网络设备安装与调试（锐捷版）（第2版）课件 项目5 配置路由器接入广域网；项目6 配置网络安全技术

网络设备安装与维护1+X职业技能等级证书配套教材数字化课程推荐精品教材职业教育新形态活页式教材项目5：配置路由器接入广域网十二五职业教育国家规划教材《网络设备安装与调试》（锐捷版）（V2.0)一期建设完成北京某中心小学校园网采用三层架构部署，使用高性能的交换机连接，实现校园网的高速传输。校园网出口采用路由器接入到北京市普教城域网中，通过路由实现全网联通。在使用过程中，发现接入普教城域网速度受限，增加一条电信链路，配置路由器接入广域网。项目背景目录Contents任务1配置路由器广域网链路任务2配置路由器广域网链路认证任务3配置路由器NAT技术任务1配置路由器广域网链路广域网的概念服务供应商广域网（WideAreaNetworks，WAN）距离远、带宽小、延时大5.1.1广域网链路广域网覆盖范围从数千米到数千千米，连接若干城市，甚至跨越国界，成为全球网络。广域网将地理上相隔很远局域网互联起来。5.1.1广域网链路广域网是互联网核心，其任务是通过长距离运送数据。连接广域网各结点交换机的链路都是高速链路，其距离是几千千米光缆线路，实现网络通信。5.1.1广域网链路广域网应用于大部分行业。在教育行业中应用于出口链路。金融行业主要应用于各级分行互联，政府行业应用于各级部门互联。5.1.1广域网链路广域网类型可分为专线、电路交换、分组交换、VPN等类型。典型专线技术有DDN、E1、POS、MSTP等。5.1.1广域网链路典型电路交换技术有PSTN模拟拨号和ISDN数字拨号等。5.1.1广域网链路典型的分组交换技术有FR、ATM、X.25等。5.1.1广域网链路虚拟专用网络（VirtualPrivateNetwork，VPN）指本地LAN和远程LAN通过宽带拨号或固定IP互联，在两者之间建立二层或三层隧道穿越互联网。主要用于穿越公网，提供数据加密、数据包完整性检验、身份认证等功能。PPP概述PPP（Point-to-PointProtocol点到点协议）是为在同等单元之间传输数据包这样的简单链路设计的链路层协议。这种链路提供全双工操作，并按照顺序传递数据包。PPP是一种分层的协议，最初由LCP发起对链路的建立、配置和测试。在LCP初始化后，通过一种或多种“网络控制协议（NCP）”来传送特定协议族的通信。PPP提供了一种在点对点的链路上封装多协议数据报（IP、IPX和AppleTalk）的标准方法。5.1.2配置路由器设备的PPP协议一种数据流传送方式，该方式与数据报传送方式不同，用数据流替代一个个的数据帧，使用流作为数据发送单位，整个流数据具有一个地址信息，只需要进行一次地址验证即可。PPP协议简介PPP协议是目前使用最广泛的广域网协议，这是因为它具有以下特性：

能够控制数据链路的建立；能够对IP地址进行分配和使用；允许同时采用多种网络层协议；能够配置和测试数据链路；能够进行错误检测；有协商选项，能够对网络层的地址和数据压缩等进行协商。5.1.2配置路由器设备的PPP协议1．概述点到点协议（Point-to-PointProtocol，PPP）在同等单元之间传输，是WAN连接简单链路设计链路层。提供全双工操作，按照顺序传递数据包。LCP(连接控制协议)NCP(网络控制协议)21(IP,IPX,AppleTalk)3PPP协议结构(EIA/TIA-232,V.24,V.35,ISDN)5.1.2配置路由器设备的PPP协议因为链路失效、认证失败、链路质量状态失败、链路空闲时间超时以及管理员关闭链路等原因，可随时进入链路终止状态。PPP协议会在发送Terminate-Request并接收到Terminate-ACK以后进入该状态。PPP帧结构PPP帧格式和HDLC帧格式相似，主要区别：PPP是面向字符的，而HDLC是面向位的。PPP的工作过程在点对点链路的配置、维护和终止过程中，PPP需经历以下几个阶段：链路不可用阶段链路建立阶段验证阶段网络层协议阶段网络终止阶段【综合实训1】：配置路由器PPP协议【综合实训1】：配置路由器PPP协议【综合实训1】：配置路由器PPP协议【综合实训1】：配置路由器PPP协议【综合实训1】：配置路由器PPP协议任务2

