《網絡安全與管理》

為什么學

目錄

CONTENTS1234怎樣學參考資料學什么網絡安全人才缺口高安全崗位選擇多安全職位薪酬福利高安全崗位發展前景好沒有網絡安全就沒有國家安全！本課程主要帶領大家一起學習如何運用網絡安全技術來保障網絡安全為什么學課程導入基本ACL的規劃配置擴展ACL的規劃配置基本NAT的規劃配置AAA的規劃配置PPP的規劃配置鏈路聚合及其應用VRRP及其應用DHCP技術及應用NAPT的規劃配置GRE的規劃配置教學內容IPSEC的規劃配置崗位工作任務需要的技術能力鏈路聚合及VRRP的規劃部署實施能力、職業能力管理與維護網絡安全學什么DHCP的規劃部署實施能力根據安全需求進行認證規劃配置的能力根據需求進行地址轉換的規劃配置能力根據安全需求進行訪問控制的能力使用VPN技術加固網絡的能力理解理論的基礎上反復實踐，舉一反三認真完成每個實訓項目、課后作業或主題討論等完成所有線上資源的學習遇到問題在課程答疑中提出如何學教材《網絡安全與管理項目教程》(微課版)，申巧俐、陳良維等編寫智慧MOOC參考資料謝謝觀看！《網絡安全與管理》學習目標理解訪問控制列表（ACL）的基本原理和基本作用掌握訪問控制列表（ACL）的分類及其配置1訪問控制列表1.1需求導入1.2ACL基本原理1.3基本ACL和擴展ACL1.4ACL典型應用2

項目小結1.1項目需求導入-11.1項目需求導入-2作為公司網絡管理員，當公司領導提出下列要求時你該怎么辦？為了提高工作效率，不允許員工上班時間進行QQ聊天、MSN聊天等，但需要保證正常的訪問Internet，以便查找資料了解客戶及市場信息等。公司有一臺服務器對外提供有關本公司的信息服務，允許公網用戶訪問，但為了內部網絡的安全，不允許公網用戶訪問除信息服務器之外的任何內網節點。1.2ACL基本原理ACL基本概念訪問控制列表ACL（AccessControlList）是由一系列規則組成的集合，ACL通過這些規則對報文進行分類，從而使設備可以對不同類報文進行不同的處理。一個ACL通常由若干條“deny｜permit”語句組成，每條語句就是該ACL的一條規則，每條語句中的“deny｜permit”就是與這條規則相對應的處理動作：“permit”的含義是“允許”“deny”的含義是“拒絕”1.2ACL基本原理1.2ACL基本原理訪問控制列表（ACL）讀取第三層、第四層包頭信息根據預先定義好的規則對包進行過濾IP報頭TCP報頭數據源地址目的地址源端口目的端口訪問控制列表利用這4個元素定義的規則151.2ACL基本原理ACL規則ACL負責管理用戶配置的所有規則，并提供報文匹配規則的算法。ACL規則管理基本思想如下：每個ACL作為一個規則組，一般可以包含多個規則ACL中的每一條規則通過規則ID（rule-id）來標識，規則ID可以自行設置，也可以由系統根據步長自動生成，即設備會在創建ACL的過程中自動為每一條規則分配一個ID默認情況下，ACL中的所有規則均按照規則ID從小到大的順序與規則進行匹配規則ID之間會留下一定的間隔。如果不指定規則ID時，具體間隔大小由“ACL的步長”來設定1.2ACL基本原理ACL規則匹配（1）配置了ACL的設備在接收到一個報文之后，會將該報文與ACL中的規則逐條進行匹配；（2）如果不能匹配上當前這條規則，則會繼續嘗試去匹配下一條規則；（3）一旦報文匹配上了某條規則，則會對該報文執行這條規則中定義的處理動作（permit或deny），并且不再繼續嘗試與后續規則進行匹配；（4）如果報文不能匹配上ACL的任何一條規則，則設備會對該報文執行“permit”這個處理動作。允許允許允許允許到達訪問控制組接口的數據包匹配第一條目的接口隱含的允許轉發YYYYYYNNN匹配下一條拒絕拒絕拒絕匹配下一條丟棄1.2ACL基本原理ACL分類根據ACL所具備的特性不同，可將ACL分成不同類型，如：基本ACL、高級ACL、二層ACL、用戶自定義ACL，其中應用最廣泛的是基本ACL和高級ACL。各種類型ACL區別，如表所示。ACL類型編號范圍規則制訂的主要依據基本ACL2000～2999報文源IP地址等信息。高級ACL3000～3999報文源IP地址、目的IP地址、報文優先級、IP承載的協議類型及特性等三、四層信息。二層ACL4000～4999報文的源MAC地址、目的MAC地址、802.1p優先級、鏈路層協議類型等二層信息用戶自定義ACL5000～5999用戶自定義報文的偏移位置和偏移量、從報文中提取出相關內容等信息ACL是一種應用非常廣泛的網絡安全技術，配置ACL網絡設備的工作過程可分為以下兩個步驟：根據事先設定好的報文匹配規則對經過該設備的報文進行匹配對匹配的報文執行事先設定好的處理動作1.2ACL基本原理1.3基本ACL和擴展ACL基本ACL命令格式基本ACL只能基于IP報文的源IP地址、報文分片標記和時間段信息來定義規則。配置基本ACL規則命令具有如下結構：rule[rule-id]{permit|deny}[source{source-addresssource-wildcard｜any}fragment|logging|time-range

