.
资料
信息工程学院
路由与交换技术课程设计报告
题目:访问控制ACL在企业内的应用
专业:信息管理与信息系统班级:10级
姓名:xxx学号:xxxxxxxxxx
完成时间:20123年7月3日
.
资料
指导教师:xxx
.
资料
一、选题目的和意义
选题的目的:
ACL技术在路由器中被广泛采用,它是一种基于包过滤的流控制技
术。标准访问控制列表通过把源地址、目的地址及端口号作为数据包检
查的基本元素,并可以规定符合条件的数据包是否允许通过。ACL通常
应用在企业的出口控制上,可以通过实施ACL,可以有效的部署企业网
络出网策略。随着局域网内部网络资源的增加,一些企业已经开始使用
ACL来控制对局域网内部资源的访问能力,进而来保障这些资源的安全
性。
ACL技术可以有效的在三层上控制网络用户对网络资源的访问,它
可以具体到两台网络设备间的网络应用,也可以按照网段进行大范围的
访问控制管理,为网络应用提供了一个有效的安全手段。
一方面,采用ACL技术,网络管理员需要明确每一台主机及
工作站所在的IP子网并确认它们之间的访问关系,适用于网络终端数
量有限的网络。对于大型网络,为了完成某些访问控制甚至不得不浪费
很多的IP地址资源。同时,巨大的网络终端数量,同样会增加管理的
复杂度和难度。另一方面,维护ACL不仅耗时,而且在较大程度上增
加路由器开销。访问控制列表的策略性非常强,并且牵涉到网络的整体
规划,它的使用对于策略制定及网络规划的人员的技术素质要求比较
高。因此,是否采用ACL技术及在多大的程度上利用它,是管理效益
与网络安全之间的一个权衡。
访问控制列表(AccessControlList,ACL)是路由器和交换机接口的
指令列表,用来控制端口进出的数据包。
ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。这张表
中包含了匹配关系、条件和查询语句,表只是一个框架结构,其目的是为了
对某种访问进行控制。ACL可以限制网络流量、提高网络性能;ACL可
以提供对通信流量的控制手段;ACL是提供网络安全访问的基本手段;ACL
可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。
目前有两种主要的ACL:标准ACL和扩展ACL。标准的ACL使用
1~99以及1300~1999之间的数字作为表号,扩展的ACL使用100~
199以及2000~2699之间的数字作为表号。
标准ACL可以阻止来自某一网络的所有通信流量,或者允许来自某
.
资料
一特定网络的所有通信流量,或者拒绝某一协议簇(比如IP)的所有通信
流量。
扩展ACL比标准ACL提供了更广泛的控制范围。例如,网络管理员
如果希望做到“允许外来的Web通信流量通过,拒绝外来的FTP和
Telnet等通信流量”,那么,他可以使用扩展ACL来达到目的,标准ACL
不能控制这么精确。
路由器工作在网络层,是信息出入的必经之路,能有效的防止外部用户对局
域网的安全访问。同时可以限制网络流量,也可以限制局域网内的用户或设备使
用网络资源。因此,网络路由过滤对网络的安全具有举足轻重的作用。
目前大部分的路由器都是通过访问控制列表技术来允许或拒绝报文通过。当
路由器的访问控制列表的安全特性被充分利用时,路由器将变成一个有效的、稳
定的、安全的、坚固的防御体系,既能抵御外部的攻击,又能限制内部用户对
外部的非法访问,在很大程度上提高了网络的安全性。因此,可以说访问控制列
表是网络防御外来攻击的第一道关卡。
本文以某企业真实拓扑图为例,讨论如何利用路由器的访问控制列表技术提
高网络的安全性。
2访问控制列表(ACL)
访问控制列表是应用在路由器接口的指令列表,这些指令列表用来告诉路由
器哪些数据包可以接收,哪些数据包需要拒绝。至于数据包是被接收还是被拒绝,
可以由类似于源地址、目的地址、端VI号、协议等特定指示条件来决定。通过灵
活地增加访问控制列表,ACL可以当作一种网络控制的有力工具,用来过滤流入
和流出路由器接口的数据包。
选题的意义:
本次实验主要通过理解上述ACL的意义及功能,通过自己配置ACL来实现
对任意网段的数据的阻塞和对任意网段的ping服务进行阻塞,以达到学会ACL
基本配置,理解ACL的功能及实现为目的。本文以某企业真实拓扑图为例,讨
论如何利用路由器的访问控制列表技术提高网络的安全性。
访问控制列表的作用:
各种数据在其上快速通过,今天的网络就好比一条复杂的高速公路,各
种数据在其上快速通过,为了正确的规划流量,保证网络的畅通,安全。
为了正确的规划流量,保证网络的畅通,安全。我们就要设一些禁行标志、
规定单行线等等,标志、规定单行线等等,这就是网络上的ACL其实在网络
.
