(论文)现实环境下的网络安全规划与实现(2013年优秀毕业设计论文)

本科毕业论文 论文题目： 现实环境下的网络安全规划与实现 作者姓名： 学 号： 学 院： 信息科学与工程学院 专 业： 集成电路设计与集成系统 指导老师： 目录内容摘要：2索引关键词：3绪论：3第一章 三层交换机5一、三层交换机的特点及功能：6二、三层交换机安全策略：8第二章 三层交换机安全管理配置9一、 配置要求：9二、基础配置：10二、通过TELNET的方式，远程登陆交换机。14第三章：IP-MAC地址绑定19一、IP-MAC地址绑定简介：19二、IP-MAC地址绑定配置：19 1.配置要求及拓扑图：19第四章 ACL22一、概述：22二、ACL的作用：22三、ACL的种类：23四、访问控制列表使用原则23第五章 标准ACL25一、标准ACL简介：25二、标准ACL配置举例：27三、总结：29第六章 扩展ACL30一、扩展访问控制列表的特点：30 1. 特点30二、扩展ACL的配置：31三、扩展ACL补充：33第七章 基于名字的ACL以及端口的控制34一、基于名字的ACL简介：34二、编写配置基于名字的ACL：34 1 .拓扑图以及要求34三、说明：37第八章 基于时间的ACL40第九章 单向ACL42一、单向ACL使用环境及用途：42二、单向ACl简介：42三、单向ACL配置举例：42四、说明:43结束语 .45致谢.45参考文献.46附录.47内容摘要： 网络的日益发展所带来的安全问题日益严重。本文所研究的是网络安全策略以及实现。通过学习网络知识，研究三层交换机，提出网络安全的概念以及网络安全的目标以及安全策略。再通过对安全策略的研究，利用Packet Tracer仿真软件进行实验，完成安全策略所提出的网络安全的要求，然后基于实验室的的实验环境完成对三层交换机的基础安全管理配置，MAC地址绑定，ACL配置等，从而达到对网络的安装与配置以及网络间的安全控制。最后完成一个教学平台的搭建，为学生们的学习实验提供资源。本论文研究成果已经为06级通信专业实验所用。索引关键词：三层交换机 三层交换技术 网络安全 ACL（访问控制列表）ABSTRACT:With the development of network technology and application ，the security of network becomes more and more important. This document focuses on the strategy and achievement of the network security. Through learning network knowledge and researching layer 3 switch, we will put forward the concept of network security and security strategy. Through researching the strategy of the network security, we will use the Packet Tracer 5.0 to be used to complete the security policy put forward by the requirements of network security. Then, based on experimental laboratory environment, I can complete the layer 3 switch configuration based on security management, MAC address binding, ACL configuration to achieve the network installation and configuration and security control networks. Finally, these will be a teaching platform structures for students to provide resources for learning and experiments. The results of this thesis have been used in the experiments of the 06 TelecommunicationEngineering. Index keywords: layer 3 switch layer 3 switching network security ACL绪论：随着大规模开放式网络的开发，网络面临的威胁也就越来越多。网络安全问题就成了重中之重的一个问题。我们一方面必须要允许对网络资源的开发访问，另一方面又必须要确保自身数据和资源的彻底安全。网络安全设置采用的方法很多，可以对防火墙进行安全配置，还可以通过对路由器、交换机进行配置来实现，一般需要对这些方法进行综合应用，以加强网络的安全防护。要实现网络安全需要控制多个方面。