數(shù)據(jù)通信網(wǎng)絡技術 教案9 訪問控制列表

上傳人:黑** 文檔編號:56652721 上傳時間:2022-02-22 格式:DOCX 頁數(shù):10 大?。?6.39KB
收藏 版權申訴 舉報 下載
數(shù)據(jù)通信網(wǎng)絡技術 教案9 訪問控制列表_第1頁
第1頁 / 共10頁
數(shù)據(jù)通信網(wǎng)絡技術 教案9 訪問控制列表_第2頁
第2頁 / 共10頁
數(shù)據(jù)通信網(wǎng)絡技術 教案9 訪問控制列表_第3頁
第3頁 / 共10頁

下載文檔到電腦,查找使用更方便

20 積分

下載資源

還剩頁未讀,繼續(xù)閱讀

資源描述:

《數(shù)據(jù)通信網(wǎng)絡技術 教案9 訪問控制列表》由會員分享,可在線閱讀,更多相關《數(shù)據(jù)通信網(wǎng)絡技術 教案9 訪問控制列表(10頁珍藏版)》請在裝配圖網(wǎng)上搜索。

1、 項目九訪問控制列表 【教學目標】 1. 知識目標: (1) 理解訪問控制列表的概念、分類、技術原理。 (2) 掌握訪問控制列表的匹配過程。 (3) 掌握標準、擴展訪問控制列表的配置方法及應用原則。 (4) 理解基于時間的訪問控制列表的概念。 2. 技能目標: (1) 能夠完成標準、擴展訪問控制列表的配置。 (2) 能夠完成基于時間的訪問控制列表的配置。 3. 素養(yǎng)目標 (1) 培養(yǎng)溝通交流及團隊合作意識 (2) 養(yǎng)成規(guī)范操作的職業(yè)習慣 (3) 培養(yǎng)精益求精的工匠精神 【教學重點】 標準、擴展訪問控制列表的配置 【教學難點】 基于時間的訪問控制列表 【

2、教學方法】 項目教學法、啟發(fā)式教學法、自主探究、合作探究。 【導入新課】 企業(yè)網(wǎng)絡在運行過程中,會面臨網(wǎng)內(nèi)、網(wǎng)外的很多攻擊,如病毒攻擊、惡意訪問等,如何解決 呢?通過在三層交換機或路由器上配置訪問控制列表過濾數(shù)據(jù)包,不但能夠有效抵御這些攻擊,而 且能夠控制訪問流量、提高網(wǎng)絡性能,具體如何配置,我們本次課來學習。 【教學過程】 任務一:標準訪問控制列表 拓撲結構:標準訪問控制列表拓撲結構如圖9-1所示。 Server-PT Serverl Server-PT Server2 圖9-1標準訪問控制列表拓撲結構 所需設備:三層交換機(型號3560) 一臺、路由器(型號

3、2621) 一臺、計算機兩臺、服務器兩 臺、直通線三根、交叉線兩根。 規(guī)劃IP地址: 計算機 PC1 的 IP 地址:192. 168. 1. 1/24,網(wǎng)關:192. 168. 1.254O 服務器 Server 1 的 IP 地址:192. 168. 2. 1/24,網(wǎng)關:192. 168. 2. 254。 計算機 PC2 的 IP 地址:192. 168.4. 1/24,網(wǎng)關:192. 168. 4. 254。 服務器 Server2 的 IP 地址:192. 168. 5. 1/24,網(wǎng)關:192. 168. 5. 254。 交換機 SWA: Vian 10 的 IP

4、地址:192. 168. 1. 254/24。Vian 20 的 IP 地址:192. 168. 2. 254/24。 Vian 30 的 IP 地址:192. 168. 3. 1/24。 路由器 RA: fl/0 的 IP 地址:192. 168. 3. 2/24。f0/0 的 IP 地址:192. 168. 4. 254/24。 fO/1 的 IP 地址:192. 168. 5. 254/24o 設備連線: 計算機PCI-交換機SWA的fO/1端口,服務器Serverl一交換機SWA的fO/2端口。 計算機PC2—路由器RA的f0/0端口,服務器Server2一交換機RA的fO

