項目7

安全有效接入互聯網用微課學?數據網組建與維護—基于華為eNSP（工作手冊式）2項目7

安全有效接入互聯網

項目描述：某企業(yè)準備組建企業(yè)網，企業(yè)有行政區(qū)和生產區(qū)兩個區(qū)域，兩個區(qū)域有研發(fā)部、財務部、人事部、生產部和銷售部，網絡拓撲如圖7-1所示。企業(yè)網需要滿足以下需求。1）各個部門單獨劃分子網。2）路由設備上配置靜態(tài)路由實現行政區(qū)和生產區(qū)網絡互聯，并接入Internet。3）行政區(qū)路由器XZQ_AR_01上部署ACL，實現財務部不能訪問Internet，分公司的生產部和銷售部在周一到周五工作時間（8:00-17:00）可以訪問Internet，其它部門可以隨時訪問Internet。4）企業(yè)網內網使用私網地址，行政區(qū)路由器XZQ_AR_01上部署NAT，在第3條要求的前提下實現內網訪問外網、允許互聯網終端訪問網內服務器WEB的HTTP功能。圖7-1企業(yè)網網絡拓撲

任務1靜態(tài)路由的配置7.1.1IP路由基礎

7.1.2靜態(tài)路由配置7.1.3默認路由優(yōu)化路由表7.1.4路由匯總簡化路由表

任務2訪問控制列表（ACL）安全接入互聯網7.2.1ACL原理與應用

7.2.2基本ACL配置實例7.2.3高級ACL配置實例任務3網絡地址轉換（NAT）有效接入互聯網

7.3.1NAT的原理與應用7.3.2NAT配置實例

主要內容任務1靜態(tài)路由的配置5知識目標：

正確區(qū)分路由和路由表的概念。

正確描述路由表中各部分的具體含義和作用。

可歸納路由的主要來源方式。

可歸納靜態(tài)路由的優(yōu)缺點。

可描述默認路由的作用。技能目標：

能配置靜態(tài)路由實現網絡互聯。

能靈活應用默認路由簡化路由表。素養(yǎng)目標：具備嚴謹細致、精益求精的網絡工匠精神。提高創(chuàng)新思維能力。任務1靜態(tài)路由的配置學習目標6本任務通過學習IP路由的基本概念、靜態(tài)路由原理、默認路由優(yōu)化路由表、路由匯總方法，帶領大家掌握靜態(tài)路由實現網絡互聯、默認路由和路由匯總優(yōu)化路由表的方法。任務分析任務1靜態(tài)路由的配置

任務1靜態(tài)路由的配置7.1.1IP路由基礎

7.1.2靜態(tài)路由配置7.1.3默認路由優(yōu)化路由表7.1.4路由匯總簡化路由表

任務2訪問控制列表（ACL）安全接入互聯網7.2.1ACL原理與應用

7.2.2基本ACL配置實例7.2.3高級ACL配置實例任務3網絡地址轉換（NAT）有效接入互聯網

7.3.1NAT的原理與應用7.3.2NAT配置實例

主要內容87.1.1IP路由基礎

路由是指路由器從一個接口上收到數據包，根據數據包的目的地址進行定向并轉發(fā)到另一個接口的過程。

路由通常與橋接來對比，在粗心的人看來，它們似乎完成的是同樣的事。它們的主要區(qū)別在于橋接發(fā)生在OSI參考模型的第二層（數據鏈路層），而路由發(fā)生在第三層（網絡層）。這一區(qū)別使二者在傳遞信息的過程中使用不同的信息，從而以不同的方式來完成其任務。1、路由的概念方向？選擇？97.1.1IP路由基礎路由器能夠連接不同類型的局域網和廣域網，如以太網、ATM網、FDDI網、令牌環(huán)網等。不同類型的網絡，其傳送的數據單元——包（Packet）的格式和大小是不同的。就像公路運輸是以汽車為單位裝載貨物，而鐵路運輸是以車皮為單位裝載貨物一樣，從汽車運輸改為鐵路運輸，必須把貨物從汽車上放到火車車皮上，網絡中的數據也是如此。數據從一種類型的網絡傳輸至另一種類型的網絡，必須進行幀格式轉換。路由器就有這種能力。實際上，我們所說的“互聯網”，就是指各種路由器將各種不同的網絡類型互相連接起來。2、路由器的作用10那么路由器是如何進行數據包的轉發(fā)的呢？3、網絡中數據包轉發(fā)過程其實在每個路由器的內部都有一張路由表，就好比出門旅游我們所使用的地圖。在這個路由表中，包含該路由器掌握的所有目的網絡地址，以及通過此路由器到達這些網絡的最佳路徑。正是由于路由表的存在，路由器才可以高效地進行數據包的轉發(fā)。7.1.1IP路由基礎11路由器接收到數據包后，會讀取目標邏輯地址的網絡部分，而后查找自己內部的路由表。如果找到目標地址的路由條目，則從相應接口進行轉發(fā)；如果沒有找到，但是能夠匹配默認路由，則從對應接口轉發(fā)；否則，將丟棄數據包，返回路由不可達信息。如圖7-3所示，網絡中的計算機A要想實現和計算機B的通信，由途徑的所有路由器R1、R2和R3逐跳轉發(fā)，每臺路由器上必須有到目標網絡/24的路由。若實現雙向通信，計算機B要給計算機A返回數據包，途經的路由器R3、R2和R1必須有到達/24網段的路由。7.1.1IP路由基礎圖7-3路由器轉發(fā)數據包示意圖12

