《工業(yè)網(wǎng)絡(luò)技術(shù)與應(yīng)用（微課版）》-教案 第16次 1、訪問控制列表ACL概述2、第3層工業(yè)交換機訪問控制列表配置

第次課程教學(xué)方案備課時間備課教師教學(xué)時間年月日教學(xué)地點周次課時數(shù)4教學(xué)內(nèi)容（章、節(jié)）模塊/單元第8章工業(yè)網(wǎng)絡(luò)安全技術(shù)（1）1、訪問控制列表ACL概述2、第3層工業(yè)交換機訪問控制列表配置教學(xué)目標(biāo)和要求1.理解訪問控制列表2.掌握基于MAC地址的訪問控制列表配置方法3.掌握基于IP的訪問控制列表配置方法教學(xué)重點訪問控制列表的工作原理教學(xué)難點基于IP的訪問控制列表配置教學(xué)方法講授法、直觀演示法、實驗法、小組討論法等使用媒體資源√紙質(zhì)材料√多媒體課件√網(wǎng)絡(luò)資源□其他資源：使用教具、設(shè)備、設(shè)施等多媒體教學(xué)設(shè)備作業(yè)練習(xí)完成電子版實訓(xùn)報告課后記

教學(xué)內(nèi)容（板書）教學(xué)步驟、方法

及學(xué)生活動一、相關(guān)知識介紹1、ACL概述訪問控制列表（AccessControlList，ACL）是包過濾技術(shù)的核心內(nèi)容，通過獲取IP數(shù)據(jù)包的包頭信息，包括IP層所承載的上層協(xié)議的協(xié)議號，數(shù)據(jù)包的源地址、目的地址、源端口號和目的端口號等，然后與設(shè)定的規(guī)則進(jìn)行比較，根據(jù)比較的結(jié)果對數(shù)據(jù)包進(jìn)行處理，合法的允許通過，不合法的阻截并丟棄，以達(dá)到提高網(wǎng)絡(luò)安全性能的目的。(1)入口ACL傳入數(shù)據(jù)包經(jīng)過處理之后才會被路由到出站接口。因為如果數(shù)據(jù)包被丟棄，就節(jié)省了執(zhí)行路由查找的開銷，所以入口ACL非常高效。如果ACL允許該數(shù)據(jù)包，則會處理該數(shù)據(jù)包以進(jìn)行路由。當(dāng)與入接口連接的網(wǎng)絡(luò)是需要檢測的數(shù)據(jù)包的唯一來源時，適合使用入口ACL來過濾數(shù)據(jù)包。(2)出口ACL傳入數(shù)據(jù)包路由到出接口后，由出口ACL進(jìn)行處理。在來自多個入接口的數(shù)據(jù)包通過同一出接口之前，對數(shù)據(jù)包應(yīng)用相同過濾器時，最適合使用出站AC。2、ACL分類根據(jù)工作方式的不同，訪問控制列表分為基于MAC地址的ACL、基于IP地址的ACL和管理ACL三種類型。(1).基于MAC地址的ACL當(dāng)數(shù)據(jù)通過設(shè)置ACL規(guī)則的網(wǎng)絡(luò)設(shè)備時，網(wǎng)絡(luò)設(shè)備會查看設(shè)備內(nèi)的ACL規(guī)則表，判斷此數(shù)據(jù)攜帶的MAC地址是否能通過ACL規(guī)則由指定接口轉(zhuǎn)發(fā)。如圖2-3所示，在創(chuàng)建規(guī)則時明確定義源MAC地址和目的MAC地址，并將規(guī)則應(yīng)用在入端口或出端口上(2).基于IP地址的ACL當(dāng)數(shù)據(jù)通過設(shè)置ACL規(guī)則的網(wǎng)絡(luò)設(shè)備時，網(wǎng)絡(luò)設(shè)備會查看設(shè)備內(nèi)的ACL規(guī)則表，判斷此數(shù)據(jù)攜帶的IP地址是否能通過ACL規(guī)則由指定接口轉(zhuǎn)發(fā)。如圖2-4所示，定義規(guī)則時使用的是第3層的源IP地址和目的IP地址。(3).管理ACL要指定具有哪個IP地址的工作站允許訪問設(shè)備，必須組態(tài)相應(yīng)的IP地址或一個地址范圍，這就需要用到管理ACL。理論部分以教師講授為主要形式學(xué)生可以提問，由教師進(jìn)行進(jìn)一步的解釋和說明。。二、實驗講解、演示及分組練習(xí)實訓(xùn)任務(wù)1基于MAC地址的訪問控制列表配置首先完成所有設(shè)備IP地址配置，在此基礎(chǔ)上在第3層交換機XM408上配置基于MAC地址訪問控制列表，實現(xiàn)如下訪問控制：（1）只有S71200-A能通過P3端口訪問上位機，具有其他MAC地址的設(shè)備均不能通過P3端口訪問上位機；（2）只有S71200-B能通過P5端口訪問上位機，具有其他MAC地址的設(shè)備均不能通過P5端口訪問上位機。