网络设备安装与调试【3.6】

知识拓展
在路由器上使用标准 ACL 实现网段的隔离。在路由器 RouterA 或者 RouterB 上创建 ACL，阻断 PC2 访问 PC1。
所需设备：
（1）DCR 2626 路由器 2 台。
（2）PC 2 台。
（3）CR-V35MT 1 条。
（4）CR-V35FC 1 条。
（5）交叉线 2 条。
标准 ACL 训练拓扑结构如图 4-2-4 所示。

IP 地址配置表见表 4-2-2。

步骤 1：RouterA 的基本配置。 

Router> enable ！进入特权模式
Router#config ！进入全局配置模式
Router_config#hostname routerA ！设置路由器名称
RouterA_config#interface fastethernet0/0 ！进入快速以太口网0/0的接口模式
RouterA_config_f0/0#ip address 192.168.1.1 255.255.255.0 ！设置IP地址
RouterA_config_f0/0#interface serial0/1 ！进入串口0/1接口模式
RouterA_config_s0/1#ip address 192.168.2.1 255.255.255.0 ！设置IP地址
RouterA_config_s0/1#no shutdown ！开启端口
RouterA_config_s0/1#exit ！退出接口模式

步骤 2：在 RouterA 上配置静态路由。 

RouterA_config#ip route 192.168.3.0 255.255.255.0 192.168.2.2 ！设置静态路由
查看RouterA的静态路由表。
RouterA#show ip route ！查看RouterA的路由表
Codes: C - connected, S - static, R - RIP, B - BGP, BC - BGP connected
D - DEIGRP, DEX - external DEIGRP, O - OSPF, OIA - OSPF inter area
ON1 - OSPF NSSA external type 1, ON2 - OSPF NSSA external type 2
OE1 - OSPF external type 1, OE2 - OSPF external type 2
DHCP - DHCP type, L1 - IS-IS level-1, L2 - IS-IS level-2
VRF ID: 0
C 192.168.1.0/24 is directly connected, FastEthernet0/0
C 192.168.2.0/24 is directly connected, Serial0/1
S 192.168.3.0/24 [1,0] via 192.168.2.2(on Serial0/1)

步骤 3：RouterB 的基本配置。 

Router>enable ！进入特权模式
Router#config ！进入全局配置模式
Router_config#hostname RouterB ！设置路由器名称
RouterB_config#interface fastethernet0/0 ！进入快速以太网0/0的接口模式
RouterB_config_f0/0#ip address 192.168.3.1 255.255.255.0 ！设置IP地址
RouterB_config_f0/0#no shutdown ！开启端口
RouterB_config_f0/0#interface serial0/1 ！进入串口0/1接口模式
RouterB_config_s0/1#ip address 192.168.2.2 255.255.255.0 ！设置IP地址
RouterB_config_s0/1#physical-layer speed 64000 ！设置时钟频率
RouterB_config_s0/1#no shutdown ！开启端口
RouterB_config_s0/1#exit ！退出接口模式

步骤 4：在 RouterB 上配置静态路由。 

RouterB_config#ip route 192.168.1.0 255.255.255.0 192.168.2.1 ！设置静态路由
RouterB#show ip route ！查看RouterB的路由表
Codes: C - connected, S - static, R - RIP, B - BGP, BC - BGP connected
D - DEIGRP, DEX - external DEIGRP, O - OSPF, OIA - OSPF inter area
ON1 - OSPF NSSA external type 1, ON2 - OSPF NSSA external type 2
OE1 - OSPF external type 1, OE2 - OSPF external type 2
DHCP - DHCP type, L1 - IS-IS level-1, L2 - IS-IS level-2
VRF ID: 0
S 192.168.1.0/24 [1,0] via 192.168.2.1(on Serial0/1)
C 192.168.2.0/24 is directly connected, Serial0/1
C 192.168.3.0/24 is directly connected, FastEthernet0/0

步骤 5：在 PC1 上测试其与 PC2 的连通性，如图 4-2-5 所示。

步骤 6：配置禁止 PC1 连通 PC2 的命令。 

RouterB#config
RouterB_config#ip acc ext denyPING
RouterB_config_ext_nacl#deny icmp 192.168.3.2 255.255.255.255 192.168.1.2
255.255.255.255 0
RouterB_config_ext_nacl#permit ip any any
RouterB_config_ext_nacl#exit
RouterB_config#interface f0/0
RouterB_config_f0/0#ip acc denyPING in
步骤 7：查看配置的 ACL。
RouterB#show ip access-lists
Extended IP access list denyPING
deny icmp 192.168.3.2 255.255.255.255 192.168.1.2 255.255.255.255 0
permit ip any any
RouterB#