以上可以看出，數據包在從源到目的地的傳輸是通過逐級跳的方式完成的，而且數據包能去能回才能網絡暢通的條件，這也是我們排除網絡故障的理論依據。

如果網絡不通，先檢查兩端的計算機是否配置了正確的IP地址、子網掩碼以及網關；再逐一檢查沿途路由器上的路由表，查看是否有到達目標網絡的路由；然后逐一檢查返回路徑的沿途路由器上的路由表，檢查是否有數據包返回所需的路由。7.1.1IP路由基礎13路由器用兩種方式構建路由表：一種方式是，管理員在路由器上通過命令添加到各個網絡的路由，這就是靜態(tài)路由，適合規(guī)模較小的網絡或網絡不怎么變化的情況；另一種方式就是，配置路由器使用路由協議（RIP或OSPF等）自動構建路由表，這就是動態(tài)路由，動態(tài)路由適合規(guī)模較大的網絡，能夠針對網絡的變化自動選擇最佳路徑。4、路由表的構成7.1.1IP路由基礎圖7-4路由表的構成路由表表項的關鍵信息是什么？14視頻：安安問路記7.1.1IP路由基礎15主題討論：根據安安問路記視頻中，你覺得找到目的地的關鍵信息是什么？7.1.1IP路由基礎16路由表中最關鍵的信息為：目的網絡地址和下一跳地址。7.1.1IP路由基礎17根據路由信息產生的方式和特點，路由可以分為直連路由、靜態(tài)路由、默認路由和動態(tài)路由幾種。5、路由的分類7.1.1IP路由基礎1）直連路由是指路由器接口直接相連的網段的路由。圖7-5路由表中的直連路由2）靜態(tài)路由是由管理員手工配置的路由信息。圖7-6路由表中的靜態(tài)路由185、路由的分類7.1.1IP路由基礎3）默認路由是一種特殊的靜態(tài)路由，指的是當路由表中與IP包的目的地址之間沒有匹配的表項時路由器能夠做出的選擇。在路由設備上只能配置一條默認路由，以到網絡（掩碼為）的路由形式出現。4）動態(tài)路由是與靜態(tài)路由相對的一個概念，指路由器能夠根據路由器之間的交換的特定路由信息自動地建立自己的路由表，并且能夠根據鏈路和節(jié)點的變化適時地進行自動調整。常見的動態(tài)路由協議有：RIP、OSPF、IS-IS、BGP、IGRP/EIGRP。圖7-7路由表中的默認路由圖7-8路由表中的動態(tài)路由195、路由規(guī)則7.1.1IP路由基礎IP路由選路遵循3個原則，分別是最長匹配原則、優(yōu)先級原則和開銷原則。（1）最長匹配原則所謂最長匹配原則是指在進行路由查找時，使用路由表中到達同一目的地的子網掩碼最長的路由。

圖7-9最長匹配原則應用示意圖205、路由規(guī)則7.1.1IP路由基礎（2）優(yōu)先級原則當有多個路由信息時，選擇最高優(yōu)先級的路由作為最佳路由。圖7-10優(yōu)先級原則應用示意圖215、路由規(guī)則7.1.1IP路由基礎（3）開銷原則開銷（Cost）值越小，路由越優(yōu)先。圖7-11開銷原則應用示意圖22任務訓練1.說一說路由器的作用。2.請簡述靜態(tài)路由和默認路由的區(qū)別。3.在進行IP包轉發(fā)的時候，如果路由表中有多條路由都匹配，這時路由器如何進行轉發(fā)？7.1.1IP路由基礎

任務1靜態(tài)路由的配置7.1.1IP路由基礎

7.1.2靜態(tài)路由配置7.1.3默認路由優(yōu)化路由表7.1.4路由匯總簡化路由表

任務2訪問控制列表（ACL）安全接入互聯網7.2.1ACL原理與應用

7.2.2基本ACL配置實例7.2.3高級ACL配置實例任務3網絡地址轉換（NAT）有效接入互聯網

7.3.1NAT的原理與應用7.3.2NAT配置實例

主要內容24要想實現全網通信，也就是網絡中的任意兩個節(jié)點都能通信，這就要求每個路由器的路由表中必須有到所有網段的路由。對于路由器來說，它只知道自己直連的網段，對于沒有直連的網段，需要管理員人工添加到這些網段的路由。靜態(tài)路由：管理員人工添加到某個網段如何轉發(fā)。后面還會講到配置網絡中的路由器使用動態(tài)路由協議（RIP、OSPF）自動構建路由表，就是動態(tài)路由。1.靜態(tài)路由的概念7.1.2靜態(tài)路由配置25[AR1]iproute-static24