配置广域网链路认证PPP帧结构PPP帧格式和HDLC帧格式相似，主要区别：PPP是面向字符的，而HDLC是面向位的。PPP的工作过程在点对点链路的配置、维护和终止过程中，PPP需经历以下几个阶段：链路不可用阶段链路建立阶段验证阶段网络层协议阶段网络终止阶段PAP和CHAP认证PPP支持两种授权协议：PAP（PasswordAuthenticationProtocol）和CHAP（ChallengeHandAuthenticationProtocol）。密码验证协议（PAP，PasswordAuthenticationProtocol）通过两握手机制，为建立远程节点的验证提供了一个简单的方法。挑战握后验证协议（CHAP，ChallengeHandAuthenticationProtocol）使用三次握手机制来启动一条链路和周期性的验证远程节点。PAP认证PAP认证是两次握手，PAP不是一种健壮的身份验证协议。身份验证时在链路上以明文发送，而且由于验证重试的频率和次数由远程节点来控制，因此不能防止回放攻击和重复的尝试攻击。5.2.1PPP协议安全认证PPP链路协商中，可以配置认证，客户端将身份发送给远端接入服务器。该阶段使用一种安全验证，避免第三方窃取数据，或冒充远程客户接管，与客户端连接。5.2.1PPP协议安全认证PAP简单明文验证方式，接入服务器要求用户提供用户名和口令，PAP以明文方式返回用户信息。这种验证方式安全性差，第三方很容易获取用户名和口令。5.2.1PPP协议安全认证CHAP加密验证方式，比PAP认证更安全，因为CHAP不在线路上发送明文密码，而是发送经过摘要算法加工过随机序列，也称“挑战字符串”。CHAP认证CHAP为三次握手协议它只在网络上传送用户名而不传送口令PPP验证过程CHAP身份验证呼叫阶段CAHP身份验证挑战阶段PPP验证过程CHAP身份验证回应阶段PPP验证过程CHAP身份验证回应阶段PPP验证过程CHAP身份验证确认阶段PPP验证过程CHAP身份验证确认阶段（成功）PPP验证过程CHAP身份验证确认阶段（失败）配置PPP协议配置时钟频率，需要在DCE设备上配置配置封装协议。Router(config-if)#clockratebps

Router(config-if)#encapsulationencapsulation-type

配置PAP认证服务器端，建立本地口令数据库服务器端，要求进行PAP认证客户端将用户名和口令发送到对端Router(config-if)#username

name{nopassword|password{password|[0|7]

Router(config-if)#pppauthentication

{chap|pap|chap

pap|papchap}[callin]

Router(config-if)#ppppapsent-username

username[password

encryption-typepassword]

配置CHAP认证服务器端和客户端，建立本地口令数据库服务器端，要求进行CHAP认证Router(config-if)#username

name{nopassword|password{password|[0|7]

Router(config-if)#pppauthentication

{chap|pap|chap

pap|papchap}[callin]

故障排除检查二层的封装，同时也可以显示LCP和NCP两者的状态，观察PPP通讯过程中的报文信息查看在PPP通讯过程中授权调试信息Router#showinterfaceserial

Router#debugppppackets

Router#degub

pppauthentication

5.2.2配置PAP协议安全认证5.2.3配置CHAP协议安全认证【综合实训2】：配置PAP协议安全认证【综合实训2】：配置PAP协议安全认证【综合实训2】：配置PAP协议安全认证【综合实训3】：配置CHAP协议安全认证【综合实训3】：配置CHAP协议安全认证【综合实训3】：配置CHAP协议安全认证任务3

配置NAT技术NAT概念NAT英文全称是“NetworkAddressTranslation”，中文意思是“网络地址转换”，它是一个IETF(InternetEngineeringTaskForce,Internet工程任务组)标准，允许一个整体机构以一个公用IP（InternetProtocol）地址出现在Internet上。它是一种把内部私有网络地址（IP地址）翻译成合法网络IP地址的技术。NAT的典型应用是将使用私有IP地址（RFC1918）的园区网络连接到Internet5.3.1了解路由器NAT技术NAT把地址分成内部地址和外部地址。内部地址分为内部本地（InsideLocal，IL）地址和内部全局（InsideGlobal，IG）地址。外部地址分为外部本地（OutsideLocal，OL）地址和外部全局（OutsideGlobal，OG）地址。地址空间不足带来的问题注册IP地址空间将要耗尽，而internet的规模仍在持续增长随着internet的增长，骨干互联网路由选择表中的IP路由数据也在增加，这引发了路由选择算法的扩展问题NAT是一种节约大型网络中注册IP地址并简化IP寻址管理任务的机制，NAT已经标准化并在RFC1613中描述。

