网络安全知识学习总结 Section 12

一、实验知识总结(模拟)

实验一:ACL配置实验案例

实验拓扑图(在Section 9实验基础上进行):

要求1:不允许VLAN 10的主机访问VLAN 20(传统标准ACL)

① 如果写在三层交换机的vlan 10的出方向:

三层交换机配置(由于过滤,通信被强行禁止):

Switch>en

Switch#conf t

Switch(config)#access-list 1 deny 192.168.20.0 0.0.0.255

Switch(config)#int vlan 10

Switch(config-if)#ip access-group 1 out

Switch(config-if)#exit

Switch(config)#access-list 1 permit any #思科设备默认拒绝所有,所以务必要配置这条命令

如果写在三层交换机的vlan 10的入方向:

Switch(config)#access-list 1 deny 192.168.10.0 0.0.0.255

Switch(config)#access-list 1 permit any

Switch(config)#int vlan 10

Switch(config-if)#ip access-group 1 in

注:配置后,VLAN 20也不能访问VLAN 10。

同理,①如果配置三层交换机的VLAN 20的入方向:

Switch(config)#access-list 1 deny 192.168.20.0 0.0.0.255

Switch(config)#access-list 1 permit any

Switch(config)#int vlan 20

Switch(config-if)#ip access-group 1 in

②如果配置三层交换机的VLAN 20的出方向:

Switch(config)#access-list 1 deny 192.168.10.0 0.0.0.255

Switch(config)#access-list 1 permit any

Switch(config)#int vlan 20

Switch(config-if)#ip access-group 1 out

要求2:不允许VLAN 10的主机访问VLAN 20,也不允许访问网管VLAN 8(命名标准ACL)

配置三层交换机的VLAN 10的出方向:

Switch(config)#ip access-list standard vlan10

Switch(config-std-nacl)#10 deny 192.168.20.0 0.0.0.255

Switch(config-std-nacl)#20 permit any

Switch(config-std-nacl)#exit

Switch(config)#int vlan 10

Switch(config-if)#ip access-group vlan10 out

Switch(config-if)#exit

Switch(config)#ip access-list standard vlan10

Switch(config-std-nacl)#15 deny 192.168.8.0 0.0.0.255

要求3:不允许VLAN 10的主机去向DHCP服务器自动获取ip地址(传统扩展ACL)

配置三层交换机的VLAN 10的入方向:

Switch(config)#access-list 100 deny udp any eq 68 any eq 67

Switch(config)#int vlan 10

Switch(config-if)#ip access-group 100 in

Switch(config-if)#exit

Switch(config)#access-list 100 permit ip any any

要求4:不允许VLAN 10的主机访问web服务器(命名扩展ACL)

Switch(config)#ip access-list extended v10

Switch(config-ext-nacl)#10 deny tcp any host 192.168.100.3 eq 80

Switch(config-ext-nacl)#20 permit ip any any

Switch(config-ext-nacl)#exit

Switch(config)#int vlan 10

Switch(config-if)#no ip access-group vlan10 in

Switch(config-if)#ip access-group v10 in

要求5:不允许VLAN 10的主机访问DNS服务 (命名扩展ACL)

Switch(config)#ip access-list extended v10

Switch(config-ext-nacl)#15 deny udp any host 192.168.100.2 eq 53

总结:

1. 思科设备配置ACL

(1)传统标准ACL(编号1-99)

命令格式:access-list ACL编号 {deny | permit} 源IP地址 通配符掩码

(2)传统扩展ACL(编号100-199)

命令格式:access-list ACL编号 {deny | permit} 协议 源IP地址 通配符掩码 目的IP地址 通配符掩码 [operator] [port]

(3)命名标准ACL

命令格式: ip access-list standard ACL名称

[规则编号] {deny | permit} 源IP地址 通配符掩码

(4)命名扩展ACL

命令格式: ip access-list extended ACL名称

[规则编号] {deny | permit} 协议 源IP地址 通配符掩码 目的IP地址 通配符掩码 [operator] [port]

2. 华为设备配置ACL

(1)传统标准ACL(2000-2999)

命令格式:# 创建ACL(系统视图)

acl [number] ACL编号

进入ACL视图并添加规则(ACL视图)

rule [rule-id] {deny | permit} source {源IP地址 | any} [源IP掩码]

退出ACL视图(回到系统视图)

quit

将ACL应用到接口(接口视图)

interface 接口类型 接口编号

traffic-filter {inbound | outbound} acl [acl-number]

(2)传统扩展ACL(编号3000-3999)

命令格式:# 创建ACL(系统视图)

acl [number] ACL编号

进入ACL视图并添加规则(ACL视图)

rule [rule-id] {deny | permit} protocol source {源IP地址 | any} [源IP掩码] destination {目的IP地址 | any} [目的IP掩码] [destination-port {equal | greater-than | less-than} 端口号]

退出ACL视图(回到系统视图)

quit

将ACL应用到接口(接口视图)

interface 接口类型 接口编号

traffic-filter {inbound | outbound} acl [acl-number]

(3)命名标准ACL

命令格式:# 创建命名标准ACL并进入ACL视图(系统视图)

acl name ACL名称 [number] ACL编号

添加规则(ACL视图)

rule [rule-id] {deny | permit} source {源IP地址 | any} [源IP掩码]

退出ACL视图(回到系统视图)

quit

将ACL应用到接口(接口视图)

interface 接口类型 接口编号

traffic-filter {inbound | outbound} acl name ACL名称

(4)命名扩展ACL

命令格式:# 创建命名扩展ACL并进入ACL视图(系统视图)

acl name ACL名称 [number] ACL编号

添加规则(ACL视图)

rule [rule-id] {deny | permit} protocol source {源IP地址 | any} [源IP掩码] destination {目的IP地址 | any} [目的IP掩码] [destination-port {equal | greater-than | less-than} 端口号]

退出ACL视图(回到系统视图)

quit

将ACL应用到接口(接口视图)

interface 接口类型 接口编号

traffic-filter {inbound | outbound} acl name ACL名称

实验二:华为设备的 PPP 协议 CHAP 认证实验

实验拓扑图:

AR1配置(主动发起 CHAP 认证方):

AR2配置(被动响应 CHAP 认证方):

二、理论知识总结(广域网WAN了解/拓展)

1. 广域网和局域网的区别:有没有第三方参与。

2. 帧中继:把端口绑定在一起。

3. 广域网WAN协议工作原理

4. 广域网WAN典型配置

相关推荐
LFly_ice1 小时前
学习React-20-useId
前端·学习·react.js
eqwaak01 小时前
科技信息差(9.29)
开发语言·科技·学习·算法
zzz.101 小时前
Calico 网络插件在 K8s 集群的作用
网络·云原生·kubernetes
脑洞代码1 小时前
20250929的学习笔记
笔记·学习
LFly_ice1 小时前
学习React-18-useCallBack
前端·学习·react.js
运维行者_1 小时前
OpManager 与 iOS 26:开启 IT 运维新时代
运维·网络·网络协议·网络安全·ios·iphone·告警
云境天合知识分享2 小时前
能见度监测站的优点是什么
网络
筱砚.2 小时前
【数据结构——十字链表】
网络·数据结构·链表
Yvonne爱编码2 小时前
机器人的“神经网络”:以太网技术如何重塑机器人内部通信?【技术类】
网络·机器人
自我陶醉@2 小时前
计算机网络---传输层
网络·计算机网络·考研·学习方法·408