5、/1端口。 交換機SWA的fO/24端口一路由器RA的fl/0端口。 任務要求: (1) 在三層交換機和路由器上配置OPSF路由,實現(xiàn)網(wǎng)絡連通。 (2) 利用標準訪問控制列表拒絕網(wǎng)絡192. 168. 1. 0/24訪問服務器Server2o (3) 利用標準訪問控制列表實現(xiàn)只允許計算機PC2能訪問服務器Serverlo 知識點鏈接: 1. 配置標準編號訪問控制列表 1) 定義標準編號訪問控制列表 定義標準編號訪問控制列表在全局模式下,配置命令如下。 Router (config) #access-l ist 編號 permit I deny 源地址 通配屏蔽碼 其中,編

6、號的取值范圍為1?99之間整數(shù)值。 permit I deny表示允許還是拒絕滿足條件的數(shù)據(jù)包通過。 源地址是某一計算機地址或一組地址,使用通配屏蔽碼對源地址進行匹配檢查。 2) 應用標準編號訪問控制列表 在端曰(Vian)模式下,應用命令如下。 Router (conf ig-if) #ip access-group 編號 in I out 其中,編號指的是前面定義的訪問控制列表的編號,in與out表示應用的方向。 3) 顯示標準編號訪問控制列表 配置完標準編號訪問控制列表后,要查看是否正確,可使用如下命令顯示。 Routerttshow access-lists 〃顯示所

7、有訪問控制列表 Routerttshow access-lists編號 〃顯示某一編號訪問控制列表 4) 刪除標準編號訪問控制列表 刪除標準編號訪問控制列表有兩種方法,刪除某一編號訪問控制列表和刪除某一訪問控制列表 在端口上的應用。 (1) 刪除某一編號訪問控制列表命令。 Router (config) #no access-list 編號 使用該命令可以刪除此編號訪問控制列表中的所有語句。 (2) 刪除某一訪問控制列表在端口上的應用命令。 Router (conf ig~if) #no ip access-group 編號 in I out 刪除訪問控制列表在端口上的應

8、用,不會刪除訪問控制列表,只會刪除與端口的關聯(lián)。 2. 配置標準命名訪問控制列表 標準命名訪問控制列表的配置過程也分為兩步,定義標準命名訪問控制列表和應用標準命名訪 問控制列表。 1) 定義標準命名訪問控制列表命令 Router (config) #ip access-list standard 名稱 Router (conf ig-std-nacl) ttpermi t I deny 源地址 通配屏蔽碼 其中,名稱指訪問控制列表的名稱,由字符串組成,但不能出現(xiàn)空格。 2) 應用標準命名訪問控制列表命令 應用方法與標準編號訪問控制列表相同,在此不再贅述。 3) 顯示標準命名

9、訪問控制列表 Switchttshow access-lists 名稱 注意:編號訪問控制列表只要在端口上應用了,就不可以再添加、刪除控制語句了,只能刪除 整個訪問控制列表。而命名訪問控制列表可以隨意添加和刪除控制語句,而無須刪除整個訪問控制 列表。 訪問控制列表可以在路由器上配置,也可以在三層交換機上配置,方法完全一樣。 任務分析: (1) 在路由器RA上配置標準編號訪問控制列表,拒絕網(wǎng)絡192. 168. 1.0/24訪問服務器Server2, 并在F0/0端口 out方向上應用。 (2) 在三層交換機上配置標準命名訪問控制列表,允許計算機PC2訪問服務器Server 1

10、,拒絕 其他任何計算機訪問,并在Vian 20的out方向上應用。 任務實施: 1) 繪制拓撲結構 繪制如圖9-1所示的拓撲結構,配置計算機的IP地址與網(wǎng)關。 2) 設置IP地址,配置0PSF路由 在三層交換機SWA上創(chuàng)建Vian,設置IP地址,配置OPSF路由。 3) 配置路由器RA的端口與OPSF路由 4) 連通測試 計算機PCI、PC2、Serverl和Server2之間能夠連通。 5) 拒絕網(wǎng)絡訪問服務器 6) 允許計算機訪問服務器 7) 故障診斷 如果沒有達到拒絕或允許數(shù)據(jù)包通過的目的,則可能是訪問控制列表語句錯誤,或應用位置、 方向錯誤。 任務二:擴