NAT的用途解决地址空间不足的问题；IPv4的空间已经严重不足私有IP地址网络与公网互联；/8，/12，/16非注册IP地址网络与公网互联；建网时分配了全局IP地址－但没注册网络改造中，避免更改地址带来的风险5.3.1了解路由器NAT技术私有地址00在互联网上不被传输的地址，当PC访问远程主机时，数据包要通过一个运行NAT技术路由器。NAT术语术语定义内部本地IP地址分配给内部网络中的主机的IP地址，通常这种地址来自RFC1918指定的私有地址空间。内部全局IP地址内部全局IP地址，对外代表一个或多个内部本地IP地址，通常这种地址来自全局惟一的地址空间，通常是ISP提供的。外部全局IP地址外部网络中的主机的IP地址，通常来自全局可路由的地址空间。外部本地IP地址在内部网络中看到的外部主机的IP地址，通常来自RFC1918定义的私有地址空间。简单转换条目将一个IP地址映射到另一个IP地址（通常被称为网络地址转换）的转换条目。扩展转换条目将一个IP地址和端口对映射到另一个IP地址和端口（通常被称为端口地址转换）对的转换条目。NAT术语NAT转换包括多种不同类型，并可用于多种目的静态NAT：按照一一对应的方式将每个内部IP地址转换为一个外部IP地址，这种方式经常用于企业网的内部设备需要能够被外部网络访问到时。动态NAT：将一个内部IP地址转换为一组外部IP地址（地址池）中的一个IP地址。超载（Overloading）NAT：动态NAT的一种实现形式，利用不同端口号将多个内部IP地址转换为一个外部IP地址，也称为PAT、NAPT或端口复用NAT。5.3.1了解路由器NAT技术当内网中主机，想传输数据到外部网络，先将数据包传输到NAT路由器，路由器检查报头，获取源IP信息，使用NAT映射表转换，用内部全局地址替换内部本地地址，转发数据包。NAPT的工作过程5.3.2了解路由器NAPT技术在Internet使用NAPT时，所有不同TCP和UDP信息流看起来好像来源同一IP。在小型办公室非常实用，从ISP处申请一个IP地址，将多个连接通过NAPT接入Internet。5.3.3配置路由器NAT技术5.3.3配置路由器NAT技术5.3.4配置路由器NAPT技术NAT实现私有IP地址和公共IP地址之间转换，受到公共IP地址数量限制。为了克服这种限制，NAT进一步扩展到，进行Port转换，这就是NAPT技术。NAPT与NAT区别在于，NAPT不仅转换IP包中IP地址，还对IP包中TCP和UDP的Port转换。这使得多台私有网主机利用1个NAT公共IP，可以同时和公共网通信。【综合实训4】：配置路由器NAPT技术【综合实训4】：配置路由器NAPT技术【综合实训4】：配置路由器NAPT技术THANKS

