中職培訓(xùn)網(wǎng)絡(luò)路由交換技術(shù)(三)課件

中職計(jì)算機(jī)網(wǎng)絡(luò)教師培訓(xùn)網(wǎng)絡(luò)安全及網(wǎng)絡(luò)出口主講:李正軍譚林海TelQ：961257879

中職計(jì)算機(jī)網(wǎng)絡(luò)教師培訓(xùn)網(wǎng)絡(luò)安全及網(wǎng)絡(luò)出口1本講內(nèi)容交換機(jī)端口安全I(xiàn)P訪問控制列表NAT技術(shù)本講內(nèi)容交換機(jī)端口安全2課程議題交換機(jī)端口安全課程議題交換機(jī)端口安全3交換機(jī)端口安全利用交換機(jī)的端口安全功能實(shí)現(xiàn)防止局域網(wǎng)大部分的內(nèi)部攻擊對(duì)用戶、網(wǎng)絡(luò)設(shè)備造成的破壞，如MAC地址攻擊、ARP攻擊、IP/MAC地址欺騙等。交換機(jī)端口安全的基本功能限制交換機(jī)端口的最大連接數(shù)端口的安全地址綁定交換機(jī)端口安全利用交換機(jī)的端口安全功能實(shí)現(xiàn)4交換機(jī)端口安全安全違例產(chǎn)生于以下情況：如果一個(gè)端口被配置為一個(gè)安全端口，當(dāng)其安全地址的數(shù)目已經(jīng)達(dá)到允許的最大個(gè)數(shù)如果該端口收到一個(gè)源地址不屬于端口上的安全地址的包當(dāng)安全違例產(chǎn)生時(shí)，你可以選擇多種方式來處理違例：Protect：當(dāng)安全地址個(gè)數(shù)滿后，安全端口將丟棄未知名地址（不是該端口的安全地址中的任何一個(gè)）的包Restrict：當(dāng)違例產(chǎn)生時(shí)，將發(fā)送一個(gè)Trap通知Shutdown：當(dāng)違例產(chǎn)生時(shí)，將關(guān)閉端口并發(fā)送一個(gè)Trap通知交換機(jī)端口安全安全違例產(chǎn)生于以下情況：5配置安全端口

端口安全最大連接數(shù)配置switchportport-security ！打開該接口的端口安全功能switchportport-securitymaximumvalue

！設(shè)置接口上安全地址的最大個(gè)數(shù)，范圍是1－128，缺省值為128switchportport-securityviolation{protect|restrict|shutdown}

！設(shè)置處理違例的方式注意：

1、端口安全功能只能在access端口上進(jìn)行配置。

2、當(dāng)端口因?yàn)檫`例而被關(guān)閉后，在全局配置模式下使用命令errdisablerecovery來將接口從錯(cuò)誤狀態(tài)中恢復(fù)過來。配置安全端口端口安全最大連接數(shù)配置6配置安全端口端口的安全地址綁定switchportport-security！打開該接口的端口安全功能switchportport-securitymac-addressmac-addressip-addressip-address

！手工配置接口上的安全地址注意：

1、端口安全功能只能在access端口上進(jìn)行配置

2、端口的安全地址綁定方式有:單MAC、單IP、MAC+IP配置安全端口端口的安全地址綁定7案例（一）下面的例子是配置接口gigabitethernet1/3上的端口安全功能，設(shè)置最大地址個(gè)數(shù)為8，設(shè)置違例方式為protectSwitch#configureterminalSwitch(config)#interfacegigabitethernet1/3Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymaximum8Switch(config-if)#switchportport-securityviolationprotectSwitch(config-if)#end案例（一）下面的例子是配置接口gigabitethernet8案例（二）下面的例子是配置接口fastethernet0/3上的端口安全功能，配置端口綁定地址，主機(jī)MAC為00d0.f800.073c，IP為02Switch#configureterminalSwitch(config)#interfacefastethernet0/3Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymac-address00d0.f800.073cip-address02Switch(config-if)#endSwitch#showmac案例（二）下面的例子是配置接口fastethernet0/39查看配置信息查看所有接口的安全統(tǒng)計(jì)信息，包括最大安全地址數(shù)，當(dāng)前安全地址數(shù)以及違例處理方式等

