【正文】 重新配置 命名訪問控制列表 定義命名的 ACL ? ip accesslist {standard|extented} name ? permit|deny {source {sourcewilcard}｜ any} 應(yīng)用 ACL到接口 Router(configif)ip accessgroup name { in | out } 情境分解項目 配置企業(yè)內(nèi)網(wǎng)安全 ?拓?fù)淙鐖D所示， Center公司北京總部四個部門通過交換機(jī)統(tǒng)一連接到核心交換機(jī)上，總部設(shè)有財務(wù)、研發(fā)、高管、信息中心四個部門，每個部門屬于一個 VLAN。 03:28:2703:28:2703:28Saturday, April 1, 2023 ? 1乍見翻疑夢，相悲各問年。 03:28:2703:28:2703:284/1/2023 3:28:27 AM ? 1成功就是日復(fù)一日那一點點小小努力的積累。 上午 3時 28分 27秒 上午 3時 28分 03:28: ? 楊柳散和風(fēng)，青山澹吾慮。 2023年 4月 上午 3時 28分 :28April 1, 2023 ? 1業(yè)余生活要有意義，不要越軌。 :28:2703:28:27April 1, 2023 ? 1意志堅強(qiáng)的人能把世界放在手中像泥塊一樣任意揉捏。 2023年 4月 上午 3時 28分 :28April 1, 2023 ? 1少年十五二十時，步行奪得胡馬騎。 上午 3時 28分 27秒 上午 3時 28分 03:28: ? 沒有失敗，只有暫時停止成功！。 03:28:2703:28:2703:284/1/2023 3:28:27 AM ? 1以我獨沈久，愧君相見頻。 網(wǎng)絡(luò)三 銷售部 財務(wù)部 PC1： F0/0 R2 F0/0 S2/0 S2/0 R1 FTP服務(wù)器： WEB服務(wù)器： 命名訪問控制列表 ?命名 ACL不使用編號而使用字符串來定義規(guī)則。 配置示例： accesslist 101 deny tcp any any eq 135 阻止感染病毒的 PC向其它正常 PC的 135端口發(fā)布攻擊代碼。 ? 流量要經(jīng)過所有到達(dá)目的地的途徑，它在即將到達(dá)目的地時被丟棄，這是對帶寬的浪費。如表示 ，使用通配符掩碼應(yīng)為 。 ?從路由器某一接口進(jìn)來的數(shù)據(jù)包經(jīng)過檢查其源地址和協(xié)議類型，并且與 ACL條件判斷語句相匹配，如果匹配，則執(zhí)行允許或拒絕。交換機(jī)不支持外出訪問的訪問控制列表。配置端口安全老化的過程如下： ? Switch(config)interface interface_id ！指定欲配置端口安全老化的接口 ? Switch(configif)switchport portsecurity aging time aging_time // 為安全端口配置老化時間 ? Switch(configif)switchport portsecurity aging type {absolute|inactivity} // 為安全端口設(shè)置老化類型 查看端口安全設(shè)置 ?在完成端口安全相關(guān)設(shè)置后，可用下列命令查看端口安全配置： ?Switchshow portsecurity ！查看哪些接口啟用了端口安全 ?Switchshow portsecurity address ！查看安全端口 mac地址綁定關(guān)系 ?Switchshow portsecurity interface f0/x 配置交換機(jī)端口安全 ? 某公司拓?fù)淙鐖D所示，為了防止局域網(wǎng)內(nèi)部用戶的 IP地址沖突，防范內(nèi)部網(wǎng)絡(luò)攻擊行為，公司要求網(wǎng)絡(luò)中心管理員為財務(wù)部中每一臺計算機(jī)配置固定 IP地址，并限制只允許局域網(wǎng)內(nèi)部員工的電腦才可以使用網(wǎng)絡(luò)，不得隨意連接其他主機(jī)。這個是Cisco交換機(jī)端口安全違例的默認(rèn)處理方式。以下配置允許一接口最多通過 100個 MAC地址，超過 100時，來自新主機(jī)的數(shù)據(jù)幀將丟失。 ?Cisco3550以上交換機(jī)均可做基于 2層和 3層的端口安全，即 MAC地址與端口綁定以及 MAC地址與 IP地址綁定。 