time-name]1.3基本ACL和擴展ACL案例1-1基本ACL配置案例背景與要求：某公司網絡含外來人員辦公區、項目部辦工區和財務部辦公區。在外來人員辦公區中，有一臺專供外來人員使用的計算機PC2，IP地址為/24。出于網絡安全考慮，需禁止財務部辦公區接收PC2發送的IP報文A。為滿足此需求，可在路由器R1上配置基本ACL。基本ACL可根據源IP地址信息識別PC2發送的IP報文A，在GE0/0/3接口的出方向（Outbound方向）上拒絕放行IP報文A。1.3基本ACL和擴展ACL案例配置過程配置路由器R1[R1]acl2000//創建一個編號為2000的基本ACL[R1-acl-basic-2000]ruledenysource//在ACL2000視圖下創建如下的規則[R1-acl-basic-2000]quit[R1]interfacegigabitethernet0/0/3[R1-GigabitEthernet0/0/3]traffic-filteroutboundacl2000//使用報文過濾技術中traffic-filter命令將ACL2000應用在路由器R1的GE0/0/3接口出方向

你是一個公司的網絡管理員，公司的經理部、財務部門和銷售部門分屬不同的3個網段，三部門之間用路由器進行信息傳遞，為了安全起見，公司領導要求銷售部門不能對財務部門進行訪問，但經理部可以對財務部門進行訪問。

PC1代表經理部的主機，PC2代表銷售部門的主機、PC3代表財務部門的主機。1.3基本ACL和擴展ACL擴展ACL命令格式擴展ACL可以根據IP報文的源IP地址、目的IP地址、協議字段值、優先級值、長度值，TCP報文的源端口號、目的端口號，UDP報文的源端口號、目的端口號等信息來定義規則。基本ACL功能只是擴展ACL功能的一個子集，擴展ACL可比基本ACL定義出更精準、更復雜、更靈活的。針對所有IP報文簡化配置命令格式如下：rule[rule-id]{permit|deny}ip[destination{destination-address

destination-wildcard|any}][source{source-address

source-wildcard|any}]1.3基本ACL和擴展ACL案例1-2擴展ACL的配置案例背景與要求：本配置示例網絡結構與基本ACL網絡結構基本一樣，不同的是，要求PC2無法接收來自財務部辦公區的IP報文B。此情況下，可在路由器R1上配置擴展ACL。擴展ACL可根據目的IP地址信息識別去往目的地為外來人員辦公區的IP報文B，然后在GE0/0/3接口入方向（Inbound方向）上拒絕放行IP報文B。1.3基本ACL和擴展ACL案例配置過程配置路由器R1[R1]acl3000//創建一個編號為2000的基本ACL[R1-acl-adv-3000]ruledenyipdestination

//在ACL3000視圖下創建如下的規則[R1-acl-adv-3000]quit[R1]interfacegigabitethernet0/0/3[R1-GigabitEthernet0/0/3]traffic-filterinboundacl3000//使用報文過濾技術中traffic-filter命令將ACL3000應用在路由器R1的GE0/0/3接口入方向1.4ACL應用場景ACL應用于的主要場合如下過濾鄰居設備間傳遞的路由信息控制交互訪問，以此阻止非法訪問設備的行為，如對Console訪問實施控制為DDR路由定義感興趣流為IPsec-VPN定義感興趣流以多種方式在IOS中實現QOS特性降低如DoSTCPSYN和DoSsmurf攻擊1.4ACL典型應用案例1-3基本ACL配置實例案例背景與要求：Jan公司有網管辦公區、市場部辦公區、項目部辦公區、財務部辦公區和服務器區。出于網絡安全考慮，希望只有網管辦公區PC1才能通過Telnet方式登錄到路由器R1上，其他區域PC不能通過Telnet方式登錄到路由器R1。1.4ACL典型應用規劃配置步驟和思路在路由器R1上創建基本ACL。制定基本ACL規則。在路由器的VTY（VirtualTypeTerminal）上應用所配置的基本ACL。1.4ACL典型應用案例配置過程配置路由器R1可使用displayacl2000命令來查看ACL2000匹配信息<R1>system-view[R1]acl2000//創建一個編號為2000的基本ACL[R1-acl-basic-2000]rulepermitsource0

//配置允許規則[R1-acl-basic-2000]ruledenysourceany//配置拒絕規則[R1-acl-basic-2000]quit[R1]user-interfacevty04[R1-ui-vty0-4]acl2000inbound

//在VTY接口上應用ACL2000<R1>displayacl2000BasicACL2000,2rulesACL'sstepis5rule5permitsource0(0timesmatched)rule10deny(0timesmatched)1.4ACL典型應用案例驗證在PC1上驗證Telnet功能重新查看ACL2000匹配信息<PC>telnet54Trying54...PressCTRL+KtoabortConnectedto54...Info：ThemaxnumberofVTYusersis10,andthenumberofcurrentVTYusersonlineis1Thecurrentlogintimeis2020-01-2209:08:00<R1>displayacl2000BasicACL2000，2rulesACL'sstepis5rule5permitsource0(1timesmatched)rule10deny(0timesmatched)1.4ACL典型應用在市場部PC上驗證Telnet功能再次查看ACL2000匹配信息<PC>telnet54Trying54...PressCTRL+KtoabortError:Failedtoconnecttotheremotehost.<R1>displayacl2000BasicACL2000,2rulesACL'sstepis5rule5permitsource0(1timesmatched)rule10deny(1timesmatched)基本ACL應用案例-1允許到任意網絡去的訪問禁止PC2到pc0基本ACL應用案例-2拒絕來自0到任意網絡的訪問，允許其他流量通過1.4ACL典型應用案例1-4高級ACL配置示例案例背景與要求：如下圖所示，在路由器R1和R2上配置OSPF協議實現網絡通信，在路由器R2上配置高級ACL，以滿足如下要求：允許主機PC1訪問路由器R2的TELNET服務允許主機PC2訪問路由器server1的FTP服務1.4ACL典型應用案例配置思路配置路由器R1和R2接口IP、OSPF協議等，實現全網通信（此處不做相關配置介紹）；在路由器R2上創建高級ACL服務；在路由器R2的GE0/0/0接口入方向和VTY（VirtualTypeTerminal）上應用所配置的高級ACL服務。案例配置過程配置路由器R2<R2>system-view[R2]acl3000//創建高級ACL及其規則[R2-acl-adv-3000]rule5permittcpsource0destination0destination-porteq23

