【正文】 企業(yè)網(wǎng)綜合實戰(zhàn) 【 問題 2】 （ 6分） 以下是圖 35中邊界路由器 Router的部分配置信息，請在（ 6）～（ 11）空缺處填寫上合適的命令或參數(shù)，以實現(xiàn) TCP負載均衡的配置任務(wù)。 ⑤ 邊界路由器將 IP應答數(shù)據(jù)包中源地址轉(zhuǎn)換為虛擬主機地址，并轉(zhuǎn)發(fā)這個修改后的 IP應答包；主機 B接收到源地址為 IP應答包。（ 3）接收到該數(shù)據(jù)包，并作出應答。如：為虛擬主機（ ）分配一個真實主機的 IP地址 。 ① 外部主機 B（ ）發(fā)出請求，建立主機 B到（ 1）的連接。 在下圖的網(wǎng)絡(luò)設(shè)計方案中，在邊界路由器 Router上進行了TCP負載均衡技術(shù)的配置，其部分網(wǎng)絡(luò)地址映射 NAT表見下表。 企業(yè)網(wǎng)綜合實戰(zhàn) NAT配置技術(shù) 網(wǎng)絡(luò)地址轉(zhuǎn)換 NAT技術(shù)可用來緩解 IP地址短缺問題和實現(xiàn)TCP負載均衡功能。 【 問題 6】 （ 4分） 在 IP訪問控制列表的語法中，關(guān)鍵字 option有一個常用的 “ log”選項，主要用于對那些能夠匹配訪問表中的 permit和 deny語句的報文進行日志記錄；另一個常用的選項是 “ established”，只對 TCP協(xié)議有效且只在一個方向上來響應由另一端發(fā)起的會話。 accesslist 102 （ 1） tcp （ 2） eq 80 企業(yè)網(wǎng)綜合實戰(zhàn) 【 問題 5】 （ 3分） 在三層交換機的內(nèi)網(wǎng)服務(wù)器 VLAN2接口上，要求完成以下安全規(guī)則：允許公司研發(fā)部全體員工通過 FTP方式訪問放置資源代碼的服務(wù)器（ IP地址為 ），而其他內(nèi)部員工及外網(wǎng)所有主機均不能以 FTP方式訪問該服務(wù)器。從訪問控制列表技術(shù)角度考慮，應將這些游戲服務(wù)器和游戲幣 Web服務(wù)器部署在網(wǎng)絡(luò)拓撲的哪些位置 ? 企業(yè)網(wǎng)綜合實戰(zhàn) 【 問題 3】 （ 2分） 訪問控制表是實現(xiàn)安全管理的重要手段。 【 問題 2】 （ 2分） 該商務(wù)公司有多臺游戲服務(wù)器用于提供各種在線游戲，保護這些服務(wù)器內(nèi)部數(shù)據(jù)的安全性是公司網(wǎng)管員第一工作要責。 企業(yè)網(wǎng)綜合實戰(zhàn) 企業(yè)網(wǎng)綜合實戰(zhàn) 【 問題 1】 （ 2分） 通常路由器都支持兩種類型的訪問控制列表：基本訪問控制列表和擴展訪問控制列表。網(wǎng)管員按照各部門的職能將公司內(nèi)部網(wǎng)絡(luò)分成了 8個 VLAN，分別是公司網(wǎng)絡(luò)設(shè)備及網(wǎng)管機 VLAN1（ ）、內(nèi)網(wǎng)服務(wù)器 VLAN2（ ）、非軍事區(qū) DMZ VLAN3（ ）、財務(wù)部VLAN4（ ）、市場部 VLAN5（ ）、研發(fā)部VLAN6（ ）、接待室 VLAN（ ）。 企業(yè)網(wǎng)綜合實戰(zhàn) ACL配置技術(shù) 某電子商務(wù)公司為適應市場的發(fā)展組建了一個企業(yè)網(wǎng)，其網(wǎng)絡(luò)拓撲結(jié)構(gòu)如下圖所示。 2．通過基本訪問控制列表，實現(xiàn)在每天 8:00～ 18:00時間段內(nèi)對源 IP為 。工資查詢服務(wù)器子網(wǎng)地址 ， MAC為 00e0fc010303，技術(shù)支援部門 IP為 ，研發(fā)部門主機 MAC為 00e0fc010101。 企業(yè)網(wǎng)綜合實戰(zhàn) 步驟 1. 建立時間范圍 2. 建立 ACL 3. 啟用防火墻功能 4. 應用于接口 企業(yè)網(wǎng)綜合實戰(zhàn) 第八次實驗 ACL配置（四） 實驗目的 掌握交換機上 ACL的配置 網(wǎng)絡(luò)拓撲圖如下 企業(yè)網(wǎng)綜合實戰(zhàn) 實驗內(nèi)容 公司企業(yè)網(wǎng)通過 Switch實現(xiàn)各部門之間的互連。 配置如下： switch(Config)accesslist 3110 deny 001111110000 00000000ffff anydestinationmac tcp anydestination dport 21 switch(Config)accesslist 3120 deny anysourcemac 001111110000 00000000ffff icmp anysource switch(Config)firewall enable switch(Config)firewall default permit switch(Config)interface ether 0/0/10 switch(ConfigEther0/0/10)macip accessgroup 3110 in switch(ConfigEther0/0/10)macip accessgroup 3120 out 企業(yè)網(wǎng)綜合實戰(zhàn) 配置命名擴展 MACIP訪問列表的步驟 創(chuàng)建一個命名擴展 MACIP 訪問列表 指定多條 permit 或 deny 規(guī)則 開啟交換機的包過濾功能，并設(shè)置其默認動作 將訪問列表應用到指定端口 企業(yè)網(wǎng)綜合實戰(zhàn) 創(chuàng)建一個命名擴展 IP 訪問列表 命令： Macipaccesslist extended name 說明： name為訪問列表的名字，字符串長度為 1—16個字符，第一個字符不能為數(shù)字。 