十二五职业教育国家规划教材网络设备安装与维护1+X职业技能等级证书配套教材数字化课程推荐精品教材职业教育新形态活页式教材项目6：配置网络安全技术十二五职业教育国家规划教材《网络设备安装与调试》（锐捷版）（V2.0)一期建设完成北京某中心小学校园网采用三层架构部署，使用高性能的交换机连接，实现校园网的高速传输。为保障校园网安全，需要校园网实施接入端口安全；在核心网实施访问控制安全，避免遭受网络安全事件发生。项目背景目录Contents任务1：配置网络设备登录安全。任务2：配置交换机端口安全。任务3：配置编号访问控制列表安全任务4：配置名称访问控制列表安全任务1配置设备登录安全常见安全隐患网络安全的隐患是指计算机或其他通信设备利用网络进行交互时可能会受到的窃听、攻击或破坏，它是指具有侵犯系统安全或危害系统资源的潜在的环境、条件或事件。园区网络安全隐患包括的范围比较广，如自然火灾、意外事故、人为行为（如使用不当、安全意识差等）、黑客行为、内部泄密、外部泄密、信息丢失、电子监听（信息流量分析、信息窃取等）和信息战等。非人为或自然力造成的硬件故障、电源故障、软件错误、火灾、水灾、风暴和工业事故等。人为但属于操作人员无意的失误造成的数据丢失或损坏。来自园区网外部和内部人员的恶意攻击和破坏。园区网安全解决方案思路制定一个严格的安全策略可以通过交换机端口安全配置访问控制列表ACL在防火墙实现包过滤等技术实现一套可行的园区网安全解决方案。宣传教育6.1.1配置交换机控制台密码通过以下方式给交换机设置密码。设置密码后，用户登录交换机时，需要输入密码才能进入用户模式。一般还设置特权密码，用户从用户模式到特权模式时需要输入密码。6.1.2配置路由器控制台密码配置设备时，如果已登录设备，管理员离开计算机后有外人靠近计算机对网络设备配置，则可能会出现问题。需要给控制台设置超时时间，在一段时间没有配置网络设备自动退出，需要再次输入密码。【综合实训1】：配置控制台密码【综合实训1】：配置控制台密码【综合实训1】：配置控制台密码目录Contents任务1：配置网络设备登录安全。任务2：配置交换机端口安全。任务3：配置编号访问控制列表安全任务4：配置名称访问控制列表安全任务2配置交换机端口安全交换机端口安全概述交换机的端口安全机制是工作在交换机二层端口上的一个安全特性只允许特定MAC地址的设备接入到网络中，从而防止用户将非法或未授权的设备接入网络。限制端口接入的设备数量，防止用户将过多的设备接入到网络中。配置端口安全存在以下限制：一个安全端口必须是一个Access端口，及连接终端设备的端口，而非Trunk端口。一个安全端口不能是一个聚合端口（AggregatePort）。一个安全端口不能是SPAN的目的端口。6.2.1配置交换机端口安全1．端口安全交换机有端口安全，利用端口安全，实现接入安全，限制交换机上某个端口MAC地址及IP地址，控制对该端口输入。当打开端口安全，配置安全地址后，除源地址为这些安全地址包外，不转发其它任何包。6.2.1配置交换机端口安全当该端口收到不属于端口包，一个安全违例将产生，选择多种方式来处理违例，如丢弃接收到的数据包、发送违例通知或关闭相应端口等。设置了安全端口上安全地址的最大个数后，可以使用下面几种方式加满端口上的安全地址。使用接口配置模式下的命令“switchportport-securitymac-addressmac-address[ip-addressip-address]”，来手工配置端口的所有安全地址。交换机端口安全当配置完成端口安全之后，如果当违例产生时，可以设置下面几种针对违例的处理模式：protect：当安全地址个数满后，安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包restrict：当违例产生时，交换机不但丢弃接收到的帧（MAC地址不在安全地址表中），而且将发送一个SNMPTrap报文shutdown：当违例产生时，交换机将丢弃接收到的帧（MAC地址不在安全地址表中），发送一个SNMPTrap报文，而且将端口关闭。6.2.1配置交换机端口安全2．端口安全违例端口安全主要有以下两种作用。Ø 限制交换机端口能接入的最大主机数。Ø 根据需要针对端口绑定用户地址。当用户发出不符合交换机端口安全的数据时，交换机会进行违例处理，方法如下。Ø Protect：当安全地址个数满后，安全端口将丢弃所有新接入的用户数据流。该处理模式为默认的对违例的处理模式。Ø Restrict：当违例产生时，将发送一个Trap通知。Ø Shutdown：当违例产生时，将关闭端口并发送一个Trap通知。6.2.1配置交换机端口安全3．配置端口安全（1）开启端口安全。Switch(config-if-FastEthernet0/1)#switchportport-security（2）配置安全策略。其中一个方式是配置最大安全地址数。Switch(config-if-FastEthernet0/1)#switchportport-securitymaximumnumber一个千兆接口上最多支持120个同时申明IP地址和MAC地址的安全地址。（3）绑定用户信息。针对端口进行MAC地址绑定（只绑定并检查二层源MAC）：Switch(config-if-FastEthernet0/1)#switchportport-securitymac-addressmac-addressvlanvlan-id6.2.1配置交换机端口安全3．配置端口安全针对端口绑定IP（只绑定并检查源IP）：Switch(config-if-FastEthernet0/1)#switchportport-securitybindingip-address针对端口绑定IP+MAC（绑定并检查源MAC和源IP）：Switch(config-if-FastEthernet0/1)#switchportport-securitybindingmac-addressvlanvlan-idip-address6.2.1配置交换机端口安全4.设置违例方式。Switch(config-if-FastEthernet0/1)#switchportport-securityviolation{protect|restrict|shutdown}如果上述违例方式设为shutdown且出现违例后，要恢复端口的操作，即：Switch(config)#errdisablerecovery备注：关于端口和接口区别：接口主要为设备的物理口，例如：Fa0/1或Gi0/1；而端口的表现范围更加广泛，不仅仅包括物理接口，还包括虚拟的口，例如：vlan10或loopback0等。6.2.2配置交换机保护端口安全在将某些端口设为保护口之后，保护口之间无法互相通信，保护口与非保护口之间已经可以正常通信。如图所示。6.2.2配置交换机保护端口安全在接口下将其配置为保护口：switch(config-if-FastEthernet0/1)#switchportprotected查看信息的命令如下：switch#showinterfacesswitchport

