《工业网络技术与应用（微课版）》-教案 第16次 1、访问控制列表ACL概述2、第3层工业交换机访问控制列表配置

第次课程教学方案备课时间备课教师教学时间年月日教学地点周次课时数4教学内容（章、节）模块/单元第8章工业网络安全技术（1）1、访问控制列表ACL概述2、第3层工业交换机访问控制列表配置教学目标和要求1.理解访问控制列表2.掌握基于MAC地址的访问控制列表配置方法3.掌握基于IP的访问控制列表配置方法教学重点访问控制列表的工作原理教学难点基于IP的访问控制列表配置教学方法讲授法、直观演示法、实验法、小组讨论法等使用媒体资源√纸质材料√多媒体课件√网络资源□其他资源：使用教具、设备、设施等多媒体教学设备作业练习完成电子版实训报告课后记

教学内容（板书）教学步骤、方法

及学生活动一、相关知识介绍1、ACL概述访问控制列表（AccessControlList，ACL）是包过滤技术的核心内容，通过获取IP数据包的包头信息，包括IP层所承载的上层协议的协议号，数据包的源地址、目的地址、源端口号和目的端口号等，然后与设定的规则进行比较，根据比较的结果对数据包进行处理，合法的允许通过，不合法的阻截并丢弃，以达到提高网络安全性能的目的。(1)入口ACL传入数据包经过处理之后才会被路由到出站接口。因为如果数据包被丢弃，就节省了执行路由查找的开销，所以入口ACL非常高效。如果ACL允许该数据包，则会处理该数据包以进行路由。当与入接口连接的网络是需要检测的数据包的唯一来源时，适合使用入口ACL来过滤数据包。(2)出口ACL传入数据包路由到出接口后，由出口ACL进行处理。在来自多个入接口的数据包通过同一出接口之前，对数据包应用相同过滤器时，最适合使用出站AC。2、ACL分类根据工作方式的不同，访问控制列表分为基于MAC地址的ACL、基于IP地址的ACL和管理ACL三种类型。(1).基于MAC地址的ACL当数据通过设置ACL规则的网络设备时，网络设备会查看设备内的ACL规则表，判断此数据携带的MAC地址是否能通过ACL规则由指定接口转发。如图2-3所示，在创建规则时明确定义源MAC地址和目的MAC地址，并将规则应用在入端口或出端口上(2).基于IP地址的ACL当数据通过设置ACL规则的网络设备时，网络设备会查看设备内的ACL规则表，判断此数据携带的IP地址是否能通过ACL规则由指定接口转发。如图2-4所示，定义规则时使用的是第3层的源IP地址和目的IP地址。(3).管理ACL要指定具有哪个IP地址的工作站允许访问设备，必须组态相应的IP地址或一个地址范围，这就需要用到管理ACL。理论部分以教师讲授为主要形式学生可以提问，由教师进行进一步的解释和说明。。二、实验讲解、演示及分组练习实训任务1基于MAC地址的访问控制列表配置首先完成所有设备IP地址配置，在此基础上在第3层交换机XM408上配置基于MAC地址访问控制列表，实现如下访问控制：（1）只有S71200-A能通过P3端口访问上位机，具有其他MAC地址的设备均不能通过P3端口访问上位机；（2）只有S71200-B能通过P5端口访问上位机，具有其他MAC地址的设备均不能通过P5端口访问上位机。1.完成各设备IP地址配置2.在三层交换机XM-408上配置MACACL在左侧选择“Security”项目下的“MACACL”，进入“MACAccessControlListConfiguration”界面，双击三次“Create”按钮，产生三条默认规则。对这三条规则修改后，点击“SetValues”按钮规则1： SourceMAC：源MAC地址8c:f3:19:10:23:9f是S71200-A的MAC地址；Dest.MAC： 目的MAC地址50-7B-9D-E9-CF-12是上位机的MAC地址。规则2： SourceMAC：源MAC地址8c:f3:19:10:26:53是S71200-B的MAC地址；Dest.MAC：目的MAC地址也是上位机的MAC地址。规则3： SourceMAC：源MAC地址00-00-00-00-00-00b代表的是任意MAC地址；Dest.MAC：目的MAC地址也是上位机的MAC地址。“Action”栏下拉列表中的“Forward”表示：如果报文满足ACL规则就允许报文通过；“Discard”表示：如果报文满足ACL规则就不允许报文通过。教师布置实验任务，讲解实验拓扑结构及本实验的具体内容和要求教师边讲解边演示实验操作。学生可以提问，由教师进行进一步的解释和说明。学生分组进行自主练习3.在P3和P5入口方向上应用MACACL规则4.基于MAC地址的访问控制列表测试步骤1正常通讯测试在上位机输入指令“ping1”和“ping2”，测试结果表明：上位机能够访问到两个S71200PLC，且两个S71200PLC均能通过设置的MACACL规则将数据包返回给上位机，说明相关的MAC地址和允许规则是匹配的。步骤2改变P3和P5端口连接设备测试将S71200-A和S71200-B的连接端口互换，分别输入指令“ping1”和“ping2”，测试结果表明：由于P3和P5“入口”规则允许的源MAC地址发生了改变，P3端口禁止从S71200-B发出的数据包通过P3端口传输到上位机，而P5端口也禁止从S71200-A发出的数据包通过P5端口传输到上位机。教师边讲解边演示实验操作。学生可以提问，由教师进行进一步的解释和说明。学生分组进行自主练习任务2、基于IP地址的访问控制列表配置首先完成3个交换机和PC的IP地址配置。在此基础上在第3层交换机XM408上配置访问控制列表ACL实现如下访问控制：（1）PC通过XM408的P1端口只能与XB208_1设备通信；（2）PC通过XM408的P2端口只能与XB208_2设备通信步骤1通过浏览器访问第3层交换机XM408（），登录后进入其配置界面。步骤2配置IPACL规则：在左侧选择Security->IPACL，在RulesConfiguration标签下完成ACL规则配置，单击Create依次创建4条规则，并设置规则相应的参数。步骤3将IPACL应用在P1端口上。基于IP地址的访问控制列表测试步骤1将PC插入P1端口：能与0的设备通信（满足规则1）教师布置实验任务，讲解实验拓扑结构及本实验的具体内容和要求教师边讲解边演示实验操作。学生可以提问，由教师进行进一步的解释和说明。学生分组进行自主练习步骤2将PC插入P1口：不能与0的设备通信（满足规则4）步骤3将PC插入P2口：不能与0的设备通信（满足规则3）步骤4将PC插入P2口：能与0的设备通信（满足规则2）（1）三层工业交换机复位；