[AR1]iproute-static24[AR2]iproute-static24[AR2]iproute-static24[AR3]iproute-static24[AR3]iproute-static24AR1路由器直連A、B兩個網段，C、D網段沒有直連，你需要添加到C、D網段的路由。AR2路由器直連B、C兩個網段，A、D網段沒有直連，你需要添加到A、D網段的路由。AR3路由器直連C、D兩個網段，A、B網段沒有直連，你需要添加到A、B網段的路由。2.靜態(tài)路由的配置方法7.1.2靜態(tài)路由配置26添加靜態(tài)路由[AR1]iproute-static24[AR1]iproute-static顯示全部路由[AR1]displayiprouting-table只顯示靜態(tài)路由[AR1]displayiprouting-tableprotocolstatic刪除靜態(tài)路由[AR1]undoiproute-static243.靜態(tài)路由的配置命令7.1.2靜態(tài)路由配置277.1.2靜態(tài)路由配置靜態(tài)路由案例：如圖7-12所示，網絡中有A、B、C共3個網段，A網段地址是/24，B網段地址是/24，C網段地址是/24，路由器的接口IP地址的主機地址部分已在圖中標出，例如RTA的Ethernet0/0/0接口地址是/24，網絡中的2個路由器RTA和RTB如何添加路由才能使得全網通暢呢？圖7-12

靜態(tài)路由配置示例287.1.2靜態(tài)路由配置操作步驟：（1）在eNSP模擬器中部署拓撲，路由器型號采用Router，如圖7-13圖所示。

圖7-13

靜態(tài)路由網絡拓撲（2）RTA的接口配置。[RTA]intSerial0/0/0[RTA-Serial0/0/0]ipaddress24[RTA-Serial0/0/0]q[RTA]intEthernet0/0/0[RTA-Ethernet0/0/0]ipaddress24[RTA-Ethernet0/0/0]q（3）RTB的接口配置。[RTB]intSerial0/0/0[RTB-Serial0/0/0]ipaddress24[RTB-Serial0/0/0]q[RTB]intEthernet0/0/0[RTB-Ethernet0/0/0]ipaddress24[RTB-Ethernet0/0/0]q（4）RTA上添加靜態(tài)路由。[RTA]iproute-static24（5）RTB上添加靜態(tài)路由。[RTB]iproute-static24（6）查看路由表。[RTA]disiprouting-table29課堂練習：配置靜態(tài)路由，實現PC1和PC2之間通信。7.1.2靜態(tài)路由配置30任務訓練如圖7-16所示，路由器R1、R2和R3互聯，需要在三臺路由器上添加靜態(tài)路由，讓PC1、PC2和PC3能夠互相訪問。7.1.1IP路由基礎圖7-16

靜態(tài)路由示例網絡

任務1靜態(tài)路由的配置7.1.1IP路由基礎

7.1.2靜態(tài)路由配置7.1.3默認路由優(yōu)化路由表7.1.4路由匯總簡化路由表

任務2訪問控制列表（ACL）安全接入互聯網7.2.1ACL原理與應用

7.2.2基本ACL配置實例7.2.3高級ACL配置實例任務3網絡地址轉換（NAT）有效接入互聯網

7.3.1NAT的原理與應用7.3.2NAT配置實例

主要內容327.1.3默認路由優(yōu)化路由表下面我們在路由器上添加以下四條路由。[RTA]iproute-static8

--第1條路由[RTA]iproute-static16

--第2條路由[RTA]iproute-static24

--第3條路由[RTA]iproute-static

0

--第4條路由

1.默認路由哪條路由最優(yōu)，最先被選擇？“最長前綴匹配”算法

默認路由是一種特殊的靜態(tài)路由，其命令格式和靜態(tài)路由一樣，只是把目的網絡和子網掩碼改成和。337.1.3默認路由優(yōu)化路由表1.默認路由

默認路由是一種特殊的靜態(tài)路由，其命令格式和靜態(tài)路由一樣，只是把目的網絡和子網掩碼改成和。

如果想讓一個網段包括全部的IP地址，這就要求子網掩碼短到極限，最短就是0，子網掩碼變成了，這就意味著該網段的32位二進制的IP地址都是主機位，任何一個地址都屬于該網段。

因此

子網掩碼網段包括了全球所有IPv4地址，也就是全球最大的網段，換一種寫法就是/0。347.1.3默認路由優(yōu)化路由表下面我們在路由器上添加以下四條路由。[RTA]iproute-static8

--第1條路由[RTA]iproute-static16--第2條路由[RTA]iproute-static24

--第3條路由[RTA]iproute-static

0

--第4條路由

1.默認路由哪條路由最優(yōu)，最先被選擇？根據前面所學習的“最長匹配原則”，第3條路由是掩碼長度最長的、最精確的匹配項。第4條路由，即默認路由，掩碼長度最短，是在路由器沒有為數據包找到更為精確匹配的路由時最后匹配的一條路由。如果沒有默認路由器，其目的地址在路由表中沒有匹配條目的數據包將被丟棄。

