网络设备安装与调试【3.5】

步骤实现
步骤 1：按照图 4-1-8 连接网络拓扑结构。
步骤 2：按照图 4-1-8 配置计算机的 IP 地址、子网掩码和网关。
步骤 3：清空交换机的配置。

switch>enable ！进入特权配置模式
switch#set default ！恢复出厂设置
Are you sure?[Y/N] = y
switch#write
switch#reload ! 重启交换机
Process with reboot? [Y/N]y

步骤 4：获取 PC1 的 MAC 地址。执行“开始”→“运行”命令，在“运行”对话框的“打开”文本框中输入“cmd”命令，弹出命令行窗口，输入“ipconfig/all”命令，查看 MAC 地址，如图 4-1-9 所示。

步骤 5：配置全局 MAC-IP 命名访问列表。 

SwitchA(config)#mac-ip-access-list extended try10
SwitchA (Config-MacIp-Ext-Nacl-try10)#permit host-source-mac 00-24-1D-B9-
66-65 any-de
stination-mac ip host-source 192.168.1.100 any-destination
SwitchA (Config-MacIp-Ext-Nacl-try10)#deny any-source-mac any-destinationmac ip anysource any-destination
步骤 6：查看全局 MAC-IP 命名访问列表。
SwitchA (config)#show access-lists
mac-ip-access-list extended try10(used 0 time(s))
permit host-source-mac 00-24-1d-b9-66-65 any-destination-mac ip
host-source
192.168.1.100 any-destination
deny any-source-mac any-destination-mac ip any-source any-destination
步骤 7：配置访问控制列表开启功能。
sw1(config)#firewall enable
sw1(config)#firewall default permit
步骤 8：查看访问控制列表功能开启效果。
SwitchA (config)#show firewall
Fire wall is enabled.
Firewall default rule is to permit any ip packet.
步骤 9：绑定全局 MAC-IP 命名访问列表到端口。
SwitchA (config)#int e0/0/1
sw1(Config-If-Ethernet0/0/1)#mac-ip access-group try10 in
步骤 10：查看配置。
SwitchA (config)#show access-group
interface name:Ethernet0/0/1
MAC-IP Ingress access-list used is try10,traffic-statistics Disable.
No access-list configuration on VLANs!

步骤 11：使用 ping 命令验证连通性，见表 4-1-3。

知识拓展
        ARP Guard 功能：其基本原理就是利用交换机的过滤表项，检测从端口输入的所有 ARP报文，如果 ARP 报文的源 IP 地址是受到保护的 IP 地址，则直接丢弃报文，不再转发。举例：在端口 Ethernet0/0/1 上启动并配置 ARP Guard 地址 192.168.1.1（设为网关地址），如图 4-1-10 所示。

Switch(Config)#interface ethernet0/0/1
Switch(Config- Ethernet 0/0/1)# arp-guard ip 192.168.1.1

端口 Ethernet0/0/1 端口发出的仿冒网关 ARP 报文都会被丢弃，所以 ARP Guard 功能常用于保护网关不被攻击。
ARP Guard 的优点：配置简单，适用于 ARP 仿冒网关攻击防护的快速部署。
ARP Guard 的缺点：ARP Guard 需要占用芯片 FFP 表项资源，交换机每端口配置数量有限。
学习小结
本学习活动实现了交换机的 AM 功能，可以使用将 IP 地址和 MAC 地址捆绑的方式来实现安全性的访问，将网络威胁隔离在交换机的每个端口内，而不致于对整网产生危害。

学习任务 2 IP 访问控制列表

IP ACL（IP 访问控制列表）可对流经路由器或交换机的数据包以一定的规则进行过滤，从而提高网络可管理性和安全性。其主要分为标准 IP 访问控制列表、扩展 IP 访问控制列表和基于时间的访问控制列表等。本任务分以下五个学习活动进行。
学习活动 1 标准访问控制列表的配置。
学习活动 2 扩展访问控制列表的配置。
学习活动 3 命名访问控制列表的配置。
学习活动 4 基于时间的访问控制列表。
学习活动 5 使用 ACL 过滤特定病毒报文。

