(9.13)-《路由器技术》第11章计算机网络

11-保护三层子网通信安全【单元背景】三层交换技术通过Vlan以及子网技术，把大的网络划分为多个较小的广播域的子网络，各个Vlan间采用三层交换技术实现连通。网络采用三层交换技术架构，避免二层交换技术缺陷。在子网间采用安全访问控制策略，能加强网络整体安全，实现Vlan或三层子网之间安全访问控制，决定哪些用户数据流可以在Vlan或三层子网之间交换，最终到达核心层。三层网络安全技术解决针对三层网络中出现安全隐患，保证数据传输安全。【学习目标】学习访问控制列表技术安全实施原理配置标准ACL访问规则，保护子网安全配置扩展ACL访问规则，保护子网中服务安全学习命名访问控制列表技术，优化网络安全配置实施Vlan间安全访问控制11.1路由安全基础在一个园区网络中，如果三层网络安全没有保障，整个网络也就毫无安全可言。在网络管理上，必须对三层设备合理规划、配置，采取必要安全措施，避免因三层网络自身问题，给整个网络系统带来漏洞和风险，如图11-1显示三层网络中各种干扰和攻击。11.2三层设备登录安全配置路由器控制台密码：Router（config）#enablepasswordstar!表示输入的是明文形式的口令Router（config）#enablesecretstar!表示输入的是密文形式的口令在同一台设备上，如果同时启用两种类型密码，则Secret密文格式有优先权。该命令的no命令格式，可以删除指定级别的口令。Router（config）#noenablesecret。11.2三层设备登录安全支持配置远程登录方式，在line配置模式下执行以下命令：Ruijie#configureterminalRuijie（config）#linevty0！远程登录line线路进行认证口令Ruijie(config-line)#passwordpassword

！指定line线路口令Ruijie(config-line)#login！启用line线路口令保护11.3访问控制列表基础1.什么是访问控制列表访问控制列表ACL（AccessControlList）技术是数据包过滤技术。通过对网络中通过数据包过滤，实现网络输入和输出访问控制,如图11-2显示数据包过滤检查过程。11.3访问控制列表基础配置在三层设备中ACL是一张规则检查表，包含很多指令，告诉三层设备：接收哪些数据包，拒绝哪些数据包，如图11-3所示。11.3访问控制列表基础如图11-4显示数据包过滤流程，三层设备按照ACL中指令顺序，处理每一个进入数据包，对进入或流出数据过滤，ISP1、什么是访问列表

Access-list：访问控制列表，简称ACL

ACL就是对经过网络设备的数据包，根据一定的规则，进行数据包的过滤。√FTPRG-S2126RG-S3512G/RG-S4009RG-NBR1000InternetRG-S2126不同部门所属VLAN不同12221112技术部VLAN20财务部VLAN10隔离病毒源隔离外网病毒2、为什么要使用访问列表3、访问列表的组成

定义访问列表的步骤第一步：定义规则（哪些数据允许通过，哪些数据不允许通过）第二步：将规则应用在路由器（或交换机）的接口上

访问控制列表的分类：1、标准访问控制列表2、扩展访问控制列表3、命名的访问控制列表4、基于时间访问控制列表5、专家级访问控制列表

访问控制列表规则元素源IP、目的IP、源端口、目的端口、协议、服务4、访问列表规则的应用

路由器应用访问列表，对流经接口的数据包进行控制：

1.入栈应用（in）

2.出栈应用（out）5、ACL的基本准则

一切未被允许的就是禁止的。路由器或三层交换机缺省允许所有的信息流通过;

而防火墙缺省封锁所有的信息流，然后对希望提供的服务逐项开放。

按规则链来进行匹配使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配

从头到尾，至顶向下的匹配方式

匹配成功马上停止

立刻使用该规则的“允许、拒绝……”Y拒绝Y是否匹配

测试条件1?允许N拒绝允许是否匹配

测试条件2?拒绝是否匹配

最后一个

测试条件

?YYNYY允许被系统隐

含拒绝N6、一个访问列表多个测试条件

标准访问列表根据数据包源IP地址进行规则定义

扩展访问列表根据数据包中源IP、目的IP、源端口、目的端口、协议进行规则定义7、ACL分类

标准的访问列表只能根据源IP地址，进行数据包的过滤。例在校园网中，学生网段不可以访问教研网段，但校领导网段可以访问教研网段学生网段校领导网段教研网段8、标准访问列表规则的定义（1）源地址TCP/UDP数据IP

eg.HDLC1-99号列表IP标准访问列表（2）1、定义标准ACLRouter(config)#access-list<1-99>{permit|deny}源地址[反掩码]Switch(config)#Ipaccess-list<1-99>{permit|deny}源地址[反掩码]2、应用ACL到接口Router(config-if)#ipaccess-group<1-99>|{name}{in|out}access-list1permit