默認路由是一種特殊的靜態(tài)路由，其命令格式和靜態(tài)路由一樣，只是把目的網絡和子網掩碼改成和。35默認路由在某些時候非常有效，當存在末梢網絡時，默認路由會大簡化路由器的配置，減輕管理員的工作負擔，提高網絡性能。2.使用默認路由簡化路由表7.1.3默認路由優(yōu)化路由表末梢網絡末梢網絡367.1.3默認路由優(yōu)化路由表如圖7-17所示的網絡結構，通過默認路由簡化路由表，默認路由與靜態(tài)路由配合實現全網互聯互通。

圖7-17簡化路由表的配置示例配置分析：對于路由器RTA和路由器RTD都是屬于末梢網絡的路由器，除了直連網段之外，到達其他網段的下一跳地址都是同一個地址，所以可以分別配置一條默認路由；對于路由器RTB和路由器RTC，到達其他網段存在兩個下一跳地址，所以可以配置靜態(tài)路由和默認路由的組合。377.1.3默認路由優(yōu)化路由表

圖7-17簡化路由表的配置示例主要配置：（1）RTA的路由配置。[RTA]iproute-static0（2）RTB的路由配置。[RTB]iproute-static24[RTB]iproute-static0（3）RTC的路由配置。[RTC]iproute-static24[RTC]iproute-static0（4）RTD的路由配置。[RTD]iproute-static038

默認路由還經常應用在企業(yè)的外網（Internet）出口，外網訪問的網段較多，不方便指定明細的網段。直接使用默認路由，IP報文可以轉發(fā)訪問任意的地址。3.使用默認路由作為指向Internet的路由7.1.3默認路由優(yōu)化路由表圖7-18

指向Internet的默認路由配置示例配置分析：路由器RTC位于Internet，路由器RTA和PC1屬于內部網絡，路由器RTB是出口路由器，若使內網和Internet之間互訪，可在出口路由器RTB上使用默認路由。397.1.3默認路由優(yōu)化路由表圖7-18

指向Internet的默認路由配置示例主要配置：（1）RTA的路由配置。[RTA]iproute-static0（2）RTB的路由配置。[RTB]iproute-static24[RTB]iproute-static0--指向Internet的路由（3）RTC的路由配置。[RTC]iproute-static040思考與討論：小王完成客戶的網絡工程配置后，業(yè)務主管在產品測試發(fā)現網絡功能已完全實現，但仍要求小王用默認路由優(yōu)化路由器配置，小王表示非常不理解，你是怎么理解業(yè)務主管的要求的？7.1.3默認路由優(yōu)化路由表41課堂練習：基于優(yōu)化路由表的角度，通過配置靜態(tài)路由和默認路由來實現PC1和PC2之間的通信。7.1.3默認路由優(yōu)化路由表42任務訓練公司內網有A、B和C共3個路由器，并接入到互聯網運營商路由器ISP上，網絡拓撲和地址規(guī)劃如圖7-19所示，請在各個路由器上添加靜態(tài)路由和默認路由，使得各網段之間能夠相互通信。圖7-19

默認路由應用示例7.1.3默認路由優(yōu)化路由表

任務1靜態(tài)路由的配置7.1.1IP路由基礎

7.1.2靜態(tài)路由配置7.1.3默認路由優(yōu)化路由表7.1.4路由匯總簡化路由表

任務2訪問控制列表（ACL）安全接入互聯網7.2.1ACL原理與應用

7.2.2基本ACL配置實例7.2.3高級ACL配置實例任務3網絡地址轉換（NAT）有效接入互聯網

7.3.1NAT的原理與應用7.3.2NAT配置實例

主要內容447.1.4路由匯總簡化路由表Internet是全球最大的互聯網，如果Internet上的路由器把全球所有的網段都添加到路由表，那將是一個非常龐大的路由表。路由器每轉發(fā)一個數據包，都要檢查路由表為該數據包選擇轉發(fā)接口，龐大的路由表勢必會增加處理時延。通過合理的地址規(guī)劃，可以通過路由匯總簡化路由表。將物理位置連續(xù)的網絡分配地址連續(xù)的網段，在邊界路由器外的路由器就可以將遠程的網絡合并成一條路由，這就是路由匯總。457.1.4路由匯總簡化路由表在圖7-20所示的網絡中，對R1而言，如果要到達R2右側的/24~/24網絡，自然要配置路由，若手工為每個網段配置靜態(tài)路由，那意味著需要配置255條，不僅工作量極大，也使得R1的路由表極為臃腫。圖7-20

路由匯總配置467.1.4路由匯總簡化路由表通過創(chuàng)建一條匯總路由iproute-static24，則大大簡化路由配置。當然，也可以通過配置默認路由來說實現，但默認路由無法實現對路由更為細致地控制。圖7-20