学习活动 1 标准访问控制列表的配置

学习情境
某公司组建了公司内部网络，其中有财务部、技术部、市场部等部门。为了保证公司财务安全，公司经理让网络管理员禁止技术部门员工访问财务部门的主机。
情境分析
应用了 ACL 之后，交换机会在相应端口上检查某一方向的数据包，如果数据包与 ACL的某一条规则匹配成功，则应用该规则的动作：允许该数据包通过或者丢弃该数据包。标准访问控制列表匹配规则元素只包括 IP 数据包的源 IP 地址，这意味着标准 ACL 只检查 IP 数据包的源 IP 地址。
所需设备：
（1）DCS-3950 交换机 1 台。
（2）DCRS-5650 交换机 1 台。
（3）PC 1 台。
（4）Console 线 1 条。
（5）直通双绞线 3 条。
公司内部网络拓扑结构如图 4-2-1 所示。

交换机和 PC 的 IP 地址网络参数设置见表 4-2-1。

相关知识
        标准 IP 访问控制列表可以根据数据包的源 IP 地址定义规则，进行数据包的过滤。IP 访问控制列表通过对数据流进行检查和过滤，来限制网络中通信数据的类型，限制网络用户以及用户所访问的设备。ACL 由一系列有序的 ACE 组成，每一个 ACE 都定义了匹配条件及行为。标准 ACL 只能针对源 IP 地址制定匹配条件，对于符合匹配条件的数据包，ACE执行所规定的行为：允许或拒绝。
        可以在设备的入站方向或者出站方向上应用 ACL。如果在设备的入站方向上应用了ACL，设备在端口上收到数据包后，先进行 ACL 规定的检查。检查从 ACL 的第一个 ACE开始，将 ACE 规定的条件和数据包内容进行比较和匹配。如果第一个 ACE 没有匹配成功，则匹配下一个 ACE，以此类推。一旦匹配成功，则执行该 ACE 规定的行为。如果整个 ACL中所有的 ACE 都没有匹配成功，则执行设备定义的默认行为。被 ACL 放行的数据包则进一步执行设备的其他策略，如路由转发。

如果路由器某接口出站方向应用了 ACL，则路由器首先进行路由转发决策，发送到该接口的数据包应用 ACL 检查。检查过程与入站方向一致。定义 ACL，应当遵循以下规则。
（1）设备接口的一个方向只能应用一个 ACL。
（2）ACL 匹配自顶向下，逐条匹配。
（3）一旦某一个 ACE 匹配成功，则立即执行该 ACE 的行为，否则停止匹配。
（4）如果所有 ACE 都没有匹配成功，则执行设备定义的默认行为。
（5）一般情况而言，在什么设备上、什么接口上、什么方向上应用 ACL，必须遵循以下约定。
① 标准 ACL 一般应用在离数据流的目的地尽可能近的地方。
② 扩展 ACL 一般应用在离数据流的源尽可能近的地方。
尽管大部分厂商推出了更高级的 ACL，但是绝大部分的网络管理员只使用两种 ACL：标准 ACL 和扩展 ACL。尽管功能比较简单，但标准 ACL 在限制 Telnet 访问路由器、限制通过HTTP 访问设备，以及路由过滤更新方面，仍然有着较大的应用。标准 ACL 的编号为 1～99、1300～1999。在全局配置模式下，配置编号标准 ACL 的语法如下：

access-list <num> {deny | permit} {{<sIpAddr> <sMask>} | any-source |
{host-source <sIpAddr>}}

该命令用于创建一条数字标准 IP 访问控制列表。如果该列表已经存在，则增加一条 ACE表项；可以使用“no access-list <num>”命令来删除一条 ACL 表项。一般情况下，配置 ACL 应遵循以下步骤。
（1）启用设备包过滤功能并配置默认行为。
（2）定义 ACL 规则。
（3）绑定 ACL 到设备接口的某一方向上。
步骤实现
步骤 1：按照图 4-2-1 连接网络拓扑结构。
步骤 2：按照表 4-2-1 配置计算机的 IP 地址、子网掩码和网关。
步骤 3：清空交换机的配置。