6.2.3配置交换机镜像端口安全端口镜像用于监控，把交换机一个或多个端口数据，镜像到另一个端口方法。交换机把某一个端口接收或发送的数据帧完全相同地复制给另一个端口。其中被复制的端口称为镜像源端口，复制的端口称为镜像目的端口。镜像是将交换机某个端口的流量复制到另一个端口（镜像端口），并进行监测。

6.2.3配置交换机镜像端口安全交换机的镜像技术是将交换机某个端口的数据流量，复制到另一个端口（镜像端口）进行监测的安全防范技术。大多数交换机支持镜像技术，称Mirroring或Spanning，默认交换机上这种功能是屏蔽。

6.2.3配置交换机镜像端口安全交换机镜像方便对交换机进行故障诊断。通过分析故障交换机包信息，了解故障原因。通过一台交换机监控网络中另一台，称“Mirroring”或“Spanning”。6.2.3配置交换机镜像端口安全（1）配置源端口。switch(config)#monitorsessionsessionsourceinterfacexx（2）配置镜像目的端口。switch(config)#monitorsessionsessiondestinationinterfacexxswitch

【综合实训2】：配置交换机端口安全如图两个房间用户接到Switch，一个房间由于用户过多，使用Hub连接。正常情况下，PC1和PC2可以通信。为保证网络安全，要求Fa0/1下不能超过10个用户，要求在Fa0/2下使用PC2连接，且PC2的IP地址为，MAC地址为00-1b-b3-02-12-18。【综合实训2】：配置交换机端口安全1．配置Ruijie#configRuijie(config)#hostnameswitchswitch(config)#intfa0/1switch(config-if-FastEthernet0/1)#switchportport-security！开启端口安全功能switch(config-if-FastEthernet0/1)#switchportport-securitymaximum10！端口下最多学习10个MAC地址switch(config-if-FastEthernet

0/1)#switchport

port-security

violationshutdown

！出现问题时，将接口关闭switch(config-if-FastEthernet0/1)#exit【综合实训2】：配置交换机端口安全switch(config)#intfa0/2switch(config-if-FastEthernet0/2)#switchportport-security！开启端口安全switch(config-if-FastEthernet0/2)#switchportport-securitybinding001b.b302.1218vlan1！端口绑定上网用户的MAC地址、IP地址、VLAN等switch(config-if-FastEthernet0/2)#switchportport-securityviolationshutdown