使得單播包在交換機(jī)內(nèi)部也變成廣播包 , 向所有端口轉(zhuǎn)發(fā)，每個連在端口上客戶端都可以收到該報文 。如果網(wǎng)絡(luò)互相設(shè)備沒有很好的安全防護(hù)措施，來自網(wǎng)絡(luò)內(nèi)部的攻擊或者惡作劇式的破壞，將對網(wǎng)絡(luò)的打擊是最致命的。通過如下命令，配置登入交換機(jī)控制臺特權(quán)密碼 ? Switch ? Switchconfigure terminal ? Switch(config)enable secret mypassword ！配置特權(quán)密文密碼 ? Switch(config)login ！配置登陸時需要驗證密碼 配置線纜 仿真終端 RJ45口 F0/1 Console口 Com1口 配置線 測試機(jī) 配置交換機(jī)的連接模式 配置線纜 配置交換機(jī)遠(yuǎn)程登錄的安全措施 除通過 Console端口與設(shè)備直接相連管理設(shè)備之外，用戶還可以通過 Tel程序和交換機(jī) RJ45口建立遠(yuǎn)程連接，以方便管理員對網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理。 ? 配置安全違例處理方式：當(dāng)發(fā)生安全違規(guī)事件時，可以指定不同的處理方式。 限制端口最大連接數(shù) ， 控制惡意擴(kuò)展接入 例：學(xué)校宿舍網(wǎng)可以防止學(xué)生隨意購買小型交換機(jī)或 HUB擴(kuò)展網(wǎng)絡(luò)，對網(wǎng)絡(luò)造成破壞。 配置安全違例 當(dāng)安全違例產(chǎn)生時，可以選擇多種方式來處理違例： ? protect：當(dāng) MAC地址的數(shù)量達(dá)到了這個端口所最大允許的數(shù)目，帶有未知的源地址的數(shù)據(jù)幀就會被丟棄，直到刪除了足夠數(shù)量的 MAC地址為止。具體實現(xiàn)方法如下： ? Switchconfigure terminal ? Switch(config)arp ip地址 mac地址 arpa ? 如下命令建立 ip地址 mac地址 ： ? Switch(config)arp arpa 注意： ? 需要將網(wǎng)段內(nèi)所有 IP都建立 MAC地址映射，沒有使用的 IP地址可以與 。 √ FTP RGS2126 RGS3512G /RGS4009 RGNBR1000 Inter RGS2126 不同部門所屬 VLAN不同 1 2 2 2 1 1 1 2 技術(shù)部 VLAN20 財務(wù)部 VLAN10 隔離病毒源 隔離外網(wǎng)病毒 為什么要使用訪問列表 ACL的功能 ?通過靈活地應(yīng)用訪問控制列表，可以把 ACL作為一種網(wǎng)絡(luò)控制的有力工具，用來實現(xiàn)以下功能： ?提供對通訊流量的控制手段。并且可以控制進(jìn)、出雙向通信。 ? 標(biāo)準(zhǔn)訪問列表 只根據(jù)源 IP地址，進(jìn)行數(shù)據(jù)包的過濾。 accesslist 1 permit (accesslist 1 deny ) interface serial 0 ip accessgroup 1 out F0 S0 F1 Inter IP標(biāo)準(zhǔn)訪問列表配置 只允許 IP標(biāo)準(zhǔn)訪問列表配置技術(shù) 阻止 主機(jī)通過 E0訪問網(wǎng)絡(luò)，而允許其他的機(jī)器訪問 Router（ config） accesslist 1 deny host Router（ config） accesslist 1 permit any Router（ config） interface ether 0 Router（ configif） ip accessgroup 1 in 配置標(biāo)準(zhǔn)訪問控制列表 ?拓?fù)淙鐖D所示，要實現(xiàn)網(wǎng)絡(luò)一和網(wǎng)絡(luò)二隔離，可以在路由器 R2上做標(biāo)準(zhǔn) ACL技術(shù)控制，以實現(xiàn)網(wǎng)絡(luò)之間的隔離。 ?擴(kuò)展 ACL不僅檢查數(shù)據(jù)包源 IP地址，還檢查數(shù)據(jù)包中目的 IP地址，源端口，目的