switch>enable ！进入特权配置模式
switch#set default ！恢复出厂设置
Are you sure?[Y/N] = y
switch#write
switch#reload ！重启交换机
Process with reboot? [Y/N]y
步骤 4：三层交换机的基本配置。
switch>enable ！进入特权模式
switch#config ！进入全局配置模式
switch(config)#hostname L3-SW1 ！设置交换机名称
L3-SW1 (config)#VLAN 10 ！创建VLAN10
L3-SW1 (config-VLAN10)#exit ！退出全局配置模式
L3-SW1 (config)#VLAN 11 ！创建VLAN11
L3-SW1 (config-VLAN11)#exit ！退出全局配置模式
步骤 5：二层交换机的基本配置。
switch>enable ！进入特权模式
switch#config ！进入全局配置模式
switch(config)#hostname L2-SW1 ！设置交换机名称
L2-SW1 (config)#
步骤 6：在二层交换机上创建 VLAN、添加 VLAN 接口，并配置 Trunk 口。
L2-SW1 (config)#VLAN 10 ！创建VLAN10
L2-SW1 (config-VLAN10)#switchport interface ethernet 0/0/1-5
！为VLAN10分配接口成员
L2-SW1 (config-VLAN10)#exit ！退出全局配置模式
L2-SW1 (config)#VLAN 11 ！创建VLAN11
L2-SW1 (config-VLAN11)#switchport interface ethernet 0/0/6-10
！为VLAN11分配接口成员
L2-SW1 (config-VLAN11)#exit ！退出全局配置模式
L2-SW1 (config)#interface ethernet 0/0/24 ！进入24的接口配置模式
L2-SW1 (config-Ethernet0/0/24)#switchport mode trunk ！设置端口为Trunk模式
Set the port Ethernet0/0/24 mode TRUNK successfully ！成功创建Trunk口

步骤 7：在三层交换机上配置 VLAN、Trunk 口，并为 VLAN 指定 IP 地址。

L3-SW1 (config)#VLAN 10 ！创建VLAN10
L3-SW1 (config-VLAN10)#exit ！退出全局配置模式
L3-SW1 (config)#VLAN 11 ！创建VLAN11
L3-SW1 (config-VLAN11)#exit ！退出全局配置模式
L3-SW1 (config)#interface ethernet 0/1/1 ！进入接口配置模式
L3-SW1 (config-Ethernet1/1)#switchport mode trunk ！设置端口为Trunk模式
Set the port Ethernet0/0/1 mode TRUNK successfully ！成功创建Trunk口
L3-SW1 (config)#interface VLAN 10 ！创建VLAN10的SVI
L3-SW1 (config-if-Vlan 10)#ip address 192.168.10.254 255.255.255.0
！为VLAN10指定IP地址
L3-SW1 (config-if-Vlan 10)#no shutdown ！启用该SVI
L3-SW1 (config-if-Vlan 11)#exit ！退出全局配置模式
L3-SW1 (config)#interface VLAN 11 ！创建VLAN11的SVI
L3-SW1 (config-if-Vlan 11)#ip address 192.168.11.254 255.255.255.0
！为VLAN11指定IP地址
L3-SW1 (config-if-Vlan 11)#no shutdown ！启用该SVI接口
L3-SW1 (config-Vlan 11)#exit ！退出全局配置模式

步骤 8：验证。在 PC1 上使用 ping 命令测试 PC1 与 PC2 的连通性，如图 4-2-2 所示。

步骤 9：在三层交换机 L3-SW1 上启用包过滤功能，设置默认行为为允许；定义 ACL 并应用。

L3-SW1 (config)#firewall enable ！开启包过滤功能
L3-SW1 (config)#firewall default permit ！设置默认行为为允许
L3-SW1 (config)#access-list 10 deny 192.168.10.0 0.0.0.255
！创建编号的标准ACL
L3-SW1 (config)#interface ethernet 0/1/1 ！进入1/1的接口配置模式
L3-SW1 (config-Ethernet1/1)#ip access-group 10 in
！在接口的入站方向应用ACL

步骤 10：验证。在 PC1 上使用 ping 命令测试 PC1 与 PC2 的连通性。结果显示 PC1 不能再访问 PC2，即 ACL 阻断了技术部门对财务部门的访问，如图 4-2-3 所示。

步骤 11：在 L3-SW1 上查看配置。
L3-SW1 #show access-group ！查看三层交换机ACL的应用
Interface name:Ethernet 0/1/1
Ingress access-list used is 10.

小贴士
        可以用编号来命名 IP 访问控制列表，也可以用名称来定义 IP 访问控制列表。如果使用编号来定义 ACL，则需要注意编号的范围。访问控制列表总体说来有三个作用：安全控制、流量过滤、数据流量标识。
        ACL 语句的顺序很重要，约束性最强的语句应该放在列表的顶部，约束性最弱的语句应该放在列表的底部；一般而言，在一条 ACL 中不能只有允许语句，同样，也不能只有拒绝语句。虽然设备设置了默认行为，但是作为一个好习惯，在制定 ACL 时，应尽量自己定义 ACL的最后语句。
        当我们根据实际情况定义了一个 ACL，并且把它应用到相应接口的相应方向上时，就需要使用 access-group 来描述这个 ACL。 access-group 是对特定的一条 access-list 与特定端口的绑定关系的描述。