！出现问题时，将接口关闭switch(config-if-FastEthernet0/2)#exit【综合实训2】：配置交换机端口安全2．验证（1）在交换机Fa0/1口下连接超过10台PC，则超出限制的PC无法连接到网络。（2）将Fa0/2口下的PC换成其它PC或修改该PC的IP地址，则该PC无法连接到网络。（3）如果出现PC数量超过限制数量或修改地址的情况，则该接口被关闭。【综合实训3】：配置交换机保护端口网络场景如图所示，PC1和PC2连接在交换机的Fa0/1和Fa0/2口，Server连接在Gi0/25口。要求两台PC都能访问服务器但两台PC不能互访。【综合实训3】：配置交换机保护端口1．配置交换机Ruijie#configRuijie(config)#hostnameswitchswitch(config)#intrangefa0/1-2switch(config-if-range)#switchportprotected！Fa0/1和Fa0/2口配置为保护端口switch(config-if-range)#exit【综合实训3】：配置交换机保护端口2．验证（1）PC1和PC2不能通信，但PC可以和服务器通信。（2）查看信息，如图所示。【综合实训】：配置交换机端口镜像网络场景如图所示，PC1和PC2连接在交换机的Fa0/1和Fa0/2口，Server连接在Gi0/25口。其中PC2为管理员，目前要求管理员可以看到PC1的所有上网信息。【综合实训】：配置交换机端口镜像1．配置端口镜像Ruijie#configRuijie(config)#hostnameswitchswitch(config)#monitorsession1sourceinterfa0/1！设置镜像源端口switch(config)#monitorsession1destintfa0/2switch！设置镜像目的端口备注：若镜像目的端口加“switch”参数，则在查看其它端口数据的过程中其也可以上网。【综合实训】：配置交换机端口镜像2．验证在PC2上开启抓包软件，在PC1上访问服务器，则PC1的数据PC2也能收到。目录Contents任务1：配置网络设备登录安全。任务2：配置交换机端口安全。任务3：配置编号访问控制列表安全任务4：配置名称访问控制列表安全任务3配置编号访问控制列表访问控制列表概述访问表（accesslist）是一个有序的语句集，它通过匹配报文中信息与访问表参数，来允许报文通过或拒绝报文通过某个接口。访问控制列表概述访问表（accesslist）是一个有序的语句集，它通过匹配报文中信息与访问表参数，来允许报文通过或拒绝报文通过某个接口。访问控制列表概述访问控制列表总的说起来有下面三个作用:安全控制流量过滤数据流量标识6.3.1配置标准访问控制列表通过ACL可以限制网络中的通信数据类型及网络的使用者。ACL在数据流通过路由器或交换机时对其进行分类过滤，并对从指定接口输入的数据流进行检查，根据匹配条件决定是允许（Permit）其通过还是丢弃（Deny）。6.3.1配置标准访问控制列表2．访问控制列表ACL最直接的功能便是包过滤。通过访问控制列表可以在路由器、三层交换机上进行网络安全属性配置，可以实现对进入到路由器、三层交换机的输入数据流的过滤。过滤输入数据流的定义可以基于网络地址、TCP/UDP的应用等。6.3.1配置标准访问控制列表2．访问控制列表IPACL安全技术简单地说就是数据包过滤技术。网络管理人员通过配置网络设备，来实施对网络中通过的数据包的过滤，从而实现对网络资源的安全访问控制。IPACL安全实施的内容是编制一张规则检查表，这张表中包含了很多简单指令规则，告诉设备哪些数据包可以接收，哪些数据包需要被拒绝。ACL工作原理及规则ACL语句有两个组件：一个是条件，一个是操作。条件：条件基本上一个组规则操作：当ACL语句条件与比较的数据包内容匹配时，可以采取允许和拒绝两个操作。ACL工作原理及规则入站ACLACL工作原理及规则入站ACLACL工作原理及规则出站ACLACL工作原理及规则出站ACLACL工作原理及规则基本规则、准则和限制ACL语句按名称或编号分组；每条ACL语句都只有一组条件和操作，如果需要多个条件或多个行动，则必须生成多个ACL语句；如果一条语句的条件中没有找到匹配，则处理列表中的下一条语句；如果在ACL组的一条语句中找到匹配，则不再处理后面的语句；如果处理了列表中的所有语句而没有指定匹配，不可见到的隐式拒绝语句拒绝该数据包；由于在ACL语句组的最后隐式拒绝，所以至少要有一个允许操作，否则，所有数据包都会被拒绝；顺序很重要，约束性最强语句应该放在列表的顶部，约束性最弱的语句应该放在列表的底部；ACL工作原理及规则基本规则、准则和限制一个空的ACL组允许所有数据包，空的ACL组已经在路由器上被激活，但不包含语句的ACL，要使隐式拒绝语句起作用，则在ACL中至少要有一条允许或拒绝语句；只能在每个接口、每个协议、每个方向上应用一个ACL；在数据包被路由到其它接口之前，处理入站ACL；在数据包被路由到接口之后，而在数据包离开接口之前，处理出站ACL；当ACL应用到一个接口时，这会影响通过接口的流量，但ACL不会过滤路由器本身产生的流量。ACL工作原理及规则ACL放置在什么位置:只过滤数据包源地址的ACL应该放置在离目的地尽可能近的地方；过滤数据包的源地址和目的地址以及其他信息的ACL，则应该放在离源地址尽可能近的地方；只过滤数据包中源地址的ACL有两个局限性：ACL应用到路由器，任何用户A来的流量都将被禁止访问该网段的任何资源，包括数据库服务器。流量要经过所有到达目的地的途径，它在即将到达目的地时被丢弃，这是对带宽的浪费。ACL的种类两种基本的ACL：标准ACL和扩展ACL标准IPACL只能过滤IP数据包头中的源IP地址扩展IPACL可以过滤源IP地址、目的IP地址、协议（TCP/IP）、协议信息（端口号、标志代码）等，标准ACL标准ACL只能过滤IP数据包头中的源IP地址标准ACL通常用在路由器配置以下功能：

限制通过VTY线路对路由器的访问（telnet、SSH）；限制通过HTTP或HTTPS对路由器的访问；过滤路由更新。6.3.1配置标准访问控制列表3．ACL的类型

最为常见的IPACL使用编号来进行区分，一般可以分为两类：标准访问控制列表（StandardACL）和扩展访问控制列表（ExtendedACL）。在规则中使用不同的编号区别它们，其中标准访问控制列表的编号取值范围为1～99；扩展访问控制列表的编号取值范围为100～199。6.3.1配置标准访问控制列表4．ACL组成一个ACL由一系列的表项组成，ACL中的每个表项称之为存取控制项（AccessControlEntry，ACE），主要的动作为允许和拒绝；主要的应用方法是入栈（In）应用和出栈（Out）应用，如图所示。6.3.1配置标准访问控制列表5．部署标准ACL标准ACL，只检查收到的IP数据包中的源IP地址信息，以控制网络中数据包的流向。在安全设施的过程中，如果要阻止来自某一特定网络中的所有通信流，或者允许来自某一特定网络的所有通信流，可以使用标准访问控制列表来实现。