需要控制外部网络访问内部网络，控制内部网络访问外部网络，还要控制内外网络访问交换机，确定网络接口的安全。这其中，很大一部分网络安全的需要就依靠三层交换机来实现。出于安全和管理方便的考虑，主要是为了减小广播风暴的危害，必须把大型局域网按功能或地域等因素划成一个个小的局域网，这就使VLAN技术在网络中得以大量应用，而各个不同VLAN间的通信都要经过路由器来完成转发，随着网间互访的不断增加。单纯使用路由器来实现网间访问，不但由于端口数量有限，而且路由速度较慢，从而限制了网络的规模和访问速度。基于这种情况三层交换机便应运而生，三层交换机是为IP设计的，接口类型简单，拥有很强二层包处理能力，非常适用于大型局域网内的数据路由与交换，它既可以工作在协议第三层替代或部分完成传统路由器的功能，同时又具有几乎第二层交换的速度。 随着三层交换机在网络中的广泛应用，三层交换机的安全配置也就成为了网络安全的重中之重。本文中我们就主要讲一下基于三层交换机的安全策略及实现。基于实验室条件，利用Packet Tracer这款仿真软件进行仿真实验，对三层交换机进行安全配置，主要包括主机的管理员安全管理配置，MAC地址绑定配置，以及三层交换机的ACL（访问控制列表）配置。如何对主机进行基本的管理配置，实现交换机的安全管理；以及对交换机进行端口的MAC地址绑定，以实现交换机对所管理局域网内PC机的安全管理，使其对内部网络的管理更加精细，以利于管理员迅速查找出网络内问题来源；还有对局域网内进行ACL访问控制，配置一个局域网，使其不受外部网络的攻击以及实现对内部网络PC机的访问限制，保护内部网络。这些都是我们要用Packet Tracer这款仿真软件要实现的仿真实验。第一章 三层交换机 三层交换是相对于传统交换概念而提出的。传统的交换技术是在OSI网络标准模型中的第二层数据链路层进行操作的，而三层交换技术是在网络模型中的第三层实现了数据包的高速转发。简单地说，三层交换技术就是：二层交换技术三层转发技术。一个具有三层交换功能的设备，是一个带有第三层路由功能的第二层交换机，但它是二者的有机结合，并不是简单地把路由器设备的硬件和软件简单的叠加在局域网交换机上。 本文中的所用三层交换机是以思科公司3560交换机为原型的仿真软件Packet Tracer中提供的3560交换。一、三层交换机的特点及功能： 要对交换机进行配置，首先需要了解交换机的一些特点及使用方式，这样才能根据其特点及在网络中的定位确定其配置策略。 1.功能：三层交换机仍是交换机产品，它的主要功能仍是数据交换。但它同时具备了数据交换和路由由发两种功能，但其主要功能还是数据交换。 2、适用场所：三层交换机主要是用于简单的局域网连接。三层交换机的路由功能通常比较简单，路由路径远没有路由器那么复杂。它用在局域网中的主要用途还是提供快速数据交换功能，满足局域网数据交换频繁的应用特点。三层交换机通过硬件执行数据包交换。 3、 数据处理方式：三层交换机在对第一个数据流进行路由后，它将会产生一个MAC地址与IP地址的映射表，当同样的数据流再次通过时，将根据此表直接从二层通过而不是再次路由，从而消除了路由器进行路由选择而造成网络的延迟，提高了数据包转发的效率。同时，三层交换机的路由查找是针对数据流的，它利用缓存技术，很容易利用ASIC技术来实现，因此，可以大大节约成本，并实现快速转发。而路由器的转发采用最长匹配的方式，实现复杂，通常使用软件来实现，转发效率较低。 4、三层交换机组网方案： 三层交换机主要是应用于局域网内部组网。例如学校局域网，大型企业内部局域网和大型网吧的组网。下面是三层交换机的一般组网应用方案，这是一个大学校园网络的拓扑图：由上面的拓扑图可以看出，三层交换机已经广泛的应用于网络中，上图网络中由一个大型的路由器连接内网和外网，然后用一个比较大的三层交换机来构建整个校园的局域网，三层交换机下连着若干个小型三层交换机，再由这些小型的三层交换机组建各个学院以及各个楼层的小型局域网。5、三层交换机的主要特点总结：(1) 有机的硬件结合使得数据交换加速,控制功能丰富;(2) 优化的路由软件使得路由过程效率提高;(3) 除了必要的路由决定过程外,大部分数据转发过程由第二层交换处理;(4) 多个子网互连时只是与第三层交换模块的逻辑连接,不象传统的外接路由器那样需增加端口,保护了用户的投资。综上所述三层交换技术集合了两层技术和路由器的主要优点，在大中型网络的使用中，不仅减少了广播风暴，实现了数据包的快速强大的处理能力，此外相对于两层技术还拥有了路由功能，可以针对IP进行控制，可以划分VLAN，不仅是组建大型局域网络变得更加快速便捷，并通过访问控制列表实现了对网络的更加高效、安全的管理。二、三层交换机安全策略：在明白三层交换机在网络组建中的作用后，我们就可以列出一个安全的交换机所需要具备的条件：1 交换机所需要具备的安全机制： 交换机最重要的作用就是转发数据，在黑客攻击和病毒侵扰下，交换机要能够继续保持其高效的数据转发速率，不受到攻击的干扰，这就是交换机所需要的最基本的安全功能。l 同时，交换机作为整个网络的核心，应该能对访问和存取网络信息的用户进行区分和权限控制。