【正文】 在什么位置 : ? 只過(guò)濾數(shù)據(jù)包源地址的 ACL應(yīng)該放置在離目的地盡可能近的地方； ? 過(guò)濾數(shù)據(jù)包的源地址和目的地址以及其他信息的 ACL，則應(yīng)該放在離源地址盡可能近的地方； ?只過(guò)濾數(shù)據(jù)包中的源地址的 ACL有兩個(gè)局限性： ? 即使 ACL應(yīng)用到路由器 C的 E0，任何用戶 A來(lái)的流量都將被禁止訪問(wèn)該網(wǎng)段的任何資源，包括數(shù)據(jù)庫(kù)服務(wù)器。 學(xué)生網(wǎng)段 校領(lǐng)導(dǎo)網(wǎng)段 郵件 server WEBserver 目的地址 源地址 協(xié)議 端口號(hào) 100199號(hào)列表 TCP/UDP 數(shù)據(jù) IP IP擴(kuò)展訪問(wèn)列表 IP擴(kuò)展訪問(wèn)列表的配置 定義擴(kuò)展的 ACL Router(config) accesslist 100199 { permit /deny } 協(xié)議 源地址 反掩碼 [源端口 ] 目的地址 反掩碼 [ 目的端口 ] 應(yīng)用 ACL到接口 Router(configif)ip accessgroup 100199 |{name} { in | out } 實(shí)例 配置擴(kuò)展訪問(wèn)控制列表 ?拓?fù)淙鐖D所示，某公司銷售部的網(wǎng)絡(luò)和財(cái)務(wù)部的網(wǎng)絡(luò)通過(guò)路由器 R1和 R2相連，對(duì)整個(gè)網(wǎng)絡(luò)配置RIPv2動(dòng)態(tài)路由協(xié)議，保證網(wǎng)絡(luò)正常通信。 2023年 4月 1日星期六 3時(shí) 28分 27秒 03:28:271 April 2023 ? 1做前，能夠環(huán)視四周；做時(shí)，你只能或者最好沿著以腳為起點(diǎn)的射線向前。勝人者有力，自勝者強(qiáng)。 , April 1, 2023 ? 閱讀一切好書如同和過(guò)去最杰出的人談話。 :28:2703:28:27April 1, 2023 ? 1他鄉(xiāng)生白發(fā)，舊國(guó)見(jiàn)青山。 接入交換機(jī) RGS2126G防病毒配置 RG2126G2(config) ip accesslist extended deny_worms RG2126G2(configextnacl) deny tcp any any eq 135 RG2126G2(configextnacl) deny tcp any any eq 136 RG2126G2(configextnacl) deny tcp any any eq 137 RG2126G2(configextnacl) deny tcp any any eq 138 RG2126G2(configextnacl) deny tcp any any eq 139 RG2126G2(configextnacl) deny tcp any any eq 445 RG2126G2(configextnacl) deny udp any any eq 135 RG2126G2(configextnacl) deny udp any any eq 136 RG2126G2(configextnacl) deny udp any any eq biosns RG2126G2(configextnacl) deny udp any any eq biosdgm RG2126G2(configextnacl) deny udp any any eq biosss RG2126G2(configextnacl) deny udp any any eq 445 RG2126G2(configextnacl) permit ip any any RG2126G2(configextnacl)exit RG2126G2(config)interface range fa 0/124 RG2126G2(configifrange)ip accessgroup deny_worms in 配置擴(kuò)展 ACL示例 配置擴(kuò)展 ACL示例 項(xiàng)目：配置擴(kuò)展訪問(wèn)列表保護(hù)服務(wù)器安全 【 工作任務(wù) 】 如圖所示網(wǎng)絡(luò)拓?fù)涫侵斜贝髮W(xué)計(jì)算機(jī)科學(xué)技術(shù)學(xué)院學(xué)院學(xué)生網(wǎng)和行政辦公網(wǎng)網(wǎng)絡(luò)工作場(chǎng)景 ， 要實(shí)現(xiàn)教師網(wǎng) （ ）和學(xué)生網(wǎng) （ ） 之間的互相連通 ， 但不允許學(xué)生網(wǎng)訪問(wèn)教師網(wǎng)中的 FTP服務(wù)器 ， 可以在路由器 R2上做擴(kuò)展 ACL技術(shù)控制 ， 以實(shí)現(xiàn)網(wǎng)絡(luò)之間的隔離 【 項(xiàng)目設(shè)備 】 路由器 （ 2臺(tái) ） ；網(wǎng)線 （ 若干 ） ；測(cè)試 PC（ 2臺(tái) ） ； 【 實(shí)施過(guò)程 】 ………… 配置擴(kuò)展訪問(wèn)控制列表 ?