Switch(Config) accesslist 3199 permit 001234456700 00000000FFFF anydestinationmac tcp sport 100 anydestination dport 40000 企業(yè)網(wǎng)綜合實戰(zhàn) 舉例：拒絕任意源 MAC 地址及目的 MAC 地址，任意源 IP 地址及目的 IP 地址，且源端口是 100，目的端口是 40000 的 UDP 報文通過。為了匹配任何 Inter 協(xié)議（包括 ICMP， TCP 和UDP）使用關(guān)鍵字 ip。 配置如下： switch(Config)accesslist 1110 deny 001211231124 00000000ffff anydestinationmac switch(Config)accesslist 1110 deny 001211231124 00000000ffff anydestinationmac switch(Config)firewall enable switch(Config)firewall default permit switch(Config)interface ether 0/0/10 switch(ConfigEther0/0/10)mac accessgroup 1110 in 企業(yè)網(wǎng)綜合實戰(zhàn) MACIP 訪問列表類型 數(shù)字擴展 MACIP 訪問列表 命名擴展 MACIP 訪問列表 企業(yè)網(wǎng)綜合實戰(zhàn) 配置數(shù)字擴展 MACIP訪問列表的步驟 創(chuàng)建數(shù)字擴展 MACIP 訪問列表 開啟交換機的包過濾功能，并設(shè)置其默認動作 將訪問列表應用到指定端口 企業(yè)網(wǎng)綜合實戰(zhàn) 創(chuàng)建數(shù)字擴展 MACIP 訪問列表 命令： accesslist num {deny|permit} {anysource mac| hostsourcemac host_smac| smac smacmask} {anydestinationmac|hostdestinationmac host_dmac| dmac dmacmask} icmp {source sourcewildcard|anysource |hostsource sourcehostip} {destination destinationwildcard|anydestination| hostdestination destinationhostip} [icmptype [icmpcode]] [precedence precedence] [tos tos] [time range timerangename] accesslist num {deny|permit} {anysource mac| hostsourcemac host_smac |smac smacmask} {anydestinationmac|hostdestinationmac host_dmac |dmacdmacmask} igmp {{sourcesourcewildcard}|anysource|{hostsource sourcehostip}} {{destinationdestinationwildcard}|anydestination| {hostdestinationdestinationhostip}} [igmptype] [precedence precedence] [tos tos][time range timerangename] 企業(yè)網(wǎng)綜合實戰(zhàn) accesslist num {deny|permit} {anysource mac|hostsourcemac host_smac | smac smacmask} {anydestinationmac| hostdestinationmac host_dmac |dmac dmacmask} tcp {{sourcesourcewildcard}|anysource| {hostsource sourcehostip}}[sportport1] {{destinationdestinationwildcard}|anydestination|{hostdestination destinationhostip}} [dport port3] [ack+fin+psh+rst+urg+syn] [precedence precedence] [tos tos][time range timerangename] accesslist num {deny|permit}{anysource mac| {hostsourcemac host_smac}|{smacsmacmask}}{anydestinationmac| {hostdestinationmachost_dmac}|{dmacdmacmask}} udp {{sourcesourcewildcard |anysource| {hostsource sourcehostip}}[sport port1] {{destination destinationwildcard}|anydestination|