[R2-acl-adv-3000]rule10permittcpsource0destination530destination-portrange2021[R2-acl-adv-3000]rule15denyip[R2-acl-adv-3000]quit[R2]interfaceGigabitEthernet0/0/0[R2-GigabitEthernet0/0/0]traffic-filterinboundacl3000

//在GE0/0/0接口應用ACL3000[R2]user-interfacevty04[R2-ui-vty0-4]acl3000inbound

//在VTY接口應用ACL30001.4ACL典型應用案例驗證使用displayacl3000命令來查看ACL3000匹配信息在主機PC1上使用Telnet方式登錄路由器，發現可以正常登錄[R2-acl-adv-3000]displayacl3000AdvancedACL3000,3rulesAcl'sstepis5rule5permittcpsourcedestinationdestination-porteqtelnetrule10permittcpsourcedestination53destination-portrangeftp-dataftprule15denyip<PC>telnetTrying...PressCTRL+KtoabortConnectedto...Info：ThemaxnumberofVTYusersis10,andthenumberofcurrentVTYusersonlineisIThecurrentlogintimeis2019-12-0903:09:001.4ACL典型應用在主機PC2上登錄Server1的FTP，發現可以正常登錄在主機PC2上使用Telnet方式登錄路由器，發現無法正常登錄。<PC>ftp53Trying53...PressCTRL+KtoabortConnectedto53.220FTPserviceready.User(53:(none)):huawei331Passwordrequiredforhuawei.Enterpassword:230Userloggedin.<PC>telnetPressCTRL_]toquittelnetmodeTrying...Error:Can'tconnecttotheremotehost項目知識準備訪問控制ACL的概念ACL的分類ACL的工作原理及應用基本ACL擴展ACL項目實施基本ACL的規劃配置擴展ACL的規劃配置2項目小結《網絡安全設備配置》QQ：28418872電話程導入基本ACL的規劃配置擴展ACL的規劃配置基本NAT的規劃配置AAA的規劃配置PPP的規劃配置鏈路聚合及其應用VRRP及其應用DHCP技術及應用NAPT的規劃配置防火墻、IDS的規劃配置教學內容出口網關的規劃配置崗位工作任務需要的技術能力鏈路聚合及VRRP的規劃部署實施能力、職業能力管理與維護網絡設備安全課程導入DHCP的規劃部署實施能力根據安全需求進行認證規劃配置的能力根據需求進行地址轉換的規劃配置能力根據安全需求進行訪問控制的能力其他網絡安全設備的規劃部署實施能力學習目標理解訪問控制列表（ACL）的基本原理和基本作用掌握訪問控制列表（ACL）的分類及其配置1訪問控制列表1.1需求導入1.2ACL基本原理1.3基本ACL和擴展ACL1.4ACL典型應用2

項目小結1.1項目需求導入-11.1項目需求導入-2作為公司網絡管理員，當公司領導提出下列要求時你該怎么辦？為了提高工作效率，不允許員工上班時間進行QQ聊天、MSN聊天等，但需要保證正常的訪問Internet，以便查找資料了解客戶及市場信息等。公司有一臺服務器對外提供有關本公司的信息服務，允許公網用戶訪問，但為了內部網絡的安全，不允許公網用戶訪問除信息服務器之外的任何內網節點。1.2ACL基本原理ACL基本概念訪問控制列表ACL（AccessControlList）是由一系列規則組成的集合，ACL通過這些規則對報文進行分類，從而使設備可以對不同類報文進行不同的處理。一個ACL通常由若干條“deny｜permit”語句組成，每條語句就是該ACL的一條規則，每條語句中的“deny｜permit”就是與這條規則相對應的處理動作：“permit”的含義是“允許”“deny”的含義是“拒絕”1.2ACL基本原理1.2ACL基本原理訪問控制列表（ACL）讀取第三層、第四層包頭信息根據預先定義好的規則對包進行過濾IP報頭TCP報頭數據源地址目的地址源端口目的端口訪問控制列表利用這4個元素定義的規則481.2ACL基本原理ACL規則ACL負責管理用戶配置的所有規則，并提供報文匹配規則的算法。ACL規則管理基本思想如下：每個ACL作為一個規則組，一般可以包含多個規則ACL中的每一條規則通過規則ID（rule-id）來標識，規則ID可以自行設置，也可以由系統根據步長自動生成，即設備會在創建ACL的過程中自動為每一條規則分配一個ID默認情況下，ACL中的所有規則均按照規則ID從小到大的順序與規則進行匹配規則ID之間會留下一定的間隔。如果不指定規則ID時，具體間隔大小由“ACL的步長”來設定1.2ACL基本原理ACL規則匹配（1）配置了ACL的設備在接收到一個報文之后，會將該報文與ACL中的規則逐條進行匹配；（2）如果不能匹配上當前這條規則，則會繼續嘗試去匹配下一條規則；（3）一旦報文匹配上了某條規則，則會對該報文執行這條規則中定義的處理動作（permit或deny），并且不再繼續嘗試與后續規則進行匹配；（4）如果報文不能匹配上ACL的任何一條規則，則設備會對該報文執行“permit”這個處理動作。允許允許允許允許到達訪問控制組接口的數據包匹配第一條目的接口隱含的允許轉發YYYYYYNNN匹配下一條拒絕拒絕拒絕匹配下一條丟棄1.2ACL基本原理ACL分類根據ACL所具備的特性不同，可將ACL分成不同類型，如：基本ACL、高級ACL、二層ACL、用戶自定義ACL，其中應用最廣泛的是基本ACL和高級ACL。各種類型ACL區別，如表所示。ACL類型編號范圍規則制訂的主要依據基本ACL2000～2999報文源IP地址等信息。高級ACL3000～3999報文源IP地址、目的IP地址、報文優先級、IP承載的協議類型及特性等三、四層信息。二層ACL4000～4999報文的源MAC地址、目的MAC地址、802.1p優先級、鏈路層協議類型等二層信息用戶自定義ACL5000～5999用戶自定義報文的偏移位置和偏移量、從報文中提取出相關內容等信息ACL是一種應用非常廣泛的網絡安全技術，配置ACL網絡設備的工作過程可分為以下兩個步驟：根據事先設定好的報文匹配規則對經過該設備的報文進行匹配對匹配的報文執行事先設定好的處理動作1.2ACL基本原理1.3基本ACL和擴展ACL基本ACL命令格式基本ACL只能基于IP報文的源IP地址、報文分片標記和時間段信息來定義規則。配置基本ACL規則命令具有如下結構：rule[rule-id]{permit|deny}[source{source-addresssource-wildcard｜any}fragment|logging|time-range