55(access-list1deny55)interfaceserial0ipaccess-group1outF0S0F1InternetIP标准访问列表配置（3）只允许网络中的计算机访问互联网络IP标准访问列表配置技术（4）

假使在我们的网络管理过程中，要阻止网络中地址为5的一台主机通过E0访问网络，而允许其他的机器访问网络，可以通过如下操作Router（config）

#access-list1denyhost5Router（config）#access-list1permitanyRouter（config）#interfaceethernet0Router（config-if）#ipaccess-group1in

0表示检查相应的地址比特

1表示不检查相应的地址比特001111111286432168421000000000000111111111100111111119、配置中的反掩码（通配符）技术通配符掩码是一个32比特位。在通配符掩码位中，0表示“检查相应的位”，1表示“不检查相应的位”。通配符掩码与IP地址是成对出现.通配符掩码与子网掩码工作原理是不同的。在IP子网掩码中，数字1和0用来决定是网络，还是主机的IP地址。如表示这个网段，使用通配符掩码应为55。在通配符掩码用55表示所有IP地址，全为1说明所有32位都不检查相应的位，这是可以用any来取代。的通配符掩码则表示所有32位都要进行匹配，这样只表示一个IP地址，可以用host表示。10、ACL分类（2）-扩展的访问列表

扩展的访问列表

扩展ACL可以根据数据包内的源、目的地址，应用服务进行过滤。例教师网段可以访问内网的邮件服务器，而学生网不可以访问，但可以访问内网的网站。学生网段校领导网段邮件serverWEBserver目的地址源地址协议端口号100-199号列表TCP/UDP数据IP

eg.HDLCIP扩展访问列表（1）IP扩展访问列表的配置（2）1、定义扩展的ACLRouter(config)#access-list<100-199>{permit/deny}协议

源地址反掩码

[源端口]目的地址反掩码

[目的端口]2、应用ACL到接口Router(config-if)#ipaccess-group<100-199>|{name}{in|out}IP扩展访问列表配置实例（3）

创建一条ExtendedIPACL，允许网络内所有主机，可以访问HTTP服务器，但拒绝其它所有主机使用网络。

Switch(config)#access-list111permittcp55hosteqwwwSwitch#showaccess-lists网络实践1：配置标准ACL规则，保护子网安全【任务场景】某校园网中由于没有实施部门安全策略，出现学生登录到教师网查看试卷情况。因此学校要求禁止学生宿舍网络访问教师网络。如图11-12所示办公网络场景。【设备清单】：路由器（1台）、计算机（>=3台）、

双绞线（若干根）。【工作过程】(省略）网络实践2：配置扩展ACL，保护子网中应用安全【任务场景】某学校教师网中搭建一台FTP服务器，但出现学生登录到教师网FTP网络服务器查看试卷情况。因此，学校允许学生访问教师网络，但禁止学生访问教师网中FTP服务器。如图11-13所示的网络拓扑是不允许学生访问教师网中FTP服务器。【设备清单】：路由器（2台）、计算机（>=3台）、

双绞线。【工作过程】(省略）11.6命名ACL技术编号的ACL使用数字对ACL命名，不能反映这个ACL实际功能，所以还提供命名ACL技术。在命名ACL中，使用字母或数字组合字符串，不仅形象描述该ACL功能，还可以方便修改、删除。11.7标准命名ACL命名ACL同样包括标准命名ACL和扩展命名ACL两种，定义过滤的语句的方式及规则和编号ACL方式相似。以下在三层交换机上配置命名ACL语法。Switch(config)#ipaccess-liststandardtest1

！命名了标准访问控制列表Switch(config-std-nacl)#deny55！拒绝的网络Switch(config-std-nacl)#permitany！允许任何其他网络访问Switch(config-std-nacl)#exit

Switch(config)#int

s1/0！进入S1/0接口Switch(config-if)#ipaccess-grouptest1in！把命名ACL应用到接口S1/011.8扩展命名ACL扩展命名ACL配置和编号ACL相似。以下是在三层交换机上，实施扩展命名ACL语法。Switch(config)#ipaccess-listextendedtest2

！定义命名扩展访问控制列表Switch(config-ext-nacl)#denyicmp5555Switch（config-ext-nacl)#permitipanyany

！允许其他一切访问

Switch(config)#int

f0/0Switch(config-if)#ipaccess-grouptest2o