路由匯總配置47不匯總時路由表R2/24/24/24/24/24/24/24/24/24/24R1[R1]iproute-static[R1]iproute-static[R1]iproute-static[R1]iproute-static[R1]iproute-static[R2]iproute-static[R2]iproute-static[R2]iproute-static[R2]iproute-static[R2]iproute-static邊界線北京市石家莊市7.1.4路由匯總簡化路由表48匯總后的路由表R2/24/24/24/24/24/24/24/24/24/24R1[R1]iproute-static[R2]iproute-static邊界線北京市石家莊市到石家莊市的網絡匯總成一條路由將全部以172.16開頭網絡進行了合并，匯總成一條路由到北京市的網絡匯總成一條路由將全部以192.168開頭網絡進行了合并，匯總成一條路由7.1.4路由匯總簡化路由表49任務訓練如圖7-21所示，公司A區(qū)和B區(qū)的網絡由路由器R1和路由器R2互聯，請使用路由匯總技術，在路由器R1上配置一條到B區(qū)的匯總路由，在路由器R2上配置一條到A區(qū)的匯總路由，使得各網段之間能夠相互通信。7.1.4路由匯總簡化路由表圖7-21

路由匯總應用示例50R1R2/24/24A區(qū)B區(qū)/24/24/24/24[R1]iproute-static

[R2]iproute-static

練一練7.1.4路由匯總簡化路由表任務2訪問控制列表ACL安全接入互聯網52知識目標：可說出訪問控制列表的應用場合。

可描述訪問控制列表的基本原理和作用。

可描述訪問控制列表的分類和基本規(guī)則。技能目標：能熟練進行ACL配置。能運用ACL解決實際問題。能夠使用基于時間段的訪問控制列表進行訪問控制。素養(yǎng)目標：提高網絡安全防護意識。培養(yǎng)規(guī)范操作的網絡工匠精神。學習目標任務2訪問控制列表（ACL）安全接入互聯網53本任務通過學習訪問控制列表（ACL）的概念、作用、分類和應用，帶領大家掌握基本ACL和高級ACL的配置，并能運用ACL解決網絡中的實際問題。任務分析任務2訪問控制列表（ACL）安全接入互聯網

任務1靜態(tài)路由的配置7.1.1IP路由基礎

7.1.2靜態(tài)路由配置7.1.3默認路由優(yōu)化路由表7.1.4路由匯總簡化路由表

任務2訪問控制列表（ACL）安全接入互聯網7.2.1ACL原理與應用

7.2.2基本ACL配置實例7.2.3高級ACL配置實例任務3網絡地址轉換（NAT）有效接入互聯網

7.3.1NAT的原理與應用7.3.2NAT配置實例

主要內容55數據網絡是否安全？2018，美國Facebook信息泄露事件在全球引起了軒然大波。一家名為“劍橋分析”的大數據公司利用Facebook搜集了超過8700萬用戶資料，并通過數據分析預測和影響了美國總統(tǒng)選舉。用戶的行為分析是基于數據的，它利用了用戶在網站上發(fā)生的所有行為,如搜索、瀏覽、打分、點評、加入購物車等從而獲取到用戶的行為。新聞、熱點、廣告等個性化推送服務。56數據網絡是否安全？北京公司利用爬蟲技術竊取2.1億條簡歷數據2月8日，北京某科技公司因爬蟲竊密案被判處罰金人民幣四千萬元，被告人王某某被判處有期徒刑七年，罰金人民幣一千萬元，其他被告人均被判處相應刑罰。該公司在2015年至2019年間組建爬蟲技術團隊，在未取得求職者和平臺直接授權的情況下，秘密爬取國內主流招聘平臺上的求職者簡歷數據，涉及2.1億余條個人信息。上海企業(yè)通過掃碼點餐、人臉識別等非法收集個人信息3月13日，上海多家家企業(yè)因侵害消費者合法權益被市場監(jiān)管局曝光，其中，上海九翊餐飲管理有限公司通過“掃碼點餐”非法收集消費者個人信息，且未向消費者明示收集、使用的目的、方式和范圍；上海悅筑房地產有限公司非法收集消費者人臉信息，用于甄別客戶是自行前往售樓處還是由分銷商帶往，據此向分銷商結算傭金。虛假冬奧知識競賽平臺致350余萬學生信息遭泄露1月-2月，李某輝伙同湯某峰等人在沒有取得冬奧組委會授權的情況下，開發(fā)一“冬奧知識競賽平臺”，非法獲取全國大中專院校在校學生的個人信息350余萬條，騙取部分參與者繳納證書工本費總計1000萬余元。57思考與討論：面對數據安全問題，你可選擇從個人、企業(yè)或技術的角度，探討一下解決方案。數據網絡是否安全？587.2.1ACL原理與應用1.什么是ACL？訪問控制列表（AccessControlList，ACL）可以定義一系列不同的訪問控制規(guī)則，路由器設備根據這些規(guī)則對數據包進行區(qū)分，哪些是合法的流量，哪些是非法的流量，通過這種區(qū)分來對數據包進行過濾并達到有效控制的目的。圖7-22