time-name]1.3基本ACL和擴展ACL案例1-1基本ACL配置案例背景與要求：某公司網絡含外來人員辦公區、項目部辦工區和財務部辦公區。在外來人員辦公區中，有一臺專供外來人員使用的計算機PC2，IP地址為/24。出于網絡安全考慮，需禁止財務部辦公區接收PC2發送的IP報文A。為滿足此需求，可在路由器R1上配置基本ACL。基本ACL可根據源IP地址信息識別PC2發送的IP報文A，在GE0/0/3接口的出方向（Outbound方向）上拒絕放行IP報文A。1.3基本ACL和擴展ACL案例配置過程配置路由器R1[R1]acl2000//創建一個編號為2000的基本ACL[R1-acl-basic-2000]ruledenysource//在ACL2000視圖下創建如下的規則[R1-acl-basic-2000]quit[R1]interfacegigabitethernet0/0/3[R1-GigabitEthernet0/0/3]traffic-filteroutboundacl2000//使用報文過濾技術中traffic-filter命令將ACL2000應用在路由器R1的GE0/0/3接口出方向

你是一個公司的網絡管理員，公司的經理部、財務部門和銷售部門分屬不同的3個網段，三部門之間用路由器進行信息傳遞，為了安全起見，公司領導要求銷售部門不能對財務部門進行訪問，但經理部可以對財務部門進行訪問。

PC1代表經理部的主機，PC2代表銷售部門的主機、PC3代表財務部門的主機。1.3基本ACL和擴展ACL擴展ACL命令格式擴展ACL可以根據IP報文的源IP地址、目的IP地址、協議字段值、優先級值、長度值，TCP報文的源端口號、目的端口號，UDP報文的源端口號、目的端口號等信息來定義規則。基本ACL功能只是擴展ACL功能的一個子集，擴展ACL可比基本ACL定義出更精準、更復雜、更靈活的。針對所有IP報文簡化配置命令格式如下：rule[rule-id]{permit|deny}ip[destination{destination-address

destination-wildcard|any}][source{source-address

source-wildcard|any}]1.3基本ACL和擴展ACL案例1-2擴展ACL的配置案例背景與要求：本配置示例網絡結構與基本ACL網絡結構基本一樣，不同的是，要求PC2無法接收來自財務部辦公區的IP報文B。此情況下，可在路由器R1上配置擴展ACL。擴展ACL可根據目的IP地址信息識別去往目的地為外來人員辦公區的IP報文B，然后在GE0/0/3接口入方向（Inbound方向）上拒絕放行IP報文B。1.3基本ACL和擴展ACL案例配置過程配置路由器R1[R1]acl3000//創建一個編號為2000的基本ACL[R1-acl-adv-3000]ruledenyipdestination

//在ACL3000視圖下創建如下的規則[R1-acl-adv-3000]quit[R1]interfacegigabitethernet0/0/3[R1-GigabitEthernet0/0/3]traffic-filterinboundacl3000//使用報文過濾技術中traffic-filter命令將ACL3000應用在路由器R1的GE0/0/3接口入方向1.4ACL應用場景ACL應用于的主要場合如下過濾鄰居設備間傳遞的路由信息控制交互訪問，以此阻止非法訪問設備的行為，如對Console訪問實施控制為DDR路由定義感興趣流為IPsec-VPN定義感興趣流以多種方式在IOS中實現QOS特性降低如DoSTCPSYN和DoSsmurf攻擊1.4ACL典型應用案例1-3基本ACL配置實例案例背景與要求：Jan公司有網管辦公區、市場部辦公區、項目部辦公區、財務部辦公區和服務器區。出于網絡安全考慮，希望只有網管辦公區PC1才能通過Telnet方式登錄到路由器R1上，其他區域PC不能通過Telnet方式登錄到路由器R1。1.4ACL典型應用規劃配置步驟和思路在路由器R1上創建基本ACL。制定基本ACL規則。在路由器的VTY（VirtualTypeTerminal）上應用所配置的基本ACL。1.4ACL典型應用案例配置過程配置路由器R1可使用displayacl2000命令來查看ACL2000匹配信息<R1>system-view[R1]acl2000//創建一個編號為2000的基本ACL[R1-acl-basic-2000]rulepermitsource0