资料
上有很多种方法可以实现以上的作用,其实在网络上有很多种方法可以实现以
上的作用,但是最简单易行的还是访问控制列表。还是访问控制列表。
访问控制列表:就是用来在使用路由技术的网络里,识别和过滤那些由某
些网络发出的或者被发送出去到某些网络的符合我们所规定条件的数据流量,
符合我们所规定条件的数据流量,以决定这些数据流量是应该转发还是应该丢
弃的技术。该转发还是应该丢弃的技术。
由于以上的定义我们可以看出,在路由器上实现ACL就是一种实现防火
墙的手段。ACL的应用放置在路由器的接口上,预先把建好的ACL放置在路
由器的接口上,对接口上进方向或者出方向的数据包进行过滤,但是访问控制
列表只能过滤经过路者出方向的数据包进行过滤,路由器的数据包,路由器的
数据包,不能过滤其本身产生的数据包。不能过滤其本身产生的数据包。
.
资料
二、主要研究内容
本次实验设计在ciscopackettracer这款虚拟配置电脑平台的软件上操作
的。
要求用1841路由器,2950-24交换机,以及6台PC机,连接3个网络
192.168.10.0/24,192.168.1.0/30,192.168.11.0/24;
本文以某企业真实拓扑图为例,讨论如何利用路由器的访问控制列表技术提
高网络的安全性。
本次实验LAN_B只允许LAN_A的访问,拒绝其他网段的数据。
ACL的配置可分为两个步骤:
(1)在全局配置模式下,使用下列命令创建ACL
Router(config)#access-listaccess-list-number
{permit/deny}{test-conditions}
其中access-list-number为ACL的序列号。人们使用较频繁的序列号是
标准的IPACL(1-99)和扩展的IPACL(100-199).
注意,在路由器中,如果使用ACL的序列号进行配置,则列表不能插入
或删除行(动态编辑)。如果列表要插入或删除一行,必须先去掉ACL,然后
重新配置。
(2)在接口模式下,使用access-group命令将第一步中创建的ACL应用
到某一接口上。
(3)Router(config-if)#ipaccess-groupaccess-list-number{in/out}
其中,in和out参数可以控制接口中不同方向的数据包,ACL在一个接
口可以进行双向控制即配置两条命令,一条in,一条out,但是在一个接口
的一个方向上,只能有一个ACL控制。
注意,把定义好的ACL应用在网络的什么地方,是能否实现原有的目的
和有效地减少不必要的通信流量的关键。通常情况下标准的ACL要尽量靠近
目的端;扩展的ACL要尽量靠近源端。当然这不是绝对的,具体放在哪个位
置,要根据具体的情况分析。
ACL技术可以有效的在三层上控制网络用户对网络资源的访问,它可
以具体到两台网络设备间的网络应用,也可以按照网段进行大范围的访问
控制管理,为网络应用提供了一个有效的安全手段。
.
资料
三、方案设计(小四号黑体,段前3磅,段后1磅,行间距20磅)
本次实验设计在ciscopackettracer这款虚拟配置电脑平台的软件上操作
的。
要求用1841路由器,2950-24交换机,以及6台PC机,连接3个网络
192.168.10.0/24,192.168.1.0/30,192.168.11.0/24;
本次实验LAN_B只允许LAN_A的访问,拒绝其他网段的数据。
1)某企业真实拓扑图如下:
图1-1
.
资料
2)IP地址规划:
网络PC机或端口IP地址子网掩码
1
PC_A192.168.10.1/24255.255.255.0
PC_B192.168.10.2/24
PC_E192.168.10.3/24
2S0/0/0(Router0)192.168.1.1/30255.255.255.252
S0/0/0(Router1)192.168.1.2/30
3
PC_C192.168.11.1/24255.255.255.0
PC_D192.168.11.2/24
PC_F192.168.11.3/24
表1-1
3)关键技术及实现原理
ACL信息点间通信和内外网络的通信都是企业网络中必不可少的业务需
求,但是为了保证内网的安全性,需要通过安全策略来保障非授权用户只能访
问特定的网络资源,从而达到对访问进行控制的目的。简而言之,ACL(访问
控制列表)可以过滤网络中的流量,控制访问的一种网络技术手段。实际上,
ACL的本质就是用于描述一个IP数据包、以太网数据帧若干特征的集合。然
.