Switch#showport-security

SecurePortMaxSecureAddrCurrentAddrSecurityAction------------------------------------------------Gi1/381Protect查看安全地址信息Switch#showport-securityaddressVlanMacAddressIPAddressTypePortRemainingAge(mins)-------------------------------------------------100d0.f800.073c02ConfiguredFa0/381查看配置信息查看所有接口的安全統(tǒng)計(jì)信息，包括最大安全地址數(shù)，10課程議題IP訪問控制列表課程議題IP訪問控制列表11什么是訪問列表IPAccess-list：IP訪問列表或訪問控制列表，簡(jiǎn)稱IPACLACL就是對(duì)經(jīng)過網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包根據(jù)一定的規(guī)則進(jìn)行數(shù)據(jù)包的過濾ISP√什么是訪問列表IPAccess-list：IP訪問列表或訪12訪問列表的組成定義訪問列表的步驟第一步，定義規(guī)則（哪些數(shù)據(jù)允許通過，哪些數(shù)據(jù)不允許通過）第二步，將規(guī)則應(yīng)用在路由器（或交換機(jī)）的接口上訪問控制列表規(guī)則的分類：1、標(biāo)準(zhǔn)訪問控制列表2、擴(kuò)展訪問控制列表訪問列表的組成定義訪問列表的步驟13訪問列表規(guī)則的應(yīng)用路由器應(yīng)用訪問列表對(duì)流經(jīng)接口的數(shù)據(jù)包進(jìn)行控制1.入棧應(yīng)用（in）經(jīng)某接口進(jìn)入設(shè)備內(nèi)部的數(shù)據(jù)包進(jìn)行安全規(guī)則過濾2.出棧應(yīng)用（out）設(shè)備從某接口向外發(fā)送數(shù)據(jù)時(shí)進(jìn)行安全規(guī)則過濾一個(gè)接口在一個(gè)方向只能應(yīng)用一組訪問控制列表F1/0F1/1INOUT訪問列表規(guī)則的應(yīng)用路由器應(yīng)用訪問列表對(duì)流經(jīng)接口的數(shù)據(jù)包進(jìn)行14IPACL的基本準(zhǔn)則一切未被允許的就是禁止的定義訪問控制列表規(guī)則時(shí)，最終的缺省規(guī)則是拒絕所有數(shù)據(jù)包通過按規(guī)則鏈來進(jìn)行匹配使用源地址、目的地址、源端口、目的端口、協(xié)議、時(shí)間段進(jìn)行匹配規(guī)則匹配原則從頭到尾，至頂向下的匹配方式匹配成功馬上停止立刻使用該規(guī)則的“允許/拒絕……”IPACL的基本準(zhǔn)則一切未被允許的就是禁止的15IP標(biāo)準(zhǔn)訪問列表的配置1.定義標(biāo)準(zhǔn)ACL編號(hào)的標(biāo)準(zhǔn)訪問列表

Router(config)#access-list<1-99>{permit|deny}源地址[反掩碼]命名的標(biāo)準(zhǔn)訪問列表

switch(config)#ipaccess-liststandard<name>switch(config-std-nacl)#{permit|deny}源地址[反掩碼]2.應(yīng)用ACL到接口Router(config-if)#ipaccess-group<1-99>{in|out}IP標(biāo)準(zhǔn)訪問列表的配置1.定義標(biāo)準(zhǔn)ACL16標(biāo)準(zhǔn)IPACL配置示例要求網(wǎng)段的主機(jī)不可以訪問服務(wù)器，其它主機(jī)訪問服務(wù)器不受限制。

標(biāo)準(zhǔn)IPACL配置示例要求網(wǎng)段的主機(jī)不17標(biāo)準(zhǔn)IPACL配置示例R(config)#

access-list1denyhost標(biāo)準(zhǔn)IPACL配置示例18IP擴(kuò)展訪問列表的配置1.定義擴(kuò)展的ACL編號(hào)的擴(kuò)展ACLRouter(config)#access-list<100-199>{permit/deny}協(xié)議源地址反掩碼[源端口]目的地址反掩碼[目的端口]命名的擴(kuò)展ACLipaccess-listextended{name}{permit/deny}協(xié)議源地址反掩碼[源端口]目的地址反掩碼[目的端口]2.應(yīng)用ACL到接口Router(config-if)#ipaccess-group<100-199>{in|out}IP擴(kuò)展訪問列表的配置1.定義擴(kuò)展的ACL19擴(kuò)展IPACL配置示例為公司的文件服務(wù)器，要求網(wǎng)段中的主機(jī)能夠訪問中的FTP服務(wù)和WEB服務(wù)，而對(duì)服務(wù)器的其它服務(wù)禁止訪問。擴(kuò)展IPACL配置示例為公司的文件服務(wù)20名稱IPACL配置示例Router(config)#access-list100permitipanyany