6.3.1配置标准访问控制列表5．部署标准ACL

在编制标准IPACL规则时，使用编号1～99，区别同一设备不同的IPACL列表条数。6.3.1配置标准访问控制列表5．部署标准ACL在编制标准IPACL规则时，使用编号1～99，区别同一设备不同的IPACL列表条数。（1）配置标准ACL。ruijie(config)#access-listnumber{deny|permit}

源地址（2）将ACL应用到接口。ruijie(config)#interfaceinterface-idruijie(config-if-FastEthernet0/1)#ipaccess-groupnumber{int|out}6.3.2配置扩展访问控制列表基于编号的扩展访问控制列表的重要特征如下：通过编号100～199来区别不同的IPACL；不仅检查数据包源IP地址，还检查数据包中目的IP地址、源端口、目的端口、建立连接和IP优先级等特征信息。数据包在通过网络设备时，设备解析IP数据包中的多种类型信息特征，对匹配成功的数据包采取拒绝或允许操作。6.3.2配置扩展访问控制列表和标准ACL相比，扩展ACL也存在一些缺点：配置管理难度加大，考虑不周容易限制正常访问；扩展ACL会消耗路由器更多的CPU资源。所以，中低档路由器进行网络连接时，应尽量减少扩展ACL条数，以提高工作效率。6.3.2配置扩展访问控制列表（1）配置ACL。ruijie(config)#access-listnumber{deny|permit}

协议源地址[eq源端口]目的地址[eq目的端口]（2）调用。ruijie(config)#interfaceinterface-idruijie(config-if-FastEthernet0/1)#ipaccess-groupnumber{int|out}6.3.3配置时间访问控制列表基于时间的IPACL，对于编号IPACL和名称IPACL均适用。实现所配置的ACL只在一个特定的时间段内生效，如在办公时间（9:00～18:00）只允许访问Web网页，其它应用则被禁止。6.3.3配置时间访问控制列表创建基于时间的IPACL，需要依据两个要点：使用参数time-range定义一个时间段；编制编号IPACL或者名称IPACL，再将IPACL规则和时间段结合起来应用。6.3.3配置时间访问控制列表ACL需要和时间段结合起来应用，即基于时间的ACL。事实上，基于时间的ACL只是在ACL规则后，使用time-range选项为此规则指定一个时间段，只有在此时间范围内，此规则才会生效，各类ACL规则均可以使用时间段。时间段可分为三种类型：绝对（Absolute）时间段、周期（periodic）时间段和混合时间段。6.3.3配置时间访问控制列表绝对时间段：表示一个时间范围，即从某时刻开始到某时刻结束，如1月5日早晨8点到3月6日早晨8点。周期时间段：表示一个时间周期，如每天早晨8点到晚上6点，或每周一到每周五的早晨8点到晚上6点。混合时间段：可以将绝对时间段与周期时间段结合起来，称为混合时间段，如1月5日到3月6日每周一至周五早晨8点到晚上6点。6.3.3配置时间访问控制列表（1）正确配置设备时间。ruijie#clocksetXX:XX:XXmouthdayyear（2）定义时间段。ruijie(config)#time-rangenameruijie(config-time-range)#periodic时间段（3）为ACL中特定ACE关联定义好的时间段。ruijie(config)#access-listnumber{deny|permit}

条件time-rangename【综合实训4】：配置编号标准访问控制列表网络场景

如图所示，PCA连接在路由器的Fa0/1口，PCB连接在路由器的Fa0/2口。PCA的IP地址为/24，PCB的IP地址是/24。路由器Fa0/1口IP地址为54/24，充当PCA的网关；路由器Fa0/2口IP地址为54/24，充当PCB的网关。正常情况下，两台PC可以通信，要求PCA和PCB不能通信，但PCA换成同网段其它设备时可以和PCB通信。【综合实训4】：配置编号标准访问控制列表1．配置交换机的IP地址Ruijie#configRuijie(config)#hostnamerouterrouter(config)#intfa0/1router(config-if-FastEthernet0/1)#ipaddress54router(config-if-FastEthernet0/1)#exitrouter(config)#intfa0/2router(config-if-FastEthernet0/2)#ipaddress54router(config-if-FastEthernet0/2)#exitrouter(config)#【综合实训4】：配置编号标准访问控制列表2．配置编号标准访问控制列表router(config)#access-list1denyhost！该表不允许源地址为的数据通过router(config)#access-list1permit55