资料
后根据这些集合去匹配网络中的流量(由大量数据包组成),同时根据策略来
“允许”或者“禁止”。
作用:①ACL可以限制网络流量、提高网络性能。
②ACL提供对通信流量的控制手段。
③ACL是提供网络安全访问的基本手段。
④ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。
ACL的分类(基于IP)
①标准ACL标准型ACL只能匹配源IP地址,在应用中有三种匹配的方
式:1、any,指任意地址
2、
3、src_range,指定IP的地址范围配置命令:ipaccess-liststandard
②扩展型ACL扩展型ACL可匹配多个条目,常用的项目有源、目的IP,
源、目的端口号,以及ip协议号(种类)等,可以用来满足绝大多数的应用。
在一个条件中,这些项目的前后顺序如下:协议号,源ip地址,源端口号,
目的ip地址,目的端口号。配置命令:ipaccess-listextended
{permit|deny}{ip|icmp|tcp|udp}{any|network|src_range}[src_port]{any|
network|src_range}[dst_port]
2)Eigrp
EIGRP:EnhancedInteriorGatewayRoutingProtocol即增强内部网关路由
线路协议。也翻译为加强型内部网关路由协议。EIGRP是Cisco公司的私有协
议。Cisco公司是该协议的发明者和唯一具备该协议解释和修改权的厂商。EIGRP
结合了链路状态和距离矢量型路由选择协议的Cisco专用协议,采用弥散修正算
法(DUAL)来实现快速收敛,可以不发送定期的路由更新信息以减少带宽的占
用,支持Appletalk、IP、Novell和NetWare等多种网络层协议。
.
资料
是Cisco的私有路由协议,它综合了距离矢量和链路状态2者的优点,它
的特点包括:
1.快速收敛
链路状态包(Link-StatePacket,LSP)的转发是不依靠路由计算的,所
以大型网络可以较为快速的进行收敛.它只宣告链路和链路状态,而不宣告路由,
所以即使链路发生了变化,不会引起该链路的路由被宣告.但是链路状态路由协
议使用的是Dijkstra算法,该算法比较复杂,并且和其他路由协议单独计算路由
相比较占CPU和内存资源,EIGRP采用弥散更新算法(diffusingcomputations),
通过多个路由器并行的进行路由计算,这样就可以在无环路产生的情况下快速的
收敛.
2.减少带宽占用
EIGRP不作周期性的更新,它只在路由的路径和速度发生变化以后做部
分更新.当路径信息改变以后,DUAL只发送那条路由信息改变了的更新,而不是
发送整个路由表.和更新传输到一个区域内的所有路由器上的链路状态路由协议
相比,DUAL只发送更新给需要该更新信息的路由器。在WAN低速链路上,EIGRP
可能会占用大量带宽,默认只占用链路带宽50%,之后发布的IOS允许使用命令
ipbandwidth-percenteigrp来修改这一默认值.
3.支持多种网络层协议
EIGRP通过使用“协议相关模块”(即
protocol-dependentmodule
NovellNetware等协议.
4.无缝连接数据链路层协议和拓扑结构
EIGRP不要求对OSI参考模型的层2协议做特别的配置.不像OSPF,OSPF
对不同的层2协议要做不同配置,比如以太网和帧中继,EIGRP能够有效的工作在
LAN和WAN中,而且EIGRP保证网络及不会产生环路(loop-free);而且配置
起来很简单;支持VLSM;它使用组播和单播,不使用广播,这样做节约了带宽;
它使用和IGRP一样的度的算法,但是是32位长的;它可以做非等价的路径的负
载平衡.
.
资料
.
资料
四、主要设备命令配置
1).配置使得各PC机之间可以相互通信
routerA配置文档:
Router>enable
Router#configureterminal
Enterconfigurationcommands,hCNTL/Z.
Router(config)#hostnameRouterA
RouterA(config)#ints0/0/0
RouterA(config-if)#ipaddress192.168.1.1255.255.255.252
RouterA(config-if)#clockrate64000
RouterA(config-if)#noshutdown
RouterA(config-if)#exit
RouterA(config)#intf0/0
RouterA(config-if)#ipaddress192.168.10.254255.255.255.0
RouterA(config-if)#noshutdown
RouterA#configt
Enterconfigurationcommands,hCNTL/Z.