l 更重要的是，交换机还应该配合其他网络安全设备，对非授权访问和网络攻击进行监控和阻止。 以上是交换机所需要具备的安全机制，可以根据这些条件对交换机进行配置以实现基于交换机的网络的安全：2、三层交换机的一般安全策略：l 在基础配置中使其拥有完备的的安全管理机制；l 通过MAC地址IP地址绑定对局域网内主机进行有效的管理；l 最重要的的是通过对ACL（访问控制列表）进行配置，实现内网对外网以及外网对内网的访问控制，包括端口过滤，流量控制，时间控制，屏蔽访问等等。第二章 三层交换机安全管理配置一、 配置要求：对交换机的基础配置是为了方便网络管理员的管理以及防止无关人员通过干扰交换机妨害网络安全为目的的，也是三层交换机的最基础配置。 将配置线一段插在三层交换机的串口上，一段插在PC机串口上，在现实环境中配置时需要在PC机上启动超级终端程序。二、基础配置：1. 修改主机名： 在超级终端程序下，进入三层交换机的命令行模式，输入以下命令。 Switchen /主机名开始为switch，进入特权模式Switch#conf t /全局配置模式Enter configuration commands, one per line. End with CNTL/Z.Switch(config)#hostname cisco /主机名改为为ciscocisco(config)#ex%SYS-5-CONFIG_I: Configured from console by consolecisco# /主机名已改为cisco 2. 设立修改特权密码 ：这是关系到交换机安全以及网络安全的重要而配置。毕竟管理交换机是只有网络管理员才有的权利。命令如下：Switchen /特权模式Switch#conf t /全局配置模式Enter configuration commands, one per line. End with CNTL/Z.Switch(config)#enable password 123 /特权密码设为123Switch(config)#ex /退出%SYS-5-CONFIG_I: Configured from console by consoleSwitch# 如想删除，可以用no命令。如下：SwitchenPassword: /这里需要输入特权密码，但在命令行模式里不显示Switch#conf t /进入全局配置模式Enter configuration commands, one per line. End with CNTL/Z.Switch(config)#no enable password /删除密码Switch(config)#ex%SYS-5-CONFIG_I: Configured from console by consoleSwitch#3.恢复出厂设置： 取消全部交换机的启动配置。删除交换机ip、vlan，acl（访问控制列表）等的配置。如图：首先，我们设置交换机ip地址SwitchenPassword: Switch#conf tEnter configuration commands, one per line. End with CNTL/Z.Switch(config)#int vlan 1Switch(config-if)#ip address Switch(config-if)#exSwitch(config)#ex%SYS-5-CONFIG_I: Configured from console by consoleSwitch#显示配置：SwitchenPassword: Switch#show runBuilding configuration.Current configuration : 1029 bytes!version 12.2no service password-encryption!hostname Switch!enable password 123 . . . .interface FastEthernet0/24!interface GigabitEthernet0/1!interface GigabitEthernet0/2!interface Vlan1 ip address shutdown!ip classless!line con 0line vty 0 4 login!end由上可以知道主机的密码，ip等的设置。现在恢复出厂启动设置SwitchenPassword: Switch#erase startup-config / 恢复出厂设置Erasing the nvram filesystem will remove all configuration files! Continue? confirm /回车OKErase of nvram: complete%SYS-7-NV_BLOCK_INIT: Initialized the geometry of nvramSwitch#reload /重新启动机器Proceed with reload? confirm /回车注：启动配置文件保存在NVRAM中,把这个文件擦除重启即可,并且必须是擦完就重启，不要保存,因为保存了又会把你当前的running-config 写入NVRAM 。