名稱IPACL配置示例Router(config)#acc21訪問列表的驗(yàn)證顯示全部的訪問列表Router#showaccess-lists顯示指定的訪問列表Router#showaccess-lists<1-199>顯示接口的訪問列表應(yīng)用Router#showipinterface接口名稱接口編號(hào)訪問列表的驗(yàn)證顯示全部的訪問列表22IP訪問列表配置注意事項(xiàng)1、一個(gè)端口在一個(gè)方向上只能應(yīng)用一組ACL2、銳捷全系列交換機(jī)可針對(duì)物理接口和SVI接口應(yīng)用ACL針對(duì)物理接口，只能配置入棧應(yīng)用(In)針對(duì)SVI（虛擬VLAN）接口，可以配置入棧（In）和出棧（Out）應(yīng)用3、訪問列表的缺省規(guī)則是：拒絕所有IP訪問列表配置注意事項(xiàng)1、一個(gè)端口在一個(gè)方向上只能應(yīng)用一組23基于時(shí)間的ACL基于時(shí)間的ACL對(duì)于不同的時(shí)間段實(shí)施不同的訪問控制規(guī)則在原有ACL的基礎(chǔ)上應(yīng)用時(shí)間段任何類型的ACL都可以應(yīng)用時(shí)間段時(shí)間段絕對(duì)時(shí)間段（absolute）周期時(shí)間段（periodic）混合時(shí)間段基于時(shí)間的ACL基于時(shí)間的ACL24配置時(shí)間段配置時(shí)間段time-rangetime-range-name

Router(config)#配置絕對(duì)時(shí)間absolute{starttimedate[endtimedate]|endtimedate}

Router(config-time-range)#starttimedate：表示時(shí)間段的起始時(shí)間。time表示時(shí)間，格式為“hh:mm”。date表示日期，格式為“日月年”endtimedate：表示時(shí)間段的結(jié)束時(shí)間，格式與起始時(shí)間相同示例：absolutestart08:001Jan2010end10:001Feb2010配置時(shí)間段配置時(shí)間段time-rangetime-rang25配置時(shí)間段（續(xù)）配置周期時(shí)間periodicday-of-the-weekhh:mmto

[day-of-the-week]hh:mm

periodic{weekdays|weekend|daily}hh:mmtohh:mm

Router(config-time-range)#day-of-the-week：表示一個(gè)星期內(nèi)的一天或者幾天，Monday，Tuesday，Wednesday，Thursday，F(xiàn)riday，Saturday，Sundayhh:mm：表示時(shí)間weekdays：表示周一到周五weekend：表示周六到周日daily：表示一周中的每一天示例：periodicweekdays09:00to18:00配置時(shí)間段（續(xù)）配置周期時(shí)間periodicday-of-26配置時(shí)間段（續(xù)）應(yīng)用時(shí)間段在ACL規(guī)則中使用time-range參數(shù)引用時(shí)間段只有配置了time-range的規(guī)則才會(huì)在指定的時(shí)間段內(nèi)生效，其它未引用時(shí)間段的規(guī)則將不受影響確保設(shè)備的系統(tǒng)時(shí)間的正確！配置時(shí)間段（續(xù)）應(yīng)用時(shí)間段27基于時(shí)間的ACL配置示例在上班時(shí)間（9：00~18：00）不允許員工的主機(jī)（/24）訪問Internet，下班時(shí)間可以訪問Internet上的Web服務(wù)?；跁r(shí)間的ACL配置示例在上班時(shí)間（9：00~18：00）不28課程議題網(wǎng)絡(luò)地址轉(zhuǎn)換NAT課程議題網(wǎng)絡(luò)地址轉(zhuǎn)換29NAT實(shí)施NAT優(yōu)點(diǎn)：節(jié)省公共地址可減少編址方案重疊的情況發(fā)生將私有網(wǎng)絡(luò)轉(zhuǎn)化成公網(wǎng)時(shí)，無需要重新進(jìn)行編址NAT缺點(diǎn)：NAT會(huì)增加延遲無法進(jìn)行端到端的IP跟蹤NAT實(shí)施NAT優(yōu)點(diǎn)：30配置靜態(tài)NAT第一步：在路由器上配置IP路由選擇和IP地址。第二步：至少指定一個(gè)內(nèi)部接口和一個(gè)外部接口，方法是進(jìn)入接口配置模式下，執(zhí)行命令ipnat{inside|outside}。第三步：使用全局命令ipnatinsidesourcestaticlocal-ip{