11、展訪問控制列表 拓撲結構:擴展訪問控制列表拓撲結構如圖9-7所示。 , PC-PT PC2 Server-PT Serverl PC-PT PC1 3560-24PS 2621XM RA Server-PT Servwe2 圖9-7擴展訪問控制列表拓撲結構 所需設備:與任務一相同。 規(guī)劃IP地址:與任務一相同。 設備連線:與任務一相同。 任務要求: (1)在三層交換機和路由器上配置OPSF路由,實現(xiàn)網(wǎng)絡連通。 (2)配置擴展訪問控制列表禁止網(wǎng)絡192. 168. 1.0/24訪問服務器Server2 ±的WWW服務。 (3) 配置名稱為deny_ho

12、st的擴展訪問控制列表禁止IP地址為192. 168. 4. 1/24的計算機使用 ping 命令 ping 服務器 Serverl o 知識點鏈接:擴展命名訪問控制列表的配置 擴展命名訪問控制列表的配置也分為兩步,定義訪問控制列表和應用訪問控制列表。 1) 定義擴展命名訪問控制列表 命令格式如下: Switch (config) #ip access-list extended 規(guī)則名稱 Switch (config-ext-nac 1)#permit I deny協(xié)議源地址通配屏蔽碼操作符源端口號目的 地址通配屏蔽碼操作符目的端口號 其中,名稱是指訪問控制列表的名稱。其他

13、參數(shù)與擴展編號訪問控制列表命令中的一樣,在此 不再贅述。 例3:在三層交換機上配置訪問控制列表拒絕網(wǎng)絡172. 16. 3. 0/24訪問IP地址為172. 16. 4.1/24 的服務器上的WEB服務。 Switch (config)#ip access-list extended no_enter_80 Switch(config-ext-nacl)#deny tcp 172.16.3.0 0.0.0.255 host 172.16.4.1 eq www Switch(config-ext-nacl)^permit ip any any 2) 應用擴展命名訪問控制列表 應用

14、擴展命名訪問控制列表與應用標準訪問控制列表的方法相同。 任務分析: (1) 配置擴展訪問控制列表禁止網(wǎng)絡192. 168. 1. 0/24訪問服務器Server2上的WWW服務。 定義編號為101的擴展訪問控制列表的第一條語句,動作為deny,協(xié)議為tcp,源地址為 192.168.1.0/24,目地址為192.168. 5.1,目的端口號為80;第二條語句配置任何計算機可以訪問 任何計算機。 (2) 配置名稱為deny_host的擴展訪問控制列表禁止IP地址為192. 168. 4. 1/24的計算機使用 ping 命令 ping 服務器 Serverlo 定義擴展訪問控制

15、列表的第一條語句,拒絕協(xié)議為icmp、源地址為192. 168. 4. 1>目地址為 192. 168.2. K訪問7端口(助記符為echo)的數(shù)據(jù)包通過,第二條語句配置任何計算機可以訪問 任何計算機。 任務實施: 1) 全網(wǎng)連通 參照任務一任務實施中的第1步~第6步進行配置,使全網(wǎng)連通。 2) 禁止訪問服務器 禁止網(wǎng)絡192. 168. 1. 0/24訪問服務器Server2上的WWW服務。 (3) 在三層交換機上配置編號訪問控制列表。 (4) 測試。再次在計算機PC1的瀏覽器中輸入網(wǎng)址http://192.168. 5.1,點擊“前往”按鈕, 網(wǎng)頁顯示請求超時。在PC2

16、中測試,是正常的,說明擴展訪問控制列表配置起作用了。 3) 禁止ping服務器 禁止IP地址為192. 168. 4. 1/24的計算機使用ping命令ping服務器Serverlo (1) 在路由器上配置命名擴展訪問控制列表。 (2) 在計算機PC2中ping服務器Server 1的IP地址,此時顯示數(shù)據(jù)包無法到達,而其他計算 機依然可以ping通。 4) 故障診斷 如果沒有達到拒絕或允許數(shù)據(jù)包的目的,則可能是訪問控制列表語句錯誤,或應用的位置、方 向 任務三:基于時間的訪問控制列表 拓撲結構:基于時間的訪問控制列表拓撲結構如圖9-12所示。 PC-PT PC-PT