//配置允許規則[R1-acl-basic-2000]ruledenysourceany//配置拒絕規則[R1-acl-basic-2000]quit[R1]user-interfacevty04[R1-ui-vty0-4]acl2000inbound

//在VTY接口上應用ACL2000<R1>displayacl2000BasicACL2000,2rulesACL'sstepis5rule5permitsource0(0timesmatched)rule10deny(0timesmatched)1.4ACL典型應用案例驗證在PC1上驗證Telnet功能重新查看ACL2000匹配信息<PC>telnet54Trying54...PressCTRL+KtoabortConnectedto54...Info：ThemaxnumberofVTYusersis10,andthenumberofcurrentVTYusersonlineis1Thecurrentlogintimeis2020-01-2209:08:00<R1>displayacl2000BasicACL2000，2rulesACL'sstepis5rule5permitsource0(1timesmatched)rule10deny(0timesmatched)1.4ACL典型應用在市場部PC上驗證Telnet功能再次查看ACL2000匹配信息<PC>telnet54Trying54...PressCTRL+KtoabortError:Failedtoconnecttotheremotehost.<R1>displayacl2000BasicACL2000,2rulesACL'sstepis5rule5permitsource0(1timesmatched)rule10deny(1timesmatched)基本ACL應用案例-1允許到任意網絡去的訪問禁止PC2到pc0基本ACL應用案例-2拒絕來自0到任意網絡的訪問，允許其他流量通過1.4ACL典型應用案例1-4高級ACL配置示例案例背景與要求：如下圖所示，在路由器R1和R2上配置OSPF協議實現網絡通信，在路由器R2上配置高級ACL，以滿足如下要求：允許主機PC1訪問路由器R2的TELNET服務允許主機PC2訪問路由器server1的FTP服務1.4ACL典型應用案例配置思路配置路由器R1和R2接口IP、OSPF協議等，實現全網通信（此處不做相關配置介紹）；在路由器R2上創建高級ACL服務；在路由器R2的GE0/0/0接口入方向和VTY（VirtualTypeTerminal）上應用所配置的高級ACL服務。案例配置過程配置路由器R2<R2>system-view[R2]acl3000//創建高級ACL及其規則[R2-acl-adv-3000]rule5permittcpsource0destination0destination-porteq23

[R2-acl-adv-3000]rule10permittcpsource0destination530destination-portrange2021[R2-acl-adv-3000]rule15denyip[R2-acl-adv-3000]quit[R2]interfaceGigabitEthernet0/0/0[R2-GigabitEthernet0/0/0]traffic-filterinboundacl3000

//在GE0/0/0接口應用ACL3000[R2]user-interfacevty04[R2-ui-vty0-4]acl3000inbound

//在VTY接口應用ACL30001.4ACL典型應用案例驗證使用displayacl3000命令來查看ACL3000匹配信息在主機PC1上使用Telnet方式登錄路由器，發現可以正常登錄[R2-acl-adv-3000]displayacl3000AdvancedACL3000,3rulesAcl'sstepis5rule5permittcpsourcedestinationdestination-porteqtelnetrule10permittcpsourcedestination53destination-portrangeftp-dataftprule15denyip<PC>telnetTrying...PressCTRL+KtoabortConnectedto...Info：ThemaxnumberofVTYusersis10,andthenumberofcurrentVTYusersonlineisIThecurrentlogintimeis2019-12-0903:09:001.4ACL典型應用在主機PC2上登錄Server1的FTP，發現可以正常登錄在主機PC2上使用Telnet方式登錄路由器，發現無法正常登錄。<PC>ftp53Trying53...PressCTRL+KtoabortConnectedto53.220FTPserviceready.User(53:(none)):huawei331Passwordrequiredforhuawei.Enterpassword:230Userloggedin.<PC>telnetPressCTRL_]toquittelnetmodeTrying...Error:Can'tconnecttotheremotehost項目知識準備訪問控制ACL的概念ACL的分類ACL的工作原理及應用基本ACL擴展ACL項目實施基本ACL的規劃配置擴展ACL的規劃配置2項目小結《網絡安全設備配置》課程導入基本ACL的規劃配置擴展ACL的規劃配置基本NAT的規劃配置AAA的規劃配置PPP的規劃配置鏈路聚合及其應用VRRP及其應用DHCP技術及應用NAPT的規劃配置防火墻、IDS的規劃配置教學內容出口網關的規劃配置崗位工作任務需要的技術能力鏈路聚合及VRRP的規劃部署實施能力、職業能力管理與維護網絡設備安全課程導入DHCP的規劃部署實施能力根據安全需求進行認證規劃配置的能力根據需求進行地址轉換的規劃配置能力根據安全需求進行訪問控制的能力其他網絡安全設備的規劃部署實施能力學習目標理解訪問控制列表（ACL）的基本原理和基本作用掌握訪問控制列表（ACL）的分類及其配置1訪問控制列表1.1需求導入1.2ACL基本原理1.3基本ACL和擴展ACL1.4ACL典型應用2