interfaceinterface|global-ip}

配置靜態(tài)轉(zhuǎn)換條目。配置靜態(tài)NAT第一步：在路由器上配置IP路由選擇和IP地址。31配置靜態(tài)端口地址轉(zhuǎn)換第一步：在路由器上配置IP路由選擇和IP地址。第二步：至少指定一個(gè)內(nèi)部接口和一個(gè)外部接口，并執(zhí)行命令ipnat{inside|outside}。第三步：使用全局命令ipnatinsidesourcestatic{tcp|udp}local-iplocal-port{

interfaceinterface|global-ip}global-port指定靜態(tài)PAT條目。配置靜態(tài)端口地址轉(zhuǎn)換第一步：在路由器上配置IP路由選擇和IP32配置靜態(tài)外部源地址轉(zhuǎn)換

第一步：在路由器上配置IP路由選擇和IP地址。第二步：至少指定一個(gè)內(nèi)部接口和一個(gè)外部接口，方法是進(jìn)入接口配置模式下，并執(zhí)行命令ipnat{inside|outside}。第三步：使用全局命令ipnatoutsidesourcestatic

global-iplocal-ip指定靜態(tài)轉(zhuǎn)換條目。配置靜態(tài)外部源地址轉(zhuǎn)換第一步：在路由器上配置IP路由選擇和33配置動(dòng)態(tài)NAT第一步：在路由器上配置IP路由選擇和IP地址。第二步：至少指定一個(gè)內(nèi)部接口和一個(gè)外部接口，方法是進(jìn)入接口配置模式下，并執(zhí)行命令ipnat{inside|outside}。第三步：使用命令access-list

access-list-number{permit|deny}定義IP訪問控制列表，以明確哪些報(bào)文將被進(jìn)行NAT轉(zhuǎn)換。第四步：使用命令ipnatpoolpool-name

start-ipend-ip{netmask

netmask|prefix-length

prefix-length}定義一個(gè)地址池，用于轉(zhuǎn)換地址。配置動(dòng)態(tài)NAT第一步：在路由器上配置IP路由選擇和IP地址。34配置動(dòng)態(tài)NAT第五步：使用命令ipnatinsidesourcelist

access-list-number{interfaceinterface|poolpool-name}將符合訪問控制列表?xiàng)l件的內(nèi)部本地地址轉(zhuǎn)換到地址池中的內(nèi)部全局地址。配置動(dòng)態(tài)NAT第五步：使用命令ipnatinsides35配置NAPT第一步：在路由器上配置IP路由選擇和IP地址。第二步：至少指定一個(gè)內(nèi)部接口和一個(gè)外部接口，并執(zhí)行命令ipnat{inside|outside}。第三步：使用命令access-list

access-list-number{permit|deny}定義IP訪問控制列表，以明確哪些報(bào)文將被進(jìn)行NAT轉(zhuǎn)換。第四步：使用命令ipnatpoolpool-name