部署ACL對數據流量進行控制597.2.1ACL原理與應用2.ACL的作用常見的ACL的應用是將ACL應用到接口上。其主要作用是根據數據包與數據段的特征來進行判斷，決定是否允許數據包通過路由器轉發(fā)，其主要目的是對數據流量進行管理和控制。ACL作為一個通用的數據流量的判別標準還可以和其他技術配合，應用在不同的場合：網絡地址轉換NAT、防火墻、QOS與隊列技術、策略路由、數據速率限制等。607.2.1ACL原理與應用3.ACL的分類根據不同的劃分規(guī)則，ACL可以有不同的分類。最常見的兩種分類是基本ACL和高級ACL。（1）基本ACL。基本ACL只針對數據包的源地址信息作為過濾的標準，過濾標準比較粗，其編號取值范圍是2000-2999。（2）高級ACL。高級ACL可以針對數據包的源地址、目的地址、協議類型及應用類型（端口號）等信息作為過濾的標準，即可以根據數據包是從哪里來、到哪里去、何種協議、什么樣的應用等特征來進行精確地控制。其編號取值范圍是3000-3999。表

7-1

基本ACL和高級ACL的比較分類編號范圍參數基本ACL2000-2999源IP地址等高級ACL3000-3999源IP地址、目的IP地址、源端口、目的端口等617.2.1ACL原理與應用4.ACL規(guī)則如果未匹配如果未匹配/24/24RTARTBrule15denysource55每個ACL可以包含多個規(guī)則，RTA根據規(guī)則來對數據流量進行過濾。rule10denysource55acl2000rule5denysource55627.2.1ACL原理與應用5.如何安排ACL規(guī)則順序1）ACL匹配順序是至上而下，具體的判別條目應放置在前面2）每張ACL中都有一條隱含Deny3）ACL配置完成后需要調用才能生效，可以直接在接口下例如：你要控制一個網段/24的訪問，rule5permit，表示允許網段，除此以外全部拒絕rule10deny表示拒絕網段，除此以外全部拒絕。實際上等于拒絕所有網段(包括)等同于denyany的效果637.2.1ACL原理與應用6.在什么地方部署ACL訪問控制列表ACL必須部署在路由器的某個接口的某個方向上。因此，對于路由器來說存在入口（Inbound）和出口（Outbound）兩個方向。圖7-24路由器接口的出口和入口方向標準ACL應放在離目的地近的地方；擴展ACL放在離源近的地方64任務訓練1.說一說，ACL的作用是什么？2.歸納一下，ACL可以分為哪幾種類別？它們的區(qū)別是什么？3.想一想，你該如何安排訪問列表中的規(guī)則條目順序？7.2.1ACL原理與應用

任務1靜態(tài)路由的配置7.1.1IP路由基礎

7.1.2靜態(tài)路由配置7.1.3默認路由優(yōu)化路由表7.1.4路由匯總簡化路由表

任務2任務2訪問控制列表（ACL）安全接入互聯網7.2.1ACL原理與應用

7.2.2基本ACL配置實例7.2.3高級ACL配置實例任務3網絡地址轉換（NAT）有效接入互聯網

7.3.1NAT的原理與應用7.3.2NAT配置實例

主要內容667.2.2基本ACL配置實例如圖7-25所示，某企業(yè)內網有2個網段，研發(fā)部在VLAN1，網絡地址為/24，服務器區(qū)在VLAN2，網絡地址為/24，路由器AR1連接這2個VLAN。路由器AR2為互聯網路由器，所在網絡地址為/24。要求：①研發(fā)部網段可以訪問Internet。②服務器區(qū)網段不允許訪問Internet。圖7-25基本ACL的應用配置分析：若完成配置要求，需要控制內網訪問Internet的流量，這些訪問流量都要經過路由器AR1的GE0/0/0端口發(fā)送出去，因此可以在此端口的出口（Outbound）方向進行數據包過濾。由于數據包過濾的條件都基于源地址，故使用基本ACL就可以實現。677.2.2基本ACL配置實例圖7-25基本ACL的應用操作步驟：（1）AR1的接口配置。[AR1]vlan2[AR1-vlan2]intvlan2[AR1-Vlanif2]ipaddress24[AR1-Vlanif2]inte0/0/4[AR1-Ethernet0/0/4]portlinkaccess[AR1-Ethernet0/0/4]portdefaultvlan2[AR1-Ethernet0/0/4]inte0/0/5[AR1-Ethernet0/0/5]portlinkaccess[AR1-Ethernet0/0/5]portdefaultvlan2[AR1]intvlan1[AR1-Vlanif1]ipaddress24[AR1]intg0/0/0[AR1-GigabitEthernet0/0/0]ipaddress24（2）AR2的接口配置。[AR2]intg0/0/0[AR2-GigabitEthernet0/0/0]ipadd24[AR2-GigabitEthernet0/0/0]intvlan1[AR2-Vlanif1]ipadd24（3）AR1和AR2的路由配置。[AR1]iproute-static[AR2]iproute-static此時，主機之間互ping，能夠ping通。687.2.2基本ACL配置實例圖7-25基本ACL的應用（4）ACL配置。[AR1]acl2000--創(chuàng)建基本ACL2000[AR1-acl-basic-2000]rule10denysource55