步骤 8：验证。PC1 ping PC2 被禁止了，如图 4-2-6 所示。

步骤 9：反之，在 PC2 上 ping PC1，可以连通，表示访问控制列表设置正确，如图 4-2-7所示。

学习小结
        本学习活动实现了在路由网络（三层交换机或者路由器） 上使用标准 ACL保护安全敏感网段的功能。标准 ACL 可以通过检测 IP 数据包的源 IP 地址来实现对数据包的过滤功能。标准 ACL 功能较为简单，在一些限制源 IP 地址网段的网络安全设施中应用较为广泛。

学习活动 2 扩展访问控制列表的配置

学习情境
公司为了提升工作效率，购买了专门的服务器，用于搭建公司的办公自动化系统。基于安全上的考虑，公司希望禁止销售部门的员工访问服务器的 FTP 服务，只能访问公司服务器的其他服务。
情境分析
在交换机上配置扩展 ACL，禁止 VLAN10 所属网段192.168.10.0/24 访问 VLAN100 所属网段 192.168.100.0/24的 TCP 端口的 20 和 21。在三层交换机上开启防火墙 ACL检查功能，设置默认动作为 Permit，并在 Trunk 端口入站方向应用 ACL。PC1 访问 Server1 FTP 服务器的数据包将
被 ACL 丢弃，其他数据包则被放行。
所需设备：
（1）DCS-3950 交换机 1 台。
（2）DCRS-5650 交换机 1 台。
（3）PC 1 台。
（4）Console 线 1 条。
（5）直通双绞线 3 条。

公司内部网络拓扑结构如图 4-2-8 所示。 交换机和 PC 的 IP 地址网络参数设置见表 4-2-3。

相关知识
与标准 ACL 相比，扩展 ACL 所检查的数据包元素要丰富很多，它不仅可以检查数据流的源 IP 地址，还可以检查目的 IP 地址、源端口地址和目的端口地址以及协议类型。扩展 ACL通常用于那些精确的、高级的访问控制。FTP 服务通常使用 TCP 协议的 20 和 21 端口，使用扩展 ACL 可以精确匹配那些访问 FTP 服务的数据包并采取相应措施。
编号的扩展 ACL 的值为 100～199 和 2000～2699。
扩展 ACL 通常用在尽量靠近数据流源地址的地方。
定义扩展 ACL 的语法如下：
access-list <num> {deny | permit} icmp {{<sIpAddr> <sMask>} | any-source |
{host-source <sIpAddr>}} {{<dIpAddr> <dMask>} | any-destination |
{host-destination <dIpAddr>}} [<icmp-type> [<icmp-code>]] [precedence <prec>]
[tos <tos>][time-range<time-range-name>]

步骤实现
步骤 1：按照图 4-2-8 连接网络拓扑结构。
步骤 2：按照表 4-2-3 配置计算机的 IP 地址、子网掩码和网关。
步骤 3：清空交换机的配置。

switch>enable ！进入特权配置模式
switch#set default ！恢复出厂设置
Are you sure?[Y/N] = y
switch#write
switch#reload ！重启交换机
Process with reboot? [Y/N]y

步骤 4：三层交换机的基本配置。

switch>enable ！进入特权模式
switch#config ！进入全局配置模式
switch(config)#hostname L3-SW1 ！设置交换机名称
L3-SW1(config)#VLAN 10 ！创建VLAN10
L3-SW1(config-VLAN10)#exit ！退出全局配置模式
L3-SW1(config)#VLAN 100 ！创建VLAN100
L3-SW1(config-VLAN100)#exit ！退出全局配置模式

步骤 5：二层交换机的基本配置。

switch>enable ！进入特权模式
switch#config ！进入全局配置模式
switch(config)#hostname L2-SW1 ！设置交换机名称
L2-SW1(config)#