start-ipend-ip{netmask

netmask|prefix-length

prefix-length}定義一個(gè)地址池，用于轉(zhuǎn)換地址。第五步：使用命令ipnatinsidesourcelist

access-list-number{interfaceinterface|poolpool-name}將符合訪問控制列表?xiàng)l件的內(nèi)部本地地址轉(zhuǎn)換到地址池中的內(nèi)部全局地址。配置NAPT第一步：在路由器上配置IP路由選擇和IP地址。36配置NAPT配置NAPT37課程議題策略路由課程議題策略路由38策略路由策略路由是一種比基于目標(biāo)網(wǎng)絡(luò)進(jìn)行路由更加靈活的數(shù)據(jù)包路由轉(zhuǎn)發(fā)機(jī)制，應(yīng)用了策略路由，路由器將通過路由圖決定如何對(duì)需要路由的數(shù)據(jù)進(jìn)行處理，路由圖決定了一個(gè)數(shù)據(jù)包的下一跳轉(zhuǎn)發(fā)路由器。配置任務(wù)分為四個(gè)部分，定義重分布路由圖，一個(gè)路由圖可以由好多策略組成，策略按序號(hào)大小排列，只要符合了前面策略，就退路由圖的執(zhí)行，定義路由圖每個(gè)策略的匹配規(guī)則和條件定義滿足匹配規(guī)則后，路由器的操作在指定接口中應(yīng)用路由圖策略路由策略路由是一種比基于目標(biāo)網(wǎng)絡(luò)進(jìn)行路由更加靈活的數(shù)據(jù)包39配置策略路由route-maproute-map-name[permit|deny]sequence

Router(config)#定義路由圖matchipaddressaccess-list-numberRouter(config-router-map)#匹配訪問列表matchlengthmin-lengthmax-lengthRouter(config-router-map)#匹配數(shù)據(jù)包大小配置策略路由route-maproute-map-name40配置策略路由setinterfaceinterface-typeinterface-number

Router(config-router-map)#設(shè)置數(shù)據(jù)包的輸出接口setipnext-hopip-addressRouter(config-router-map)#設(shè)置數(shù)據(jù)包下跳地址setipprecedence{precedence|critical|flash|flash-override|immediate|internet|network|priority|routine}Router(config-router-map)#設(shè)置數(shù)據(jù)包IP優(yōu)先值配置策略路由setinterfaceinterface-41策略路由配置示例策略路由配置示例42課程回顧交換機(jī)端口安全I(xiàn)P訪問控制列表NAT技術(shù)策略路由技術(shù)課程回顧交換機(jī)端口安全43演講完畢，謝謝觀看！演講完畢，謝謝觀看！44中職計(jì)算機(jī)網(wǎng)絡(luò)教師培訓(xùn)網(wǎng)絡(luò)安全及網(wǎng)絡(luò)出口主講:李正軍譚林海TelQ：961257879

中職計(jì)算機(jī)網(wǎng)絡(luò)教師培訓(xùn)網(wǎng)絡(luò)安全及網(wǎng)絡(luò)出口45本講內(nèi)容交換機(jī)端口安全I(xiàn)P訪問控制列表NAT技術(shù)本講內(nèi)容交換機(jī)端口安全46課程議題交換機(jī)端口安全課程議題交換機(jī)端口安全47交換機(jī)端口安全利用交換機(jī)的端口安全功能實(shí)現(xiàn)防止局域網(wǎng)大部分的內(nèi)部攻擊對(duì)用戶、網(wǎng)絡(luò)設(shè)備造成的破壞，如MAC地址攻擊、ARP攻擊、IP/MAC地址欺騙等。交換機(jī)端口安全的基本功能限制交換機(jī)端口的最大連接數(shù)端口的安全地址綁定交換機(jī)端口安全利用交換機(jī)的端口安全功能實(shí)現(xiàn)48交換機(jī)端口安全安全違例產(chǎn)生于以下情況：如果一個(gè)端口被配置為一個(gè)安全端口，當(dāng)其安全地址的數(shù)目已經(jīng)達(dá)到允許的最大個(gè)數(shù)如果該端口收到一個(gè)源地址不屬于端口上的安全地址的包當(dāng)安全違例產(chǎn)生時(shí)，你可以選擇多種方式來處理違例：Protect：當(dāng)安全地址個(gè)數(shù)滿后，安全端口將丟棄未知名地址（不是該端口的安全地址中的任何一個(gè)）的包Restrict：當(dāng)違例產(chǎn)生時(shí)，將發(fā)送一個(gè)Trap通知Shutdown：當(dāng)違例產(chǎn)生時(shí)，將關(guān)閉端口并發(fā)送一個(gè)Trap通知交換機(jī)端口安全安全違例產(chǎn)生于以下情況：49配置安全端口

端口安全最大連接數(shù)配置switchportport-security ！打開該接口的端口安全功能switchportport-securitymaximumvalue

！設(shè)置接口上安全地址的最大個(gè)數(shù)，范圍是1－128，缺省值為128switchportport-securityviolation{protect|restrict|shutdown}