.
资料
RouterA(config)#routereigrp1
RouterA(config-router)#network192.168.1.0
RouterA(config-router)#network192.168.10.0
RouterA(config-router)#noauto
RouterA(config-router)#noauto-summary
RouterA(config-router)#exit
routerB的配置文档:
Router>enable
Router#configureterminal
Enterconfigurationcommands,hCNTL/Z.
Router(config)#hostnameRouterB
RouterB(config)#ints0/0/0
RouterB(config-if)#ipaddress192.168.1.2255.255.255.252
RouterB(config-if)#noshutdown
%LINK-5-CHANGED:InterfaceSerial0/0/0,changedstatetoup
.
资料
RouterB(config-if)
#%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceSerial0/0/0,changed
statetoup
RouterB(config-if)#exit
RouterB(config)#intf0/0
RouterB(config-if)#ipaddress192.168.11.254255.255.255.0
RouterB(config-if)#noshutdown
RouterB#configt
Enterconfigurationcommands,hCNTL/Z.
RouterB(config-router)#network192.168.1.0
RouterB(config-router)
#%DUAL-5-NBRCHANGE:IP-EIGRP1:Neighbor192.168.1.1(Serial0/0/0)is
up:newadjacency
RouterB(config-router)#network192.168.11.0
RouterB(config-router)#noauto
RouterB(config-router)#noauto-summary
RouterB(config-router)#
.
资料
%DUAL-5-NBRCHANGE:IP-EIGRP1:Neighbor192.168.1.1(Serial0/0/0)is
up:newadjacency
RouterB(config-router)#exit
RouterB(config)#exit
先查看RouterA和RouterB上的路由表:
图1-2
.
资料
图1-3
PC_A访问PC_F以及192.168.1.2
图1-4
.
资料
192.168.1.0的网络访问LAN_B
图1-5
.
资料
3)本次实验LAN_B只允许LAN_A的访问,拒绝其他网段的数据。
Router(config-if)#access-list1permit192.168.10.00.0.0.255
分析我们应该将此访问列表放置在哪个网络的位置能最好的实现此功能
设想一:将定义的ACL放置在RouterA的f0/0接口时,
RouterA>en
RouterA#configt
Enterconfigurationcommands,hCNTL/Z.
RouterA(config)#access-list1permit192.168.10.10.0.0.255
RouterA(config)#exit
RouterA
#%SYS-5-CONFIG_I:Configuredfromconsolebyconsole
RouterA#configt
Enterconfigurationcommands,hCNTL/Z.
RouterA(config)#intf0/0
RouterA(config-if)#ipaccess-group1in
RouterA(config-if)#exit
RouterA(config)#exit
.
资料
%SYS-5-CONFIG_I:Configuredfromconsolebyconsole
RouterA#showacc
RouterA#showaccess-lists
StandardIPaccesslist1
permit192.168.10.00.0.0.255
设想二:将定义的ACL放置在RouterA的s0/0/0接口时;
RouterA(config)#ints0/0/0
RouterA(config-if)#ipaccess-group1out
RouterA(config-if)#exit
RouterA(config)#exit
RouterA#showaccess-lists
StandardIPaccesslist1
permit192.168.10.00.0.0.255
设想三:将定义的ACL放置在RouterB的s0/0/0接口时;
RouterB#configt
Enterconfigurationcommands,hCNTL/Z.
RouterB(config)#acc
RouterB(config)#access-list1permit192.168.10.0
RouterB(config)#ints0/0/0
.
资料
RouterB(config-if)#ipacc
RouterB(config-if)#ipaccess-group1in
RouterB(config-if)#exit
RouterB(config)#exit
%SYS-5-CONFIG_I:Configuredfromconsolebyconsole
RouterB#show
%DUAL-5-NBRCHANGE:IP-EIGRP1:Neighbor192.168.1.1(Serial0/0/0)isdown:
holdingtimeexpired
acc
RouterB#showaccess-lists
StandardIPaccesslist1
permithost192.168.10.0
%SYS-5-CONFIG_I:Configuredfromconsolebyconsole
RouterB#showiproute
Codes:C-connected,S-static,I-IGRP,R-RIP,M-mobile,B-BGP
D-EIGRP,EX-EIGRPexternal,O-OSPF,IA-OSPFinterarea
N1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2
E1-OSPFexternaltype1,E2-OSPFexternaltype2,E-EGP
i-IS-IS,L1-IS-ISlevel-1,L2-IS-ISlevel-2,ia-IS-ISinterarea
*-candidatedefault,U-per-urstaticroute,o-ODR
P-periodicdownloadedstaticroute
Gatewayoflastresortisnott
192.168.1.0/30issubnetted,1subnets
C192.168.1.0isdirectlyconnected,Serial0/0/0
D192.168.10.0/24[90/2172416]via192.168.1.1,00:03:12,Serial0/0/0
C192.168.11.0/24isdirectlyconnected,FastEthernet0/0
此时显示:
.