項目小結1.1項目需求導入-11.1項目需求導入-2作為公司網絡管理員，當公司領導提出下列要求時你該怎么辦？為了提高工作效率，不允許員工上班時間進行QQ聊天、MSN聊天等，但需要保證正常的訪問Internet，以便查找資料了解客戶及市場信息等。公司有一臺服務器對外提供有關本公司的信息服務，允許公網用戶訪問，但為了內部網絡的安全，不允許公網用戶訪問除信息服務器之外的任何內網節點。1.2ACL基本原理ACL基本概念訪問控制列表ACL（AccessControlList）是由一系列規則組成的集合，ACL通過這些規則對報文進行分類，從而使設備可以對不同類報文進行不同的處理。一個ACL通常由若干條“deny｜permit”語句組成，每條語句就是該ACL的一條規則，每條語句中的“deny｜permit”就是與這條規則相對應的處理動作：“permit”的含義是“允許”“deny”的含義是“拒絕”1.2ACL基本原理1.2ACL基本原理訪問控制列表（ACL）讀取第三層、第四層包頭信息根據預先定義好的規則對包進行過濾IP報頭TCP報頭數據源地址目的地址源端口目的端口訪問控制列表利用這4個元素定義的規則811.2ACL基本原理ACL規則ACL負責管理用戶配置的所有規則，并提供報文匹配規則的算法。ACL規則管理基本思想如下：每個ACL作為一個規則組，一般可以包含多個規則ACL中的每一條規則通過規則ID（rule-id）來標識，規則ID可以自行設置，也可以由系統根據步長自動生成，即設備會在創建ACL的過程中自動為每一條規則分配一個ID默認情況下，ACL中的所有規則均按照規則ID從小到大的順序與規則進行匹配規則ID之間會留下一定的間隔。如果不指定規則ID時，具體間隔大小由“ACL的步長”來設定1.2ACL基本原理ACL規則匹配（1）配置了ACL的設備在接收到一個報文之后，會將該報文與ACL中的規則逐條進行匹配；（2）如果不能匹配上當前這條規則，則會繼續嘗試去匹配下一條規則；（3）一旦報文匹配上了某條規則，則會對該報文執行這條規則中定義的處理動作（permit或deny），并且不再繼續嘗試與后續規則進行匹配；（4）如果報文不能匹配上ACL的任何一條規則，則設備會對該報文執行“permit”這個處理動作。允許允許允許允許到達訪問控制組接口的數據包匹配第一條目的接口隱含的允許轉發YYYYYYNNN匹配下一條拒絕拒絕拒絕匹配下一條丟棄1.2ACL基本原理ACL分類根據ACL所具備的特性不同，可將ACL分成不同類型，如：基本ACL、高級ACL、二層ACL、用戶自定義ACL，其中應用最廣泛的是基本ACL和高級ACL。各種類型ACL區別，如表所示。ACL類型編號范圍規則制訂的主要依據基本ACL2000～2999報文源IP地址等信息。高級ACL3000～3999報文源IP地址、目的IP地址、報文優先級、IP承載的協議類型及特性等三、四層信息。二層ACL4000～4999報文的源MAC地址、目的MAC地址、802.1p優先級、鏈路層協議類型等二層信息用戶自定義ACL5000～5999用戶自定義報文的偏移位置和偏移量、從報文中提取出相關內容等信息ACL是一種應用非常廣泛的網絡安全技術，配置ACL網絡設備的工作過程可分為以下兩個步驟：根據事先設定好的報文匹配規則對經過該設備的報文進行匹配對匹配的報文執行事先設定好的處理動作1.2ACL基本原理1.3基本ACL和擴展ACL基本ACL命令格式基本ACL只能基于IP報文的源IP地址、報文分片標記和時間段信息來定義規則。配置基本ACL規則命令具有如下結構：rule[rule-id]{permit|deny}[source{source-addresssource-wildcard｜any}fragment|logging|time-range

time-name]1.3基本ACL和擴展ACL案例1-1基本ACL配置案例背景與要求：某公司網絡含外來人員辦公區、項目部辦工區和財務部辦公區。在外來人員辦公區中，有一臺專供外來人員使用的計算機PC2，IP地址為/24。出于網絡安全考慮，需禁止財務部辦公區接收PC2發送的IP報文A。為滿足此需求，可在路由器R1上配置基本ACL。基本ACL可根據源IP地址信息識別PC2發送的IP報文A，在GE0/0/3接口的出方向（Outbound方向）上拒絕放行IP報文A。1.3基本ACL和擴展ACL案例配置過程配置路由器R1[R1]acl2000//創建一個編號為2000的基本ACL[R1-acl-basic-2000]ruledenysource//在ACL2000視圖下創建如下的規則[R1-acl-basic-2000]quit[R1]interfacegigabitethernet0/0/3[R1-GigabitEthernet0/0/3]traffic-filteroutboundacl2000//使用報文過濾技術中traffic-filter命令將ACL2000應用在路由器R1的GE0/0/3接口出方向

你是一個公司的網絡管理員，公司的經理部、財務部門和銷售部門分屬不同的3個網段，三部門之間用路由器進行信息傳遞，為了安全起見，公司領導要求銷售部門不能對財務部門進行訪問，但經理部可以對財務部門進行訪問。