！設(shè)置處理違例的方式注意：

1、端口安全功能只能在access端口上進(jìn)行配置。

2、當(dāng)端口因?yàn)檫`例而被關(guān)閉后，在全局配置模式下使用命令errdisablerecovery來將接口從錯(cuò)誤狀態(tài)中恢復(fù)過來。配置安全端口端口安全最大連接數(shù)配置50配置安全端口端口的安全地址綁定switchportport-security！打開該接口的端口安全功能switchportport-securitymac-addressmac-addressip-addressip-address

！手工配置接口上的安全地址注意：

1、端口安全功能只能在access端口上進(jìn)行配置

2、端口的安全地址綁定方式有:單MAC、單IP、MAC+IP配置安全端口端口的安全地址綁定51案例（一）下面的例子是配置接口gigabitethernet1/3上的端口安全功能，設(shè)置最大地址個(gè)數(shù)為8，設(shè)置違例方式為protectSwitch#configureterminalSwitch(config)#interfacegigabitethernet1/3Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymaximum8Switch(config-if)#switchportport-securityviolationprotectSwitch(config-if)#end案例（一）下面的例子是配置接口gigabitethernet52案例（二）下面的例子是配置接口fastethernet0/3上的端口安全功能，配置端口綁定地址，主機(jī)MAC為00d0.f800.073c，IP為02Switch#configureterminalSwitch(config)#interfacefastethernet0/3Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymac-address00d0.f800.073cip-address02Switch(config-if)#endSwitch#showmac案例（二）下面的例子是配置接口fastethernet0/353查看配置信息查看所有接口的安全統(tǒng)計(jì)信息，包括最大安全地址數(shù)，當(dāng)前安全地址數(shù)以及違例處理方式等

Switch#showport-security

SecurePortMaxSecureAddrCurrentAddrSecurityAction------------------------------------------------Gi1/381Protect查看安全地址信息Switch#showport-securityaddressVlanMacAddressIPAddressTypePortRemainingAge(mins)-------------------------------------------------100d0.f800.073c02ConfiguredFa0/381查看配置信息查看所有接口的安全統(tǒng)計(jì)信息，包括最大安全地址數(shù)，54課程議題IP訪問控制列表課程議題IP訪問控制列表55什么是訪問列表IPAccess-list：IP訪問列表或訪問控制列表，簡(jiǎn)稱IPACLACL就是對(duì)經(jīng)過網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包根據(jù)一定的規(guī)則進(jìn)行數(shù)據(jù)包的過濾ISP√什么是訪問列表IPAccess-list：IP訪問列表或訪56訪問列表的組成定義訪問列表的步驟第一步，定義規(guī)則（哪些數(shù)據(jù)允許通過，哪些數(shù)據(jù)不允許通過）第二步，將規(guī)則應(yīng)用在路由器（或交換機(jī)）的接口上訪問控制列表規(guī)則的分類：1、標(biāo)準(zhǔn)訪問控制列表2、擴(kuò)展訪問控制列表訪問列表的組成定義訪問列表的步驟57訪問列表規(guī)則的應(yīng)用路由器應(yīng)用訪問列表對(duì)流經(jīng)接口的數(shù)據(jù)包進(jìn)行控制1.入棧應(yīng)用（in）經(jīng)某接口進(jìn)入設(shè)備內(nèi)部的數(shù)據(jù)包進(jìn)行安全規(guī)則過濾2.出棧應(yīng)用（out）設(shè)備從某接口向外發(fā)送數(shù)據(jù)時(shí)進(jìn)行安全規(guī)則過濾一個(gè)接口在一個(gè)方向只能應(yīng)用一組訪問控制列表F1/0F1/1INOUT訪問列表規(guī)則的應(yīng)用路由器應(yīng)用訪問列表對(duì)流經(jīng)接口的數(shù)據(jù)包進(jìn)行58IPACL的基本準(zhǔn)則一切未被允許的就是禁止的定義訪問控制列表規(guī)則時(shí)，最終的缺省規(guī)則是拒絕所有數(shù)據(jù)包通過按規(guī)則鏈來進(jìn)行匹配使用源地址、目的地址、源端口、目的端口、協(xié)議、時(shí)間段進(jìn)行匹配規(guī)則匹配原則從頭到尾，至頂向下的匹配方式匹配成功馬上停止立刻使用該規(guī)則的“允許/拒絕……”IPACL的基本準(zhǔn)則一切未被允許的就是禁止的59IP標(biāo)準(zhǔn)訪問列表的配置1.定義標(biāo)準(zhǔn)ACL編號(hào)的標(biāo)準(zhǔn)訪問列表