删除完我们可以再show一下Switchen Switch#show run Building configuration.Current configuration : 984 bytes!version 12.2no service password-encryption /密码已经删除!hostname Switch!ip ssh version 1!port-channel load-balance src-mac! . . . .!interface GigabitEthernet0/1!interface GigabitEthernet0/2!interface Vlan1 no ip address /ip地址也已经删除 shutdown!ip classless!line con 0line vty 0 4 login!end结果显示，ip地址、密码等均已经被删除。二、通过TELNET的方式，远程登陆交换机。前面配置交换机是通过console线对交换机进行管理，叫做带外管理。当然也就有带内管理，就是以从网络内进行配置的方法-用telnet的方法管理交换机。实验拓扑图如下： 配置telnet时需要配置线，配置完就可以通过直连线进行telnet管理了。首先，我们设置交换机ip地址SwitchenSwitch#conf tEnter configuration commands, one per line. End with CNTL/Z.Switch(config)#int vlan 1Switch(config-if)#ip address /配置ip地址Switch(config-if)#no shutdown /打开端口%LINK-5-CHANGED: Interface Vlan1, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state to upSwitch(config-if)#exSwitch(config)#ex%SYS-5-CONFIG_I: Configured from console by console 验证配置：Switch#show runBuilding configuration.Current configuration : 997 bytes!version 12.2no service password-encryption!hostname Switch!ip ssh version 1!port-channel load-balance src-mac!interface FastEthernet0/1 . . .interface FastEthernet0/24!interface GigabitEthernet0/1!interface GigabitEthernet0/2!interface Vlan1 ip address /ip地址存在!ip classless!line con 0line vty 0 4 loginend配置pc机地址验证一下是否能够ping通连接成功。在搭网完成后对进行telnet配置SwitchenSwitch#conf tEnter configuration commands, one per line. End with CNTL/Z.Switch(config)#line vty 0 4Switch(config-line)#login% Login disabled on line 66, until password is set% Login disabled on line 67, until password is set% Login disabled on line 68, until password is set% Login disabled on line 69, until password is set% Login disabled on line 70, until password is setSwitch(config-line)#password 123456Switch(config-line)#end%SYS-5-CONFIG_I: Configured from console by consoleSwitch#conf tEnter configuration commands, one per line. End with CNTL/Z.Switch(config)#enable password 123 Switch(config)#ex /为了网络安全，这里必须要设置telnet密码和特权密码，不然配置失败。配置完成后，对配置内容进行验证，即用pc机通过telnet的方式对交换机进行验证：如上图，在pc机输入命令及密码后就可以配置交换机了。这些基础配置，只是为了方便管理员对交换机进行进一步的配置做准备的，其对交换机的安全管理作用明显，但却远远不够。