--創(chuàng)建規(guī)則10，拒絕網段源地址為的主機的訪問Internet[AR1-acl-basic-2000]rule20permitsource55

--創(chuàng)建規(guī)則20，允許網段源地址為的主機可以訪問Internet[AR1-acl-basic-2000]rule30deny--最后拒絕所有，默認允許所有[AR1]disaclall--查看當前ACL（5）將ACL綁定到GE0/0/0的出站方向。[AR1]intg0/0/0[AR1-GigabitEthernet0/0/0]traffic-filteroutboundacl2000--綁定到出站方向

任務1靜態(tài)路由的配置7.1.1IP路由基礎

7.1.2靜態(tài)路由配置7.1.3默認路由優(yōu)化路由表7.1.4路由匯總簡化路由表

任務2任務2訪問控制列表（ACL）安全接入互聯網7.2.1ACL原理與應用

7.2.2基本ACL配置實例7.2.3高級ACL配置實例任務3網絡地址轉換（NAT）有效接入互聯網

7.3.1NAT的原理與應用7.3.2NAT配置實例

主要內容707.2.3高級ACL配置實例如圖7-26所示，某企業(yè)網絡AR1為內網出口路由器，連接工程部、財務部、財務部服務器這3個VLAN。路由器AR2為互聯網路由器，Server2為互聯網中的服務器，提供DNS和HTTP服務。在AR1路由器上創(chuàng)建高級ACL，以實現下列要求。①允許工程部在工作時間（周一到周五的8:00~17:00）能夠訪問Internet。②允許財務部能夠訪問Internet，但只允許訪問網站。③禁止財務部服務器訪問Internet。圖7-26高級ACL的應用配置分析：在AR1上創(chuàng)建一個高級ACL，將該ACL綁定到AR1的GE0/0/0接口的出向。允許財務部訪問Internet網站，訪問網站需要域名解析，域名解析使用的協議是DNS，DNS協議使用的是UDP的53端口，訪問網站使用的協議是HTTP協議和HTTPS協議，HTTP協議使用的是TCP的80端口，HTTPS協議使用的是TCP的443端口。717.2.3高級ACL配置實例圖7-26高級ACL的應用ACL配置：[AR1]acl3000--創(chuàng)建高級ACL[AR1]time-rangeworking-time08:00to17:00working-day[AR1-acl-adv-3000]rule5permitipsource55destinationanytime-rangeworking-time[AR1-acl-adv-3000]rule10permitudpsource55destinationanydestination-porteqdns[AR1-acl-adv-3000]rule15permittcpsource55destination-porteqwww[AR1-acl-adv-3000]rule20permittcpsource55destination-porteq443[AR1-acl-adv-3000]rule25denyip將ACL綁定到接口。[AR1]interfaceGigabitEthernet0/0/0[AR1-GigabitEthernet0/0/0]traffic-filteroutboundacl3000①允許工程部在工作時間（周一到周五的8:00~17:00）能夠訪問Internet。②允許財務部能夠訪問Internet，但只允許訪問網站。③禁止財務部服務器訪問Internet。727.2.3高級ACL配置實例①

驗證工程部是否實現在工作時間（周一到周五的8:00~17:00）能夠訪問Internet。<AR1>displayclock--查看當前時間<AR1>clockdatetime06:00:002021-01-04

--更改路由器時間和日期，此時間為非工作時間使用工程部中的PC1pingInternet上的Server2，發(fā)現ping不通。再在AR1上查看ACL，可以看到rule5變成Inactive（不活躍）狀態(tài)。若改變路由器時間在工作時間段，PC1可以ping通Internet上的Server2，rule5變成Aactive（活躍）狀態(tài)。737.2.3高級ACL配置實例②驗證財務部是否能夠訪問Internet的網站。如圖7-27所示，設置DNS服務器域名為“”，IP地址為，并啟動DNS服務。如圖7-28所示，設置Http服務器文件根目錄為“D:\”，并啟動Http服務。

圖7-27DNS服務器設置圖7-28Http服務器設置747.2.3高級ACL配置實例②如圖7-29所示，設置財務處Clinet1的域名服務器地址為，并在客戶端的地址欄輸入域名“”獲取Http服務。圖7-29Client客戶端設置③驗證是否禁止財務部服務器訪問Internet。在Serve1的接觸配置界面，pingServer2的IP地址，結果不能ping通。75任務訓練圖7-30所示的網絡中，在路由器AR1上創(chuàng)建ACL，禁止PC1、PC2和PC3之間相互通信，禁止PC1、PC2訪問Server2的web，但運行PC3訪問Server2的web。7.2.3高級ACL配置實例圖7-30ACL配置網絡拓撲任務3網絡地址轉換（NAT）有效接入互聯網77知識目標：可說出NAT產生的背景。正確描述NAT的工作原理和工作過程?？蓺w納NAT的類型。技能目標：能熟練進行MAT配置。能運用NAT解決實際問題。素養(yǎng)目標：培養(yǎng)資源節(jié)約的工程理念。培養(yǎng)規(guī)范操作的網絡工匠精神。學習目標任務3網絡地址轉換（NAT）有效接入互聯網78本任務通過學習NAT技術的產生背景、NAT工作原理、NAT的分類、NAT的配置和應用，帶領大家掌握Easy-IP、NATServer的配置，并能運用NAT技術解決網絡中的實際問題。任務分析任務3網絡地址轉換（NAT）有效接入互聯網