资料
%DUAL-5-NBRCHANGE:IP-EIGRP1:Neighbor192.168.1.1(Serial0/0/0)isdown:
holdingtimeexpired
再次查看路由表
RouterB#showiproute
Codes:C-connected,S-static,I-IGRP,R-RIP,M-mobile,B-BGP
D-EIGRP,EX-EIGRPexternal,O-OSPF,IA-OSPFinterarea
N1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2
E1-OSPFexternaltype1,E2-OSPFexternaltype2,E-EGP
i-IS-IS,L1-IS-ISlevel-1,L2-IS-ISlevel-2,ia-IS-ISinterarea
*-candidatedefault,U-per-urstaticroute,o-ODR
P-periodicdownloadedstaticroute
Gatewayoflastresortisnott
192.168.1.0/30issubnetted,1subnets
C192.168.1.0isdirectlyconnected,Serial0/0/0
C192.168.11.0/24isdirectlyconnected,FastEthernet0/0
在RouterA上此时显示:
DUAL-5-NBRCHANGE:IP-EIGRP1:Neighbor192.168.1.2(Serial0/0/0)isdown:
retrylimitexceeded
%DUAL-5-NBRCHANGE:IP-EIGRP1:Neighbor192.168.1.2(Serial0/0/0)isup:
newadjacency
%DUAL-5-NBRCHANGE:IP-EIGRP1:Neighbor192.168.1.2(Serial0/0/0)isdown:
retrylimitexceeded
%DUAL-5-NBRCHANGE:IP-EIGRP1:Neighbor192.168.1.2(Serial0/0/0)isup:
newadjacency
%DUAL-5-NBRCHANGE:IP-EIGRP1:Neighbor192.168.1.2(Serial0/0/0)isdown:
retrylimitexceeded
.
资料
%DUAL-5-NBRCHANGE:IP-EIGRP1:Neighbor192.168.1.2(Serial0/0/0)isup:
newadjacency
显示路由表:
RouterA>en
RouterA#showiproute
Codes:C-connected,S-static,I-IGRP,R-RIP,M-mobile,B-BGP
D-EIGRP,EX-EIGRPexternal,O-OSPF,IA-OSPFinterarea
N1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2
E1-OSPFexternaltype1,E2-OSPFexternaltype2,E-EGP
i-IS-IS,L1-IS-ISlevel-1,L2-IS-ISlevel-2,ia-IS-ISinterarea
*-candidatedefault,U-per-urstaticroute,o-ODR
P-periodicdownloadedstaticroute
Gatewayoflastresortisnott
192.168.1.0/30issubnetted,1subnets
C192.168.1.0isdirectlyconnected,Serial0/0/0
C192.168.10.0/24isdirectlyconnected,FastEthernet0/0
RouterA
#%DUAL-5-NBRCHANGE:IP-EIGRP1:Neighbor192.168.1.2(Serial0/0/0)isdown:
retrylimitexceeded
设想四:将定义的ACL放置在RouterB的f0/0接口时;
RouterB#configt
Enterconfigurationcommands,hCNTL/Z.
RouterB(config)#acc
.
资料
RouterB(config)#access-list1permit192.168.10.00.0.0.255
RouterB(config)#exit
%SYS-5-CONFIG_I:Configuredfromconsolebyconsole
RouterB#configt
Enterconfigurationcommands,hCNTL/Z.
RouterB(config)#intf0/0
RouterB(config-if)#ipacc
RouterB(config-if)#ipaccess-group1out
RouterB(config-if)#exit
RouterB(config)#exit
.
资料
五、测试结果与分析(通过运行截图分析)
图1-6标准ACL放置位置之设想一
此时测试:
图1-7
.