如果想进一步加强交换机的安全管理，需要我们对交换机的配置进行进一步的加强，如对交换机端口的MAC地址绑定。第三章：IP-MAC地址绑定一、IP-MAC地址绑定简介： MAC地址也叫物理地址、硬件地址或链路地址，由网络设备制造商生产时写在硬件内部。MAC和IP地址绑定，指网络设备可以根据用户的配置，在特定的IP地址和MAC地址之间形成关联关系。对于声称从这个IP地址发送的报文，如果其MAC地址不是指定关系对中的地址，将予以丢弃，是避免IP地址假冒攻击的一种方式 。而且将IP与MAC地址绑定够可以在网络内部出现木马或病毒导致ARP攻击等可以迅速确定源头，方便网络管理员对问题主机进行暂时的安全隔离。MAC地址绑定多数是应用在单位或企业内部，为加强对局域网内主机的监管和加强网络安全所进行的一种安全策略。二、IP-MAC地址绑定配置：1.配置要求及拓扑图：在思科3560交换机下连接两个PC机，PC0和PC1，在两个端口上分别绑定两台PC机的MAC地址。使的只能在PC机绑定的端口上使用PC机。2. MAC地址绑定配置只能将应用1或2与基于IP的访问控制列表组合来使用才能达到IP-MAC 绑定功能。 首先按照拓扑图配置交换机和PC机，保证相互间可以互相ping通。然后确定PC0的MAC地址，如下：然后进行IPMAC地址绑定配置。Switch(config)Mac access-list extended MAC10定义一个MAC地址访问控制列表并且命名该列表名为MAC10Switch(config)permit host 0009.6bc4.d4bf any定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机Switch(config)permit any host 0009.6bc4.d4bf定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机Switch(config)Ip access-list extended IP10定义一个IP地址访问控制列表并且命名该列表名为IP10Switch(config)Permit 0 any定义IP地址为的主机可以访问任意主机Permit any 0 定义所有主机可以访问IP地址为的主机Switch(config-if )interface Fa0/1#进入配置具体端口的模式Switch(config-if )mac access-group MAC10 in在该端口上应用名为MAC10的访问列表（即前面我们定义的访问策略）Switch(config-if )Ip access-group IP10 in在该端口上应用名为IP10的访问列表（即前面我们定义的访问策略）Switch(config)no mac access-list extended MAC10将PC1接到端口f0/1进行验证：配置完毕。第四章 ACL 要想对网络实现非常精细完美的控制，ACL（访问控制列表）是必不可少的，如果要建立一个稍微复杂的网络，如一个校园网，一个网吧，甚至是一个小小的公司、实验室都必须要有ACL的设定，只有这样才可以实现内部网络安全和内部网络使用的管理。三层交换机的访问控制列表与路由器的访问控制列表在控制范围和特点上基本上是一样的，但在编写格式等略有不同。一、概述：访问控制列表（Access Control List，ACL） 是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句，表只是一个框架结构，其目的是为了对某种访问进行控制。信息点间通信，内外网络的通信都是企业网络中必不可少的业务需求，但是为了保证内网的安全性，需要通过安全策略来保障非授权用户只能访问特定的网络资源，从而达到对访问进行控制的目的。简而言之，ACL可以过滤网络中的流量，控制访问的一种网络技术手段。二、ACL的作用：l ACL可以限制网络流量、提高网络性能。例如，ACL可以根据数据包的协议，指定数据包的优先级。l ACL提供对通信流量的控制手段。例如，ACL可以限定或简化路由更新信息的长度，从而限制通过路由器或交换机某一网段的通信流量。l ACL是提供网络安全访问的基本手段。例如ACL允许主机A访问人力资源网络，而拒绝主机B访问。l ACL可以在路由器或交换机端口处决定哪种类型的通信流量被转发或被阻塞。例如，用户可以允许E-mail通信流量通过，而拒绝所有的Telnet通信流量。三、ACL的种类： 无论是路由器的访问控制列表还是三层交换机的访问控制列表，从编写特点和作用上分，大致可以分为两类：l 标准ACLl 扩展ACL再细分一下功能和特点，又有如基于名字的ACL、基于时间的ACL、反向ACL等。接下来，我们将对以上几种ACL分别进行介绍。在介绍之前，我们先说一下访问控制列表的的使用原则。四、访问控制列表使用原则 由于ACL涉及的配置命令很灵活，功能也很强大，所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。