1.完成各設(shè)備IP地址配置2.在三層交換機XM-408上配置MACACL在左側(cè)選擇“Security”項目下的“MACACL”，進(jìn)入“MACAccessControlListConfiguration”界面，雙擊三次“Create”按鈕，產(chǎn)生三條默認(rèn)規(guī)則。對這三條規(guī)則修改后，點擊“SetValues”按鈕規(guī)則1： SourceMAC：源MAC地址8c:f3:19:10:23:9f是S71200-A的MAC地址；Dest.MAC： 目的MAC地址50-7B-9D-E9-CF-12是上位機的MAC地址。規(guī)則2： SourceMAC：源MAC地址8c:f3:19:10:26:53是S71200-B的MAC地址；Dest.MAC：目的MAC地址也是上位機的MAC地址。規(guī)則3： SourceMAC：源MAC地址00-00-00-00-00-00b代表的是任意MAC地址；Dest.MAC：目的MAC地址也是上位機的MAC地址?！癆ction”欄下拉列表中的“Forward”表示：如果報文滿足ACL規(guī)則就允許報文通過；“Discard”表示：如果報文滿足ACL規(guī)則就不允許報文通過。教師布置實驗任務(wù)，講解實驗拓?fù)浣Y(jié)構(gòu)及本實驗的具體內(nèi)容和要求教師邊講解邊演示實驗操作。學(xué)生可以提問，由教師進(jìn)行進(jìn)一步的解釋和說明。學(xué)生分組進(jìn)行自主練習(xí)3.在P3和P5入口方向上應(yīng)用MACACL規(guī)則4.基于MAC地址的訪問控制列表測試步驟1正常通訊測試在上位機輸入指令“ping1”和“ping2”，測試結(jié)果表明：上位機能夠訪問到兩個S71200PLC，且兩個S71200PLC均能通過設(shè)置的MACACL規(guī)則將數(shù)據(jù)包返回給上位機，說明相關(guān)的MAC地址和允許規(guī)則是匹配的。步驟2改變P3和P5端口連接設(shè)備測試將S71200-A和S71200-B的連接端口互換，分別輸入指令“ping1”和“ping2”，測試結(jié)果表明：由于P3和P5“入口”規(guī)則允許的源MAC地址發(fā)生了改變，P3端口禁止從S71200-B發(fā)出的數(shù)據(jù)包通過P3端口傳輸?shù)缴衔粰C，而P5端口也禁止從S71200-A發(fā)出的數(shù)據(jù)包通過P5端口傳輸?shù)缴衔粰C。教師邊講解邊演示實驗操作。學(xué)生可以提問，由教師進(jìn)行進(jìn)一步的解釋和說明。學(xué)生分組進(jìn)行自主練習(xí)任務(wù)2、基于IP地址的訪問控制列表配置首先完成3個交換機和PC的IP地址配置。在此基礎(chǔ)上在第3層交換機XM408上配置訪問控制列表ACL實現(xiàn)如下訪問控制：（1）PC通過XM408的P1端口只能與XB208_1設(shè)備通信；（2）PC通過XM408的P2端口只能與XB208_2設(shè)備通信步驟1通過瀏覽器訪問第3層交換機XM408（），登錄后進(jìn)入其配置界面。步驟2配置IPACL規(guī)則：在左側(cè)選擇Security->IPACL，在RulesConfiguration標(biāo)簽下完成ACL規(guī)則配置，單擊Create依次創(chuàng)建4條規(guī)則，并設(shè)置規(guī)則相應(yīng)的參數(shù)。步驟3將IPACL應(yīng)用在P1端口上?；贗P地址的訪問控制列表測試步驟1將PC插入P1端口：能與0的設(shè)備通信（滿足規(guī)則1）教師布置實驗任務(wù)，講解實驗拓?fù)浣Y(jié)構(gòu)及本實驗的具體內(nèi)容和要求教師邊講解邊演示實驗操作。學(xué)生可以提問，由教師進(jìn)行進(jìn)一步的解釋和說明。學(xué)生分組進(jìn)行自主練習(xí)步驟2將PC插入P1口：不能與0的設(shè)備通信（滿足規(guī)則4）步驟3將PC插入P2口：不能與0的設(shè)備通信（滿足規(guī)則3）步驟4將PC插入P2口：能與0的設(shè)備通信（滿足規(guī)則2）（1）三層工業(yè)交換機復(fù)位；