備選擇、設備連線、設備配置、連通測試等方面對任務進行評價。（2）滿分100分，總分二組長評價x40%+教師評價x60%o