步骤 6：在二层交换机上创建 VLAN、添加 VLAN 接口，并配置 Trunk 口。

L2-SW1(config)#VLAN 100 ！创建VLAN100
L2-SW1(config-VLAN100)#switchport interface ethernet 0/0/6-10
！为VLAN100分配接口成员
L2-SW1(config-VLAN100)#exit ！退出全局配置模式
L2-SW1(config)#VLAN 10 ！创建VLAN100
L2-SW1(config-VLAN100)#switchport interface ethernet 0/0/6-10
！为VLAN10分配接口成员
L2-SW1(config-VLAN10)#exit ！退出全局配置模式
L2-SW1(config)#interface ethernet 0/0/24 ！进入接口24的接口配置模式
L2-SW1(config-Ethernet0/0/24)#switchport mode trunk ！设置端口为Trunk模式
Set the port Ethernet0/0/24 mode TRUNK successfully ！成功创建Trunk口

步骤 7：在三层交换机上配置 VLAN、Trunk 口，并为 VLAN 指定 IP 地址。

L3-SW1(config)#VLAN 10 ！创建VLAN10
L3-SW1(config-VLAN10)#exit ！退出全局配置模式
L3-SW1(config)#VLAN 100 ！创建VLAN100
L3-SW1(config-VLAN100)#exit ！退出全局配置模式
L3-SW1(config)#interface ethernet 1/1 ！进入接口配置模式
L3-SW1(config-Ethernet1/1)#switchport mode trunk ！设置端口为Trunk模式
Set the port Ethernet0/0/1 mode TRUNK successfully ！成功创建Trunk口
L3-SW1(config)#interface VLAN 10 ！创建VLAN10的SVI
L3-SW1(config-if-Vlan 10)#ip address 192.168.10.254 255.255.255.0
！为VLAN10指定IP地址
L3-SW1(config-if-Vlan 10)#no shutdown ！启用该SVI
L3-SW1(config-if-Vlan 11)#exit ！退出全局配置模式
L3-SW1(config)#interface VLAN 100 ！创建VLAN100的SVI
L3-SW1(config-if-Vlan 100)#ip address 192.168.100.254 255.255.255.0
！为VLAN指定IP地址
L3-SW1(config-if-Vlan 100)#no shutdown ！启用该SVI

步骤 8：在三层交换机 L3-SW1 上启用包过滤功能，设置默认行为为允许；定义 ACL 并应用。
 

L3-SW1(config)#firewall enable ！开启控制列表包过滤功能
L3-SW1(config)#firewall default permit ！设置默认动作为允许
L3-SW1(config)#access-list 100 deny tcp 192.168.10.0 0.0.0.255 192.168.100.0
0.0.0.255 d-port 20
L3-SW1(config)#access-list 100 deny tcp 192.168.10.0 0.0.0.255 192.168.100.0
0.0.0.255 d-port 21 ！创建编号的扩展ACL
L3-SW1(config)#interface ethernet 1/1 ！进入接口1/1的接口配置模式
L3-SW1(config-Ethernet1/1)#ip access-group 100 in ！在接口的入站方向应用ACL

步骤 9：在 L3-SW1 上查看配置。

L3-SW1#show firewall ！查看防火墙配置
Firewall Status: Enable.
Firewall Default Rule: Permit.
L3-SW1#show access-lists ！查看三层交换机ACL配置
access-list 100(used 1 time(s)) 2 rule(s)
access-list 100 deny tcp 10.0.0.0 0.0.0.255 192.168.100.0 0.0.0.255 d-port
d-port 20
access-list 100 deny tcp 10.0.0.0 0.0.0.255 192.168.100.0 0.0.0.255 d-port
d-port 21
L3-SW1#show access-group ！查看三层交换机ACL应用
Interface name:Ethernet1/1
Ingress access-list used is 100.

小贴士
在本例中，只需要制定目的 IP 地址的端口范围即可满足需要，在其他需求中，还需要制定源端口地址。
在端口上应用扩展 ACL 同应用标准 ACL 一样，只是扩展 ACL 检查的比较精确而已。课堂训练
在本例所示网络拓扑中，使用扩展 ACL 实现高级的访问控制。禁止 PC1 访问 Server1 的
WWW 服务。
所需设备：
（1）DCR2626 路由器 2 台。
（2）PC 2 台。
（3）CR-V35MT 1 条。
（4）CR-V35FC 1 条。
（5）交叉线 2 条。
VLAN 规划表和 IP 地址配置表见表 4-2-4 和表 4-2-5。

学习小结
本学习活动学习了使用扩展 ACL 实现对网络访问的高级控制。扩展 ACL可以对更多的元素进行精确匹配。定义 ACL 时，应注意数据流的方向；在接口上使用扩展 ACL 时，应尽量靠近数据流的源。此外，应当熟悉一些常见网络协议所使用的端口，如 HTTP、 Web、 FTP、 DNS、 Telnet 等。