Router(config)#access-list<1-99>{permit|deny}源地址[反掩碼]命名的標(biāo)準(zhǔn)訪問列表

switch(config)#ipaccess-liststandard<name>switch(config-std-nacl)#{permit|deny}源地址[反掩碼]2.應(yīng)用ACL到接口Router(config-if)#ipaccess-group<1-99>{in|out}IP標(biāo)準(zhǔn)訪問列表的配置1.定義標(biāo)準(zhǔn)ACL60標(biāo)準(zhǔn)IPACL配置示例要求網(wǎng)段的主機(jī)不可以訪問服務(wù)器，其它主機(jī)訪問服務(wù)器不受限制。

標(biāo)準(zhǔn)IPACL配置示例要求網(wǎng)段的主機(jī)不61標(biāo)準(zhǔn)IPACL配置示例R(config)#

access-list1denyhost標(biāo)準(zhǔn)IPACL配置示例62IP擴(kuò)展訪問列表的配置1.定義擴(kuò)展的ACL編號(hào)的擴(kuò)展ACLRouter(config)#access-list<100-199>{permit/deny}協(xié)議源地址反掩碼[源端口]目的地址反掩碼[目的端口]命名的擴(kuò)展ACLipaccess-listextended{name}{permit/deny}協(xié)議源地址反掩碼[源端口]目的地址反掩碼[目的端口]2.應(yīng)用ACL到接口Router(config-if)#ipaccess-group<100-199>{in|out}IP擴(kuò)展訪問列表的配置1.定義擴(kuò)展的ACL63擴(kuò)展IPACL配置示例為公司的文件服務(wù)器，要求網(wǎng)段中的主機(jī)能夠訪問中的FTP服務(wù)和WEB服務(wù)，而對(duì)服務(wù)器的其它服務(wù)禁止訪問。擴(kuò)展IPACL配置示例為公司的文件服務(wù)64名稱IPACL配置示例Router(config)#access-list100permitipanyany

名稱IPACL配置示例Router(config)#acc65訪問列表的驗(yàn)證顯示全部的訪問列表Router#showaccess-lists顯示指定的訪問列表Router#showaccess-lists<1-199>顯示接口的訪問列表應(yīng)用Router#showipinterface接口名稱接口編號(hào)訪問列表的驗(yàn)證顯示全部的訪問列表66IP訪問列表配置注意事項(xiàng)1、一個(gè)端口在一個(gè)方向上只能應(yīng)用一組ACL2、銳捷全系列交換機(jī)可針對(duì)物理接口和SVI接口應(yīng)用ACL針對(duì)物理接口，只能配置入棧應(yīng)用(In)針對(duì)SVI（虛擬VLAN）接口，可以配置入棧（In）和出棧（Out）應(yīng)用3、訪問列表的缺省規(guī)則是：拒絕所有IP訪問列表配置注意事項(xiàng)1、一個(gè)端口在一個(gè)方向上只能應(yīng)用一組67基于時(shí)間的ACL基于時(shí)間的ACL對(duì)于不同的時(shí)間段實(shí)施不同的訪問控制規(guī)則在原有ACL的基礎(chǔ)上應(yīng)用時(shí)間段任何類型的ACL都可以應(yīng)用時(shí)間段時(shí)間段絕對(duì)時(shí)間段（absolute）周期時(shí)間段（periodic）混合時(shí)間段基于時(shí)間的ACL基于時(shí)間的ACL68配置時(shí)間段配置時(shí)間段time-rangetime-range-name

Router(config)#配置絕對(duì)時(shí)間absolute{starttimedate[endtimedate]|endtimedate}

Router(config-time-range)#starttimedate：表示時(shí)間段的起始時(shí)間。time表示時(shí)間，格式為“hh:mm”。date表示日期，格式為“日月年”endtimedate：表示時(shí)間段的結(jié)束時(shí)間，格式與起始時(shí)間相同示例：absolutestart08:001Jan2010end10:001Feb2010配置時(shí)間段配置時(shí)間段time-rangetime-rang69配置時(shí)間段（續(xù)）配置周期時(shí)間periodicday-of-the-weekhh:mmto