PC1代表經理部的主機，PC2代表銷售部門的主機、PC3代表財務部門的主機。1.3基本ACL和擴展ACL擴展ACL命令格式擴展ACL可以根據IP報文的源IP地址、目的IP地址、協議字段值、優先級值、長度值，TCP報文的源端口號、目的端口號，UDP報文的源端口號、目的端口號等信息來定義規則。基本ACL功能只是擴展ACL功能的一個子集，擴展ACL可比基本ACL定義出更精準、更復雜、更靈活的。針對所有IP報文簡化配置命令格式如下：rule[rule-id]{permit|deny}protocol

ip[destination{destination-address

destination-wildcard|any}][source{source-address

source-wildcard|any}]destination-porteq|lt|gt@@@1.3基本ACL和擴展ACL案例1-2擴展ACL的配置案例背景與要求：本配置示例網絡結構與基本ACL網絡結構基本一樣，不同的是，要求PC2無法接收來自財務部辦公區的IP報文B。此情況下，可在路由器R1上配置擴展ACL。擴展ACL可根據目的IP地址信息識別去往目的地為外來人員辦公區的IP報文B，然后在GE0/0/3接口入方向（Inbound方向）上拒絕放行IP報文B。1.3基本ACL和擴展ACL案例配置過程配置路由器R1[R1]acl3000//創建一個編號為2000的基本ACL[R1-acl-adv-3000]ruledenyipdestination

//在ACL3000視圖下創建如下的規則[R1-acl-adv-3000]quit[R1]interfacegigabitethernet0/0/3[R1-GigabitEthernet0/0/3]traffic-filterinboundacl3000//使用報文過濾技術中traffic-filter命令將ACL3000應用在路由器R1的GE0/0/3接口入方向1.4ACL應用場景ACL應用于的主要場合如下過濾鄰居設備間傳遞的路由信息控制交互訪問，以此阻止非法訪問設備的行為，如對Console訪問實施控制為DDR路由定義感興趣流為IPsec-VPN定義感興趣流以多種方式在IOS中實現QOS特性降低如DoSTCPSYN和DoSsmurf攻擊1.4ACL典型應用案例1-3基本ACL配置實例案例背景與要求：Jan公司有網管辦公區、市場部辦公區、項目部辦公區、財務部辦公區和服務器區。出于網絡安全考慮，希望只有網管辦公區PC1才能通過Telnet方式登錄到路由器R1上，其他區域PC不能通過Telnet方式登錄到路由器R1。1.4ACL典型應用規劃配置步驟和思路在路由器R1上創建基本ACL。制定基本ACL規則。在路由器的VTY（VirtualTypeTerminal）上應用所配置的基本ACL。1.4ACL典型應用案例配置過程配置路由器R1可使用displayacl2000命令來查看ACL2000匹配信息<R1>system-view[R1]acl2000//創建一個編號為2000的基本ACL[R1-acl-basic-2000]rulepermitsource0

//配置允許規則[R1-acl-basic-2000]ruledenysourceany//配置拒絕規則[R1-acl-basic-2000]quit[R1]user-interfacevty04[R1-ui-vty0-4]acl2000inbound

//在VTY接口上應用ACL2000<R1>displayacl2000BasicACL2000,2rulesACL'sstepis5rule5permitsource0(0timesmatched)rule10deny(0timesmatched)1.4ACL典型應用案例驗證在PC1上驗證Telnet功能重新查看ACL2000匹配信息<PC>telnet54Trying54...PressCTRL+KtoabortConnectedto54...Info：ThemaxnumberofVTYusersis10,andthenumberofcurrentVTYusersonlineis1Thecurrentlogintimeis2020-01-2209:08:00<R1>displayacl2000BasicACL2000，2rulesACL'sstepis5rule5permitsource0(1timesmatched)rule10deny(0timesmatched)1.4ACL典型應用在市場部PC上驗證Telnet功能再次查看ACL2000匹配信息<PC>telnet54Trying54...PressCTRL+KtoabortError:Failedtoconnecttotheremotehost.<R1>displayacl2000BasicACL2000,2rulesACL'sstepis5rule5permitsource0(1timesmatched)rule10deny(1timesmatched)基本ACL應用案例-1允許到任意網絡去的訪問禁止PC2到pc0基本ACL應用案例-2拒絕來自0到任意網絡的訪問，允許其他流量通過1.4ACL典型應用案例1-4高級ACL配置示例案例背景與要求：如下圖所示，在路由器R1和R2上配置OSPF協議實現網絡通信，在路由器R2上配置高級ACL，以滿足如下要求：允許主機PC1訪問web服務器的web服務允許主機PC2訪問FTP服務器的ftp服務1.4ACL典型應用案例配置思路配置路由器R1和R2接口IP、OSPF協議等，實現全網通信（此處不做相關配置介紹）；在路由器R2上創建高級ACL服務；在路由器R2的GE0/0/0接口入方向和VTY（VirtualTypeTerminal）上應用所配置的高級ACL服務。案例配置過程配置路由器R2<R2>system-view[R2]acl3000//創建高級ACL及其規則[R2-acl-adv-3000]rule5permittcpsource0destination0destination-porteq23

[R2-acl-adv-3000]rule10permittcpsource0destination530destination-portrange2021[R2-acl-adv-3000]rule15denyip[R2-acl-adv-3000]quit[R2]interfaceGigabitEthernet0/0/0[R2-GigabitEthernet0/0/0]traffic-filterinboundacl3000