擴(kuò)展 ACL的工作過(guò)程 接口是否有ACL？ N 丟棄數(shù)據(jù) Y 是否匹配源地址？ 匹配目的地址？ 匹配協(xié)議端口？ 允許或拒絕？ 通知發(fā)送端 將數(shù)據(jù)包轉(zhuǎn)發(fā)出去 最后一條規(guī)則？ 至下一條規(guī)則 Y Y Y N N N N Y 拒絕 允許 擴(kuò)展型訪問(wèn)控制列表 ?擴(kuò)展型訪問(wèn)控制列表（ Extended IP ACL ）在數(shù)據(jù)包的過(guò)濾和控制方面，增加了更多的精細(xì)度和靈活性，具有比標(biāo)準(zhǔn)的 ACL更強(qiáng)大數(shù)據(jù)包檢查功能。 accesslist 1 permit (accesslist 1 deny ) interface serial 0 ip accessgroup 1 out F0 S0 F1 Inter IP標(biāo)準(zhǔn)訪問(wèn)列表配置 只允許 IP標(biāo)準(zhǔn)訪問(wèn)列表配置技術(shù) 阻止 主機(jī)通過(guò) E0訪問(wèn)網(wǎng)絡(luò)，而允許其他的機(jī)器訪問(wèn) Router（ config） accesslist 1 deny host Router（ config） accesslist 1 permit any Router（ config） interface ether 0 Router（ configif） ip accessgroup 1 in 配置標(biāo)準(zhǔn)訪問(wèn)控制列表 ?拓?fù)淙鐖D所示，要實(shí)現(xiàn)網(wǎng)絡(luò)一和網(wǎng)絡(luò)二隔離，可以在路由器 R2上做標(biāo)準(zhǔn) ACL技術(shù)控制，以實(shí)現(xiàn)網(wǎng)絡(luò)之間的隔離。并且可以控制進(jìn)、出雙向通信。具體實(shí)現(xiàn)方法如下： ? Switchconfigure terminal ? Switch(config)arp ip地址 mac地址 arpa ? 如下命令建立 ip地址 mac地址 ： ? Switch(config)arp arpa 注意： ? 需要將網(wǎng)段內(nèi)所有 IP都建立 MAC地址映射，沒(méi)有使用的 IP地址可以與 。 限制端口最大連接數(shù) ， 控制惡意擴(kuò)展接入 例：學(xué)校宿舍網(wǎng)可以防止學(xué)生隨意購(gòu)買小型交換機(jī)或 HUB擴(kuò)展網(wǎng)絡(luò)，對(duì)網(wǎng)絡(luò)造成破壞。通過(guò)如下命令，配置登入交換機(jī)控制臺(tái)特權(quán)密碼 ? Switch ? Switchconfigure terminal ? Switch(config)enable secret mypassword ！配置特權(quán)密文密碼 ? Switch(config)login ！配置登陸時(shí)需要驗(yàn)證密碼 配置線纜 仿真終端 RJ45口 F0/1 Console口 Com1口 配置線 測(cè)試機(jī) 配置交換機(jī)的連接模式 配置線纜 配置交換機(jī)遠(yuǎn)程登錄的安全措施 除通過(guò) Console端口與設(shè)備直接相連管理設(shè)備之外，用戶還可以通過(guò) Tel程序和交換機(jī) RJ45口建立遠(yuǎn)程連接，以方便管理員對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理。 使得單播包在交換機(jī)內(nèi)部也變成廣播包 , 向所有端口轉(zhuǎn)發(fā)，每個(gè)連在端口上客戶端都可以收到該報(bào)文 。以下配置允許一接口最多通過(guò) 100個(gè) MAC地址，超過(guò) 100時(shí)，來(lái)自新主機(jī)的數(shù)據(jù)幀將丟失。配置端口安全老化的過(guò)程如下： ? Switch(config)interface interface_id ！指定欲配置端口安全老化的接