在介绍例子前为大家将ACL设置原则罗列出来，方便各位读者更好的消化ACL知识。l 最小特权原则只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集，只满足部分条件的是不容许通过规则的。l 最靠近受控对象原则 所有的网络层访问权限控制。也就是说在检查规则时是采用自上而下在ACL中一条条检测的，只要发现符合条件了就立刻转发，而不继续检测下面的ACL语句。l 默认丢弃原则 在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY，也就是丢弃所有不符合条件的数据包。这一点要特别注意，虽然我们可以修改这个默认，但未改前一定要引起重视。 由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。因此，要达到端到端的权限控制目的，需要和系统级及应用级的访问权限控制结合使用。第五章 标准ACL一、标准ACL简介：标准访问控制列表是最简单的访问控制列表。访问控制列表的特点：只能通过源进行通信量的控制。是通过使用IP包中的源IP地址进行过滤，使用的访问控制列表号1到99来创建相应的ACL。如下图所示：SourceAddressSegment(for example, TCP header)DataPacket(IP header)Frame Header(for example, HDLC)DenyPermit Useaccess list statements1-99 图(21)标准IP访问表的基本格式为:access-listlist No.permit|denyhost/anysourceaddresswildcard-mask 下面对标准IP访问表基本格式中的各项参数进行解释:l list number-表号范围标准IP访问表的表号标识是从1到99。l permit/deny-允许或拒绝关键字permit和deny用来表示满足访问表项的报文是允许通过接口，还是要过滤掉。permit表示允许报文通过接口，而deny表示匹配标准IP访问表源地址的报文要被丢弃掉。l source address-源地址对于标准的IP访问表，源地址是主机或一组主机的点分十进制表示，如: l host/any-主机匹配host和any分别用于指定单个主机和所有主机。host表示一种精确的匹配，其屏蔽码为。例如，假定我们希望允许从来的报文，则使用标准的访问控制列表语句如下:access-list 1 permit 如果采用关键字host，则也可以用下面的语句来代替:access-list 1 permithost 也就是说，host是通配符屏蔽码的简写。与此相对照，any是源地证/目标地址/55的简写。假定我们要拒绝从源地址来的报文，并且要允许从其他源地址来的报文，标准的IP访问表可以使用下面的语句达到这个目的:access-list 1 deny host access-list 1 permit any注意，这两条语句的顺序;访问表语句的处理顺序是由上到下的。如果我们将两个语句顺序颠倒，将permit语句放在deny语句的前面，则我们将不能过滤来自主机地址的报文，因为permit语句将允许所有的报文通过。所以说访问表中的语句顺序是很重要的,因为不合理语句顺序将会在网络中产生安全漏洞，或者使得用户不能很好地利用公司的网络策略。l wi1dcardmask-通配符屏蔽码Cisco访问表功能所支持的通配符屏蔽码与子网屏蔽码的方式是刚好相反的，也就是说，二进制的0表示一个匹配条件，二进制的1表示一个不关心条件。假设组织机构拥有一个C类网络，若不使用子网，则当配置网络中的每一个工作站时，使用于网屏蔽码。在这种情况下，1表示一个 匹配，而0表示一个不关心的条件。因为Cisco通配符屏蔽码与子网屏蔽码是相反的，所以匹配源网络地址中的所有报文的通配符屏蔽码为:55。二、标准ACL配置举例：1.标准ACL的拓扑图及配置要求：拓扑图如下：要求：现在有三个PC机，PC0、PC1在vlan100的虚拟局域网内，PC2为网络管理员配置用PC。要求配置交换机，允许PC2访问网络，PC0、PC1不能访问网络。用Telnet的方式对其进行验证。2.标准ACL.配置过程：首先如拓扑图所示配置交换机和pc机。PCIPVLAN端口网关PC0VLAN 100F0/154PC1VLAN 100F0/254PC2VLAN 1F0/3无划分VLANVLANIPVLAN 1 54VLAN 100 54三层交换机里输入标准acl命令。Switch#conf tEnter configuration commands, one per line. End with CNTL/Z.Switch(config)#access-list 1 permit host Switch(config)#access-list 1 deny any /丢弃其他的的包。