网络互联技术（实践篇）课件 3-安全单元 实验32 配置基于编号的标准IP ACL

实验32配置编号标准IPACL汇报人:背景描述通过单一路由器连接各部门，实施标准IPACL，限制非业务部门访问销售部，确保内部网络安全。企业网络安全构建互联互通企业网，利用路由器作为核心，实现部门间网络隔离与互联网接入，优化资源分配与管理。网络架构设计实验目的掌握基于编号的标准IPACL技术原理，学会配置基于编号的标准IPACL。实验拓扑按照图32-1所示的拓扑，在EVE模拟器中搭建网络。按照表32-1规划的地址配置设备地址。实验拓扑设备IP地址/子网掩码网关接口备注PC1192.168.1.2/24192.168.1.1Gi0/1后勤部计算机PC2192.168.2.2/24192.168.2.1Gi0/2财务部计算机PC3192.168.3.2/24192.168.3.1Gi0/0销售部计算机Router192.168.1.1/24—Gi0/1后勤部网接口

192.168.2.1/24—Gi0/2财务部网接口

192.168.3.1/24—Gi0/0销售部网接口

192.168.4.1/24—Gi0/8互联网接口实验原理软防火墙技术，通过定义规则控制IP数据包，实现网络通信数据类型及用户设备访问控制。IPACL也称访问列表（AccessList），俗称软防火墙技术，又称包过滤技术。IPACL通过定义一些规则对网络设备接口上的IP数据包进行控制（允许通过或丢弃），从而实现对网络中流经设备的IP数据包进行过滤，限制网络中的通信数据的类型，以及网络的使用者或使用的设备。例如，客户现场有多个网段，但是并不需要使这些网段的所有IP地址均能互通，只需要对部分IP地址进行相关的管控，这时即可通过IPACL实现禁止部分IP地址互访。IPACL原理01实验原理IPACL在IP数据包通过网络设备时对其进行分类、过滤，并对从指定接口输入或者输出的IP数据包进行检查，根据匹配条件（Condition）决定允许其通过（Permit）还是将其丢弃（Deny）。IPACL由一系列的表项组成，这些表项称为访问控制表项（AccessControlEntry，ACE）。其中，每个ACE都表明了满足该表项的匹配条件及行为。IPACL对收到的IP数据包中的源MAC地址、目的MAC、源IP地址、目的IP地址、TCP/UDP上层协议等信息进行检查和过滤。IPACL实际上是IP数据包过滤技术，配置在网络设备中的IPACL是一张规则检查表，这张表中包含很多规则，用于告诉交换机或者路由器哪些IP数据包允许通过、哪些IP数据包需要丢弃。通过这些安全措施，实施对网络中通过的IP数据包的过滤，实现对网络资源进行输入和输出的访问控制，最终实现网络安全防护的目标。IPACL原理01实验原理软防火墙技术，通过定义规则控制IP数据包，实现网络通信数据类型及用户设备访问控制。IPACL原理01分类、过滤IP数据包，基于源MAC、目的MAC、IP地址等信息，实现网络资源访问控制，保障网络安全。IPACL功能02实验步骤进入特权模式，配置全局参数，设置IP地址，开启接口，完成基本网络设定。路由器配置显示直连网络详情，确认各接口直连状态，确保网络中心路由器互联互通。直连路由表信息配置各计算机IP，测试PC