//在GE0/0/0接口應用ACL3000[R2]user-interfacevty04[R2-ui-vty0-4]acl3000inbound

//在VTY接口應用ACL30001.4ACL典型應用案例驗證使用displayacl3000命令來查看ACL3000匹配信息在主機PC1上使用Telnet方式登錄路由器，發現可以正常登錄[R2-acl-adv-3000]displayacl3000AdvancedACL3000,3rulesAcl'sstepis5rule5permittcpsourcedestinationdestination-porteqtelnetrule10permittcpsourcedestination53destination-portrangeftp-dataftprule15denyip<PC>telnetTrying...PressCTRL+KtoabortConnectedto...Info：ThemaxnumberofVTYusersis10,andthenumberofcurrentVTYusersonlineisIThecurrentlogintimeis2019-12-0903:09:001.4ACL典型應用在主機PC2上登錄Server1的FTP，發現可以正常登錄在主機PC2上使用Telnet方式登錄路由器，發現無法正常登錄。<PC>ftp53Trying53...PressCTRL+KtoabortConnectedto53.220FTPserviceready.User(53:(none)):huawei331Passwordrequiredforhuawei.Enterpassword:230Userloggedin.<PC>telnetPressCTRL_]toquittelnetmodeTrying...Error:Can'tconnecttotheremotehost項目知識準備訪問控制ACL的概念ACL的分類ACL的工作原理及應用基本ACL擴展ACL項目實施基本ACL的規劃配置擴展ACL的規劃配置2項目小結《網絡安全與管理》學習目標理解網絡地址轉換（NAT）的基本知識掌握網絡地址轉換（NAT）的分類及其配置

網絡地址轉換NAT1NAT工作原理2NAT配置2.1靜態NAT2.2動態NAT2.3NPAT2.4EASYIP3項目小結1NAT工作原理IP地址面臨耗盡的問題。RFC1918年專門為私有、內部使用留出3個IP地址塊，包括A類、B類、C類地址范圍各一塊，以滿足不同規模私有網絡的需要含有私有地址的分組將會在Internet路由器上被丟棄類別RFC1918內部地址范圍CIDR前綴A到55/8B到55/12C到55/161NAT工作原理NAT基本概念NAT概念：NAT(NetworkAddressTranslation)網絡地址轉換，是一種IETF(InternetEngineeringTaskForce,Internet工程任務組)標準，是把內部私有網絡地址轉換成合法外部公有網絡地址的技術由于當前TCP/IP協議版本IPv4，具有天生缺陷，IP地址數量不夠多，難以滿足目前爆炸性增長的IP需求；如果專用網絡的計算機要訪問Internet，則組織機構在連接Internet的設備上至少需要一個公有IP地址，然后采用NAT技術，將內部網絡的計算機私有IP地址轉換為公有IP地址，從而讓使用私有IP地址的計算機能夠和Internet中的計算機進行通信。1NAT工作原理NAT類型靜態NAT動態NAT動態NAPT1NAT工作原理靜態NAT：在路由器中，將內網IP地址固定的轉換為外網IP地址，通常應用在允許外網用戶訪問內網服務器的場景。靜態NAT的工作過程如圖所示。1NAT工作原理動態NAT：將一個內部IP地址轉換為一組外部IP地址池中的一個IP地址（公有地址）。動態NAT和靜態NAT的在地址轉換上很相似，只是可用的公有IP地址不是被某個專用網絡的計算機所永久獨自占有。動態NAT的工作過程如圖所示。

1NAT工作原理動態NAPT：以IP地址及端口號（TCP或UDP）為轉換條件，將內部網絡的私有IP地址及端口號轉換成外部公有IP地址及端口號。在靜態NAT和動態NAT中，都是“IP地址”到“IP地址”的轉換關系，而動態NAPT，則是“IP地址+端口”到“IP地址+端口”的轉換關系。動態NAPT的工作過程如圖所示。

1NAT工作原理靜態NAPT：在路由器中以“IP+端口”形式，將內網IP及端口固定轉換為外網IP及端口，應用在允許外網用戶訪問內網計算機特定服務的場景。靜態NAPT的工作工程如圖所示。

1NAT工作原理EasyIP：EasyIP技術，是NAPT的一種簡化情況。EasyIP無需建立公有IP地址資源池，因為EasyIP只會用到一個公有IP地址，該IP地址就是路由器連接公網的出口IP地址。EasyIP會建立并維護一張動態地址及端口映射表，且會將表中公有IP地址綁定成路由器公網出口IP地址路由器出口IP地址如果發生了變化，表中公有IP地址也會自動跟著變化路由器出口IP地址可是手工配置，也可是動態分配下圖所示網絡是一個小型公司EasyIP的網絡拓撲。2NAT配置案例1靜態NAT配置示例案例背景與要求：如圖所示，Jan16公司通過路由器R1接入到Internet，相關背景和需求如下。公司向Internet申請了2個公網IP：200.10.2和200.10.3。公司的Web服務器需要以靜態NAT方式對外提供服務，映射IP為200.10.3。2NAT配置案例配置思路為各設備接口配置IP地址；在路由器R1配置NAT，將Web服務器映射到200.10.3案例配置過程路由器R1配置其他設備IP配置（省略）[R1]interfaceg0/0/0[R1-GigabitEthernet0/0/0]ipadd5424[R1-GigabitEthernet0/0/0]quit[R1]interfaceg0/0/1[R1-GigabitEthernet0/0/1]ipadd200.10.224[R1-GigabitEthernet0/0/1]natstaticglobal200.10.3inside[R1-GigabitEthernet0/0/1]quit2NAT配置案例驗證在路由器R1上執行【displaynatstatic】命令，查看公有IP地址與私有IP地址的映射關系。<R1>displaynatstaticStaticNatInformation:Interface:GigabitEthernet0/0/1GlobalIP/Port:200.10.3/----InsideIP/Port:/----Protocol:----VPNinstance-name:----Aclnumber:----Netmask:55Description:----Total:12NAT配置在公網主機PC1中，執行【ping200.10.3】命令，測試與內網WEB服務器的連通性，結果顯示可以成功連接Web服務器。PC>ping200.10.3Ping200.10.3:32databytes,PressCtrl_Ct