此句可以不用写，见前面ACL特点介绍Switch(config)#int vlan 1Switch(config-if)#ip access-group 1 outSwitch(config-if)#exSwitch(config)#int vlan 100%LINK-5-CHANGED: Interface Vlan100, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Vlan100, changed state to upSwitch(config-if)#ip access-group 1 inSwitch(config-if)#ex命令中的ip access-group 1 in表示将acl 1应用到vlan 100的in方向，in是对交换机上哪一个方向的包进行过滤，有out和in两个选择。（ps：out和in都是站在三层模块上看的，in表示从该接口进入模块的包，out表示出去的包）PC机验证Pc0、pc1验证Pc2验证配置成功。实验说明：配置完毕，vlan100内PC不能ping通交换机，也就不能再访问Internet。标准ACL只能对交换机进行最简单的访问控制，它只能控制到源IP地址，不能控制到第四层的端口，要控制端口还需要扩展acl。三、总结： 其实ACL的作用不止这些，要搭建复杂一些的网络，ACL的配置是必不可少的， ACL作用是对从流入(in)或流出(out)路由器或交换机的包进行过滤。IP ACL分为标准 IP ACL，扩展 IP ACL，基于名字的IP ACL，基于时间的 IP ACL以及单向ACl等，要想配置一个安全协调的网络，这些基本上都会在三层交换机或路由器里出现。第六章 扩展ACL一、扩展访问控制列表的特点：1. 特点 扩展访问列表可以多种方式进行通信量的控制。扩展ACL功能很强大，他可以控制源IP，目的IP，源端口，目的端口等，能实现相当精细的控制，扩展ACL不仅读取IP包头的源地址/目的地址，还要读取第四层包头中的源端口和目的端口的IP。不过他存在一个缺点，那就是在没有硬件ACL加速的情况下，扩展ACL会消耗大量的路由器CPU资源。所以应尽量减少扩展ACL的条目数，将其简化为标准ACL或将多条扩展ACL合一是最有效的方法。Destination AddressSource AddressProtocolPort NumberSegment(for example, TCP header)DataPacket(IP header)Frame Header(for example, HDLC) Useaccess list statements1-99 or 100-199 to test thepacket DenyPermit图(22)2. 格式简介扩展访问列表的基本格式：access-list access-list-number permit | deny protocol source source-wildcard operator port destination destination-wildcard operator port established 扩展的IP访问表用于扩展报文过滤能力。一个扩展的IP访问表允许用户根据如下内容过滤报文：源和目的地址、协议、源和目的端口以及在特定报文字段中允许进行特殊位比较等等。一个扩展的IP访问表的一般语法格式。下面简要介绍各个关键字的功能：l list number-表号范围扩展IP访问表的表号标识从l00到199。l protocol-协议协议项定义了需要被过滤的协议，例如IP、TCP、UDP、1CMP等等。协议选项是很重要的，因为在TCP/IP协议栈中的各种协议之间有很密切的关系，如果管理员希望根据特殊协议进行报文过滤，就要指定该协议。另外，管理员应该注意将相对重要的过滤项放在靠前的位置。如果管理员设置的命令中，允许IP地址的语句放在拒绝TCP地址的语句前面，则后一个语句根本不起作用。但是如果将这两条语句换一下位置，则在允许该地址上的其他协议的同时，拒绝了TCP协议。l 源端口号和目的端口号源端口号可以用几种不同的方法来指定。它可以显式地指定，使用一个数字或者使用一个可识别的助记符。例如，我们可以使用80或者http来指定Web 的 超文本传输协议。对于TCP和UDP，读者可以使用操作符 (大于)=(等于)以及(不等于)来进行设置。目的端口号的指定方法与源端口号的指定方法相同。读者可以使用数字、助记符或者使用操作符与数字或助记符相结合的格式来指定一个端口范围。下面的实例说明了扩展IP访问表中部分关键字使用方法:access-list 101 permit tcp any host eq smtpaccess-list 101 permit tcp any host eq www第一个语句允许来自任何主机的TCP报文到达特定主机的smtp服务端口(25);第二个语句允许任何来自任何主机的TCP报文到达指定的主机的www或http服务端口(80)。二、扩展ACL的配置：1.实验拓扑及要求：在三层交换机下划分三个VLAN,分别是VLAN100、LAN200、VLAN300，VLAN100、VLAN200与VLAN300间可以互相访问，但是出于某种安全考虑，VLAN100与VLAN200间不能互相访