17、 PCA PCB 圖9-12基于時間的訪問控制列表拓撲結構 所需設備:三層交換機(型號3560) 一臺、計算機兩臺、服務器一臺、直通線三根。 規(guī)劃IP地址: 計算機 PCA 的 IP 地址:172. 16. 1. 1/24,網(wǎng)關:172. 16. 1.254。 計算機 PCB 的 IP 地址:172. 16. 2. 1/24,網(wǎng)關:172. 16. 2. 254。 服務器 Server 的 IP 地址:172. 16. 3. 1/24,網(wǎng)關:172. 16. 3. 254。 SWE: Vian 10 的 IP 地址:172. 16. 1. 254/24。Vian 20 的

18、 IP 地址:172. 16. 2. 254/24。 Vian 30 的 IP 地址:172. 16. 3. 254/24。 設備連線: 計算機PCA的f0端口一交換機SWE的fO/1,計算機PCB的f0端口一交換機SWE的fO/11。 服務器Server的f0端口一交換機SWE的gO/1端口。 任務要求: (1) 配置標準訪問控制列表,實現(xiàn)2020年5月1日至2021年5月1日之間的時間只有網(wǎng)絡 172. 16. 1. 0/24可以訪問服務器Servero (2) 配置擴展訪問控制列表,實現(xiàn)網(wǎng)絡172. 16. 2. 0/24在周一至周五每天8:00-17:00不能訪 問服

19、務器Server的FTP服務。 知識點鏈接: 2.配置基于時間的訪問控制列表 配置基于時間的訪問控制列表分為兩步:第一步是定義時間范圍,第二步是關聯(lián)時間范圍。 1)定義時間范圍 時間范圍是一段絕對時間或一段周期性的時間,配置命令如下。 Router (config) #t ime-range 名稱 其中,time-range 定義時間范圍的命令,名稱指時間范圍的名稱,可以是1?32個字符,中 間不能有空格,用來標識時間范圍,以便在訪問控制列表的語句上關聯(lián)。 例如,定義一個名稱為noftp的時間范圍。 Router (config)#time-range noftp 定義好

20、時間范圍后,就進入了時間范圍模式,在該模式下,使用absolute命令設置絕對時間范 圍;使用periodic命令設置以星期為周期的時間范圍。 (1)設置絕對時間范圍。 absolute命令用來設置一段絕對時間的范圍,其后一般接start和end兩個關鍵字,在兩個關 鍵字后的時間以24小時制的時間hh:mm (小時:分鐘)表示,日期按照“XX月XX日XXXX年”的格 式表示,注意月份使用英文的全稱,時間范圍模式下,配置命令如下。 Switch (config-time-range) ttabsolute start 開始時間 end 結束時間 例1: 一個訪問控制列表從2020年

21、5月1日上午8點開始起作用,一直到2020年10月10日 23點停止起作用。 Switch(config-time-range)ttabsolute start 8:00 1 May 2020 end 23:00 10 October 2020 在配置時,start和end關鍵字也可以都省略。如果省略start及其后面的時間,表示與之關 聯(lián)的控制語句立即生效,并一直作用到end后面的時間為止;若省略end及其后面的時間,表示與 之關聯(lián)的控制語句在start后面的時間開始生效,并一直持續(xù)。 例2:從當天17:00開始生效直到永遠。 Switch(config-time-range

22、)#absolute start 17:00 例3:從配置開始生效,一直到2022年5月8日8時。 Switch(config-time-range)ttabsolute end 8:00 8 May 2022 例4:每天上午8點到晚上6點開始起作用。 Switch(config-time-range)^absolute start 8:00 end 18:00 (2)設置周期性時間范圍。 periodic設置以星期為周期的時間范圍。它的主要參數(shù)如表9-3所示,可以是其中的一個或多 個。 2)關聯(lián)時間范圍 時間范圍定義好后,必須關聯(lián)訪問控制列表語句才能生效,需要在訪問控制列表

