《工業(yè)網絡技術與應用（微課版）》-教案 第16次 1、訪問控制列表ACL概述2、第3層工業(yè)交換機訪問控制列表配置

第次課程教學方案備課時間備課教師教學時間年月日教學地點周次課時數4教學內容（章、節(jié)）模塊/單元第8章工業(yè)網絡安全技術（1）1、訪問控制列表ACL概述2、第3層工業(yè)交換機訪問控制列表配置教學目標和要求1.理解訪問控制列表2.掌握基于MAC地址的訪問控制列表配置方法3.掌握基于IP的訪問控制列表配置方法教學重點訪問控制列表的工作原理教學難點基于IP的訪問控制列表配置教學方法講授法、直觀演示法、實驗法、小組討論法等使用媒體資源√紙質材料√多媒體課件√網絡資源□其他資源：使用教具、設備、設施等多媒體教學設備作業(yè)練習完成電子版實訓報告課后記

教學內容（板書）教學步驟、方法

及學生活動一、相關知識介紹1、ACL概述訪問控制列表（AccessControlList，ACL）是包過濾技術的核心內容，通過獲取IP數據包的包頭信息，包括IP層所承載的上層協(xié)議的協(xié)議號，數據包的源地址、目的地址、源端口號和目的端口號等，然后與設定的規(guī)則進行比較，根據比較的結果對數據包進行處理，合法的允許通過，不合法的阻截并丟棄，以達到提高網絡安全性能的目的。(1)入口ACL傳入數據包經過處理之后才會被路由到出站接口。因為如果數據包被丟棄，就節(jié)省了執(zhí)行路由查找的開銷，所以入口ACL非常高效。如果ACL允許該數據包，則會處理該數據包以進行路由。當與入接口連接的網絡是需要檢測的數據包的唯一來源時，適合使用入口ACL來過濾數據包。(2)出口ACL傳入數據包路由到出接口后，由出口ACL進行處理。在來自多個入接口的數據包通過同一出接口之前，對數據包應用相同過濾器時，最適合使用出站AC。2、ACL分類根據工作方式的不同，訪問控制列表分為基于MAC地址的ACL、基于IP地址的ACL和管理ACL三種類型。(1).基于MAC地址的ACL當數據通過設置ACL規(guī)則的網絡設備時，網絡設備會查看設備內的ACL規(guī)則表，判斷此數據攜帶的MAC地址是否能通過ACL規(guī)則由指定接口轉發(fā)。如圖2-3所示，在創(chuàng)建規(guī)則時明確定義源MAC地址和目的MAC地址，并將規(guī)則應用在入端口或出端口上(2).基于IP地址的ACL當數據通過設置ACL規(guī)則的網絡設備時，網絡設備會查看設備內的ACL規(guī)則表，判斷此數據攜帶的IP地址是否能通過ACL規(guī)則由指定接口轉發(fā)。如圖2-4所示，定義規(guī)則時使用的是第3層的源IP地址和目的IP地址。(3).管理ACL要指定具有哪個IP地址的工作站允許訪問設備，必須組態(tài)相應的IP地址或一個地址范圍，這就需要用到管理ACL。理論部分以教師講授為主要形式學生可以提問，由教師進行進一步的解釋和說明。。二、實驗講解、演示及分組練習實訓任務1基于MAC地址的訪問控制列表配置首先完成所有設備IP地址配置，在此基礎上在第3層交換機XM408上配置基于MAC地址訪問控制列表，實現如下訪問控制：（1）只有S71200-A能通過P3端口訪問上位機，具有其他MAC地址的設備均不能通過P3端口訪問上位機；（2）只有S71200-B能通過P5端口訪問上位機，具有其他MAC地址的設備均不能通過P5端口訪問上位機。1.完成各設備IP地址配置2.在三層交換機XM-408上配置MACACL在左側選擇“Security”項目下的“MACACL”，進入“MACAccessControlListConfiguration”界面，雙擊三次“Create”按鈕，產生三條默認規(guī)則。對這三條規(guī)則修改后，點擊“SetValues”按鈕規(guī)則1： SourceMAC：源MAC地址8c:f3:19:10:23:9f是S71200-A的MAC地址；Dest.MAC： 目的MAC地址50-7B-9D-E9-CF-12是上位機的MAC地址。規(guī)則2： SourceMAC：源MAC地址8c:f3:19:10:26:53是S71200-B的MAC地址；Dest.MAC：目的MAC地址也是上位機的MAC地址。規(guī)則3： SourceMAC：源MAC地址00-00-00-00-00-00b代表的是任意MAC地址；Dest.MAC：目的MAC地址也是上位機的MAC地址?！癆ction”欄下拉列表中的“Forward”表示：如果報文滿足ACL規(guī)則就允許報文通過；“Discard”表示：如果報文滿足ACL規(guī)則就不允許報文通過。教師布置實驗任務，講解實驗拓撲結構及本實驗的具體內容和要求教師邊講解邊演示實驗操作。學生可以提問，由教師進行進一步的解釋和說明。學生分組進行自主練習3.在P3和P5入口方向上應用MACACL規(guī)則4.基于MAC地址的訪問控制列表測試步驟1正常通訊測試在上位機輸入指令“ping1”和“ping2”，測試結果表明：上位機能夠訪問到兩個S71200PLC，且兩個S71200PLC均能通過設置的MACACL規(guī)則將數據包返回給上位機，說明相關的MAC地址和允許規(guī)則是匹配的。步驟2改變P3和P5端口連接設備測試將S71200-A和S71200-B的連接端口互換，分別輸入指令“ping1”和“ping2”，測試結果表明：由于P3和P5“入口”規(guī)則允許的源MAC地址發(fā)生了改變，P3端口禁止從S71200-B發(fā)出的數據包通過P3端口傳輸到上位機，而P5端口也禁止從S71200-A發(fā)出的數據包通過P5端口傳輸到上位機。教師邊講解邊演示實驗操作。學生可以提問，由教師進行進一步的解釋和說明。學生分組進行自主練習任務2、基于IP地址的訪問控制列表配置首先完成3個交換機和PC的IP地址配置。在此基礎上在第3層交換機XM408上配置訪問控制列表ACL實現如下訪問控制：（1）PC通過XM408的P1端口只能與XB208_1設備通信；（2）PC通過XM408的P2端口只能與XB208_2設備通信步驟1通過瀏覽器訪問第3層交換機XM408（），登錄后進入其配置界面。步驟2配置IPACL規(guī)則：在左側選擇Security->IPACL，在RulesConfiguration標簽下完成ACL規(guī)則配置，單擊Create依次創(chuàng)建4條規(guī)則，并設置規(guī)則相應的參數。步驟3將IPACL應用在P1端口上?；贗P地址的訪問控制列表測試步驟1將PC插入P1端口：能與0的設備通信（滿足規(guī)則1）教師布置實驗任務，講解實驗拓撲結構及本實驗的具體內容和要求教師邊講解邊演示實驗操作。學生可以提問，由教師進行進一步的解釋和說明。學生分組進行自主練習步驟2將PC插入P1口：不能與0的設備通信（滿足規(guī)則4）步驟3將PC插入P2口：不能與0的設備通信（滿足規(guī)則3）步驟4將PC插入P2口：能與0的設備通信（滿足規(guī)則2）（1）三層工業(yè)交換機復位；