资料
图1-8
分析:
当将定义的ACL放置在RouterA的f0/0接口时;
192.168.10.0网络可以访问192.168.11.0;而且192.168.1.0网络也可以访问
192.168.11.0,所以这种设想不能满足用户要求,因为用户的目的实际是只允许
192.168.10.0网络进入192.168.11.0,而上图的配置不能过滤其他网段的数据进
入LAN_B。
.
资料
图1-9标准ACL放置位置之设想二
此时测试:
图1-10
.
资料
图1-11
分析:
当将定义的ACL放置在RouterA的s0/0/0接口时;
192.168.10.0网络可以访问192.168.11.0;而且192.168.1.0网络也可以访问
192.168.11.0,所以这种设想不能满足用户要求,因为用户的目的实际是只允许
192.168.10.0网络进入192.168.11.0,而上图的配置不能过滤其他网段的数据进
入LAN_B。
.
资料
图1-12标准ACL放置位置之设想三
此时测试:
图1-13
.
资料
图1-14
分析:当将定义的ACL放置在RouterB的s0/0/0接口时;
如上图所示,当把过滤要求access-list1permit192.168.10.00.0.0.255应用
在RouterB的s0/0/0接口(ipaccess-group1in)时,Neighbor192.168.1.1
(Serial0/0/0)isdown:holdingtimeexpired,也就是说限制了邻居192.168.1.1(Serial
0/0/0),从而使得网络192.168.10.0网络在与192.168.11.0网络通信时路由信
息被限制从而没有到达的路径,“Destinationhostunreachable”,所以不能达到
实验要求。
.
资料
图1-15标准ACL放置位置之设想四
此时测试
图1-16
.
资料
图1-17
分析:当将定义的ACL放置在RouterB的f0/0接口时;
如上图所示,根据列表的定义,只有来自192.168.10.0网段的数据可以从此
接口送出,从而进入LAN_B,其他网段将被过滤掉。因此,如上图所示标准ACL
放置在设想四的位置时,不管RouterB是否还有其他的接口,只有192.168.10.0
网段的数据可以进入LAN_B。
.
资料
六、设计总结
本次实验的要求进行访问限制,只允许网段LAN_A访问LAN_B,通过本次
实验的配置,当把ACL放置在设想之位置四时都可以达到题目要求的目的。
但在设计的过程中当我把ACL放置在设想三的位置时出现了“Destination
hostunreachable.”通过查阅网络以及寻求同学的帮助,最终成功完成了此次实
验。
功能扩展:
1)可以再次进行访问限制,只允许LAN_A网段上的PC_A访问LAN_B上
PC_F的www和telnet服务此时会用到扩展的ACL
扩展的ACL使用100~199以及2000~2699之间的数字作为表号。标
准ACL可以阻止来自某一网络的所有通信流量,或者允许来自某一特定网络
的所有通信流量,或者拒绝某一协议簇(比如IP)的所有通信流量。扩展ACL
比标准ACL提供了更广泛的控制范围。例如,网络管理员如果希望做到“允许
外来的Web通信流量通过,拒绝外来的FTP和Telnet等通信流量”,那么,
他可以使用扩展ACL来达到目的,标准ACL不能控制这么精确。
2)在加入核心交换机与LAN_C,并启用dhcp自动获取IP地址
图1-18
.
资料
七、参考文献(不少于5篇)
[1]组建可扩展的cisco互连网络(BSCI):第三版/DianeTeareCatherinePaquet(著),
陈宇袁国忠(译)[M]北京:人民邮电出版社,2007.10
[2]ToddLammle(著)程代伟(译).CCNASWITCH(640-802)学习指南[M]电子工业
出版社18
[3]高峡等.网络设备互联学习指南[M].北京:科学出版社,2009,4.
[4]梁广民等.思科网络实验室路由、交换实验指南[M].北京电子出版社,2007.
[5]唐子蛟等。基于ACL的网络安全管理的应用研宄[M].四川理工学院学报(自然科学
版),2009.2.
[6]杨威。网络工程设计与系统集成。[M]北京:人民邮电出版社,2004.
指导教师意见:
签名:
年月日
成绩评定:
本文发布于:2023-03-10 05:48:10,感谢您对本站的认可!
本文链接:https://www.wtabcd.cn/zhishi/a/16783984907249.html
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,我们将在24小时内删除。
本文word下载地址:路由技术.doc
本文 PDF 下载地址:路由技术.pdf
| 留言与评论(共有 0 条评论) |