23、語句的最后關 聯(lián)。 例如網(wǎng)絡172. 16.0.0/24中的計算機不能在每周一 9:00至周五17:00訪問網(wǎng)絡 172. 16. 11.0/24o Router (config)甘time-range monfr i _no_ac cess Router (config-time-range)ttperiodic weekday 9:00 to 17:00 Router (config) #access-l i st 101 deny ip 172. 16. 0. 0 0. 0. 0. 255 172. 16. 11.0 0. 0. 0. 255 time-range mon

24、fri noaccess Router (config)#access-list 101 permit ip any any 任務分析: (1) 配置標準訪問控制列表與絕對時間范圍,實現(xiàn)2020年5月1日至2021年5月1日之間的 時間只有網(wǎng)絡172. 16. 1. 0/24可以訪問服務器Servero (2) 配置擴展訪問控制列表與周期性時間范圍,實現(xiàn)使網(wǎng)絡172. 16. 2. 0/24在周一至周五每天 8:00-17:00不能訪問服務器Server的FTP服務。 任務實施: 1) 繪制拓撲結構 繪制如圖9-12所示的拓撲結構。 2) 配置各計算機的IP地址與網(wǎng)關 計

25、算機 PCA 的 IP 地址:172. 16. 1. 1/24 網(wǎng)關:172. 16. 1. 254 計算機 PCB 的 IP 地址:172. 16. 2. 1/24 網(wǎng)關:172. 16. 2. 254 3) 配置交換機SWE (1) 在交換機SWE上創(chuàng)建Vian,設置IP地址。 (2) 配置交換機的時鐘。 4) 測試,此時全網(wǎng)連通 5) 配置基于時間的訪問控制列表 (1)配置標準訪問控制列表與絕對時間范圍。 6)測試 (1) 網(wǎng)絡172. 16. 1.0/24在2020年5月1日至2021年5月1日之間的時間可以訪問服務器 Servero 從PC1中ping服務器S

26、erver,不通。因為時間不在2020年5月1日至2021年5月1日之間。 將交換機的時鐘配置為2020年5月1日至2021年5月1日之間。 Switchttclock set 21:10:09 May 22 2020 再次測試,可以連通。 (2) 網(wǎng)絡172. 16. 2. 0/24在周一至周五每天8:00-17:00不能訪問服務器Server的網(wǎng)站。 同樣的方法,將交換機的時間調(diào)整為周一至周五每天8:00-17:00之外,從PC2中訪問Server 的FTP服務,無法訪問。將交換機的時間調(diào)整為周一至周五每天8:00-17:00之間,從PC2中訪問 Server的FTP服務可以

27、訪問。 【項目小結】 本任務主要學習了: 1) 能夠完成標準、擴展訪問控制列表的配置。 2) 能夠完成基于時間的訪問控制列表的配置。 任務評價表 學生: 級 班 星期 日期 項目名稱 項目九訪問控制列表 組長 評價內(nèi)容 主要評價標準 分數(shù) 小組評價 教師評價 任務一 標準訪問控制列表配置正確 40分 任務二 擴展訪問控制列表配置正確 40分 任務三 基于時間的訪問控制列表配置正確 20分 總分 合計 項目總結 (心得體會) 說明:(1)從設備選擇、設備連線、設備配置、連通測試等方面對任務進行評價。 (2)滿分100分,總分二組長評價x40%+教師評價x60%o

展開閱讀全文
溫馨提示:
1: 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
2: 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
3.本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
5. 裝配圖網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

相關資源

更多
正為您匹配相似的精品文檔
關于我們 - 網(wǎng)站聲明 - 網(wǎng)站地圖 - 資源地圖 - 友情鏈接 - 網(wǎng)站客服 - 聯(lián)系我們

copyright@ 2023-2025  zhuangpeitu.com 裝配圖網(wǎng)版權所有   聯(lián)系電話:18123376007

備案號:ICP2024067431-1 川公網(wǎng)安備51140202000466號


本站為文檔C2C交易模式,即用戶上傳的文檔直接被用戶下載,本站只是中間服務平臺,本站所有文檔下載所得的收益歸上傳人(含作者)所有。裝配圖網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對上載內(nèi)容本身不做任何修改或編輯。若文檔所含內(nèi)容侵犯了您的版權或隱私,請立即通知裝配圖網(wǎng),我們立即給予刪除!