！但允许/24其它地址数据通过备注：该ACL可以配置多条规则，但标号要相同。【综合实训4】：配置编号标准访问控制列表3．部署ACLrouter(config)#intfa0/1router(config-if-FastEthernet0/1)#ipaccess-group1in！将访问控制列表用到F0/1口的入方向router(config-if-FastEthernet0/1)#exit备注：可调用到Fa0/2的out方向。4．验证PC1不能Ping通PC2，但将PC1的IP地址变为后可以和PC2通信。【综合实训5】：配置标准访问控制列表网络场景如图所示，PC1、PC2和PC3连接在交换机Fa0/1、Fa0/2和Fa0/3口上。PC1的IP地址为/24，PC2的IP地址为/24，PC3的IP地址为/24。保证PC1和PC3不能通信，PC2和PC3可以通信，PC1和PC2可以通信。【综合实训5】：配置标准访问控制列表1．配置访问控制列表Ruijie(config)#hostnameswitchswitch(config)#access-list101denyiphosthostswitch(config)#access-list101permitiphosthostswitch(config)#备注：可简化配置，即配置“permitiphosthost”实现该功能。【综合实训5】：配置标准访问控制列表2．应用到Fa0/1的in方向switch(config)#intfa0/1switch(config-if-FastEthernet0/1)#ipaccess-group101in3．验证PC1不能和PC3通信、PC1可以和PC2通信、PC2可以和PC3通信。【综合实训6】：配置时间访问控制列表网络场景如图所示，PC1、PC2连接在交换机Fa0/1、Fa0/2口上。PC1的IP地址为/24，PC2的IP地址为/24。每天上午9:00～12:00两个用户可以通信，其它时间不能通信。【综合实训6】：配置时间访问控制列表1．配置计算机的IP地址按图配置PC的IP地址。2．配置时间段Ruijie#configRuijie(config)#hostnameswitchswitch(config)#time-rangedingxiligongxuexiaoswitch(config-time-range)#periodicweekdays9:00to12:00switch(config-time-range)#exit【综合实训6】：配置时间访问控制列表3．配置访问控制列表switch(config)#access-list1permithosttime-rangedingxiligongxuexiao4．应用到F0/1的in方向switch(config)#intfa0/1switch(config-if-FastEthernet0/1)#ipaccess-group1in备注：需要先保证时间正确。4．验证在规定时间内PC1可以Ping通PC2。目录Contents任务1：配置网络设备登录安全。任务2：配置交换机端口安全。任务3：配置编号访问控制列表安全任务4：配置名称访问控制列表安全任务4配置名称访问控制列表6.4.1配置标准名称访问控制列表安全1．概述基于编号的ACL是访问控制列表发展早期应用最为广泛的技术之一。其中，标准的IPACL使用数字编号1～99和1300～1999；扩展IPACL使用数字编号100～199和2000～2699。6.4.1配置标准名称访问控制列表安全1．概述但使用编号IPACL不容易识别，数字编号不容易区分，有耗尽的可能，特别是基于编号的IPACL在修改上非常不方便。近些年来，随着设备的性能改善以及技术的进步，基于名称的IPACL应运而生，基于名称的IPACL在技术开发上避免了以上基于编号的IPACL在应用上的不足。6.4.1配置标准名称访问控制列表安全2．基于名称的访问控制列表规则基于名称的IPACL在规则编辑上使用了一组字符串，来标识编制完成的安全规则，具有“见名识意”的效果，方便了网络管理人员管理。除了命名，以及在编写规则的语法上稍有不同外，其它诸如检查的元素、默认的规则等都与编号的访问控制列表相同。6.4.1配置标准名称访问控制列表安全3．配置方案创建名称IPACL与编号IPACL的语法命令不同，名称IPACL使用ipaccess-list命令开头。在配置标准ACL时，可使用编号来命名ACL。为了表明ACL的作用，也可以用字母表示ACL。使用字母表示ACL时写法如下。ruijie(config)#ipaccess-liststandardname

！创建IP的标准访问控制列表ruijie(config-acl)#{deny|permit}

源地址

！在列表中配置ACE6.4.1配置标准名称访问控制列表安全3．配置方案创建名称IPACL与编号IPACL的语法命令不同，名称IPACL使用ipaccess-list命令开头。在配置标准ACL时，可使用编号来命名ACL。为了表明ACL的作