[day-of-the-week]hh:mm

periodic{weekdays|weekend|daily}hh:mmtohh:mm

Router(config-time-range)#day-of-the-week：表示一個(gè)星期內(nèi)的一天或者幾天，Monday，Tuesday，Wednesday，Thursday，F(xiàn)riday，Saturday，Sundayhh:mm：表示時(shí)間weekdays：表示周一到周五weekend：表示周六到周日daily：表示一周中的每一天示例：periodicweekdays09:00to18:00配置時(shí)間段（續(xù)）配置周期時(shí)間periodicday-of-70配置時(shí)間段（續(xù)）應(yīng)用時(shí)間段在ACL規(guī)則中使用time-range參數(shù)引用時(shí)間段只有配置了time-range的規(guī)則才會(huì)在指定的時(shí)間段內(nèi)生效，其它未引用時(shí)間段的規(guī)則將不受影響確保設(shè)備的系統(tǒng)時(shí)間的正確！配置時(shí)間段（續(xù)）應(yīng)用時(shí)間段71基于時(shí)間的ACL配置示例在上班時(shí)間（9：00~18：00）不允許員工的主機(jī)（/24）訪問Internet，下班時(shí)間可以訪問Internet上的Web服務(wù)?；跁r(shí)間的ACL配置示例在上班時(shí)間（9：00~18：00）不72課程議題網(wǎng)絡(luò)地址轉(zhuǎn)換NAT課程議題網(wǎng)絡(luò)地址轉(zhuǎn)換73NAT實(shí)施NAT優(yōu)點(diǎn)：節(jié)省公共地址可減少編址方案重疊的情況發(fā)生將私有網(wǎng)絡(luò)轉(zhuǎn)化成公網(wǎng)時(shí)，無需要重新進(jìn)行編址NAT缺點(diǎn)：NAT會(huì)增加延遲無法進(jìn)行端到端的IP跟蹤NAT實(shí)施NAT優(yōu)點(diǎn)：74配置靜態(tài)NAT第一步：在路由器上配置IP路由選擇和IP地址。第二步：至少指定一個(gè)內(nèi)部接口和一個(gè)外部接口，方法是進(jìn)入接口配置模式下，執(zhí)行命令ipnat{inside|outside}。第三步：使用全局命令ipnatinsidesourcestaticlocal-ip{

interfaceinterface|global-ip}

配置靜態(tài)轉(zhuǎn)換條目。配置靜態(tài)NAT第一步：在路由器上配置IP路由選擇和IP地址。75配置靜態(tài)端口地址轉(zhuǎn)換第一步：在路由器上配置IP路由選擇和IP地址。第二步：至少指定一個(gè)內(nèi)部接口和一個(gè)外部接口，并執(zhí)行命令ipnat{inside|outside}。第三步：使用全局命令ipnatinsidesourcestatic{tcp|udp}local-iplocal-port{

interfaceinterface|global-ip}global-port指定靜態(tài)PAT條目。配置靜態(tài)端口地址轉(zhuǎn)換第一步：在路由器上配置IP路由選擇和IP76配置靜態(tài)外部源地址轉(zhuǎn)換

第一步：在路由器上配置IP路由選擇和IP地址。第二步：至少指定一個(gè)內(nèi)部接口和一個(gè)外部接口，方法是進(jìn)入接口配置模式下，并執(zhí)行命令ipnat{inside|outside}。第三步：使用全局命令ipnatoutsidesourcestatic

global-iplocal-ip指定靜態(tài)轉(zhuǎn)換條目。配置靜態(tài)外部源地址轉(zhuǎn)換第一步：在路由器上配置IP路由選擇和77配置動(dòng)態(tài)NAT第一步：在路由器上配置IP路由選擇和IP地址。第二步：至少指定一個(gè)內(nèi)部接口和一個(gè)外部接口，方法是進(jìn)入接口配置模式下，并執(zhí)行命令ipnat{inside|outside}。第三步：使用命令access-list

access-list-number{permit|deny}定義IP訪問控制列表，以明確哪些報(bào)文將被進(jìn)行NAT轉(zhuǎn)換。第四步：使用命令ipnatpoolpool-name

start-ipend-ip{netmask

netmask|prefix-l