任務1靜態(tài)路由的配置7.1.1IP路由基礎

7.1.2靜態(tài)路由配置7.1.3默認路由優(yōu)化路由表7.1.4路由匯總簡化路由表

任務2訪問控制列表（ACL）安全接入互聯網7.2.1ACL原理與應用

7.2.2基本ACL配置實例7.2.3高級ACL配置實例任務3網絡地址轉換（NAT）有效接入互聯網

7.3.1NAT的原理與應用7.3.2NAT配置實例

主要內容80引

入IPV4地址不夠用怎么辦？我國已積極推進IPV6網絡的部署實現網絡規(guī)模、用戶規(guī)模和流量規(guī)模三個世界第一，PV4和IPV6共存階段，節(jié)省使用IPV4地址仍是近期存在的問題812021年7月，近千萬中國網民聯署呼吁徹查美國德堡時，服務器遭美國IP網絡攻擊網絡安全問題是未來中國發(fā)展建設的重點工作：在我國“十四五”規(guī)劃中，網絡安全已經確定成為未來中國發(fā)展建設工作的重點之一?！丁笆奈濉币?guī)劃和2035年遠景目標綱要》里共提及“網絡安全”14次，涉及數字經濟、數字生態(tài)、國家安全、能源資源安全四大領域。沒有網絡安全就沒有國家安全--習近平引

入82國內數一數二的主流服務器被攻擊癱瘓攻擊服務器的方式(DDOS)：分布式拒絕服務攻擊(英文意思是DistributedDenialofService，簡稱DDoS)是指處于不同位置的多個攻擊者同時向一個或數個目標發(fā)動攻擊，或者一個攻擊者控制了位于不同位置的多臺機器并利用這些機器對受害者同時實施攻擊。由于攻擊的發(fā)出點是分布在不同地方的，這類攻擊稱為分布式拒絕服務攻擊。DDoS是DoS的升級

引

入83主題討論：1.你知道網絡攻擊的方式有哪些？2.你覺得黑客網絡攻擊的目的是什么？3.如何維護網絡安全？維護網絡安全是全社會共同責任引

入841.NAT定義。NAT是NetworkAddressTranslation的簡寫，中文意思是“網絡地址轉換”，它是一個IETF（國際互聯網工程任務組，一個公開性質的大型民間國際團體）標準，它可以把私網地址和公網地址做轉換，一方面可隱藏內部網絡的真實IP地址，使內部網絡免受黑客的直接攻擊，另一方面由于內部網絡使用了私有IP地址，從而有效解決了公網IP地址不足的問題。7.3.1NAT的原理與應用852.NAT應用場景7.3.1NAT的原理與應用圖7-31NAT的應用場景企業(yè)或家庭所使用的網絡為私有網絡，使用的是私有地址；運營商維護的網絡為公共網絡，使用的是公有地址。私有地址不能在公網中路由。NAT一般部署在連接內網和外網的網關設備上。863.NAT的類型7.3.1NAT的原理與應用

常見的NAT技術有三種類型：靜態(tài)轉換NAT（StaticNAT）、動態(tài)轉換NAT（PooledNAT）、網絡地址端口轉換NAPT（PAT）。（1）靜態(tài)轉換NAT

將每個擁有內部私有地址的計算機都映射成外部網絡中的一個合法的公有IP地址，其中的IP地址是一對一的一成不變的。S:D:D:S:S:D:SWASWARTAS:D:主機A主機BD:S:D:S:S:D:S:D:/24/24/24主機C圖7-32

靜態(tài)NAT應用場景877.3.1NAT的原理與應用（2）動態(tài)地址NAT

在外部網絡中定義了一些合法地址，它們是采用動態(tài)分配的方法將地址映射到內部網絡，IP地址是隨機的，不是一一對應的。/24……S:D:S:D:D:S:SWASWARTAS:D:主機A主機B/24/24/24主機C圖7-33動態(tài)NAT應用場景887.3.1NAT的原理與應用（3）網絡地址端口NAT網絡地址端口NAT，也稱NAPT，它使用一個合法公有地址，以不同的協議端口號與不同的內部地址相對應。圖7-34動態(tài)NAPT應用場景/24：2843：2844……SWASWARTA主機A主機B/24/24S::1028D::80S::1025D::80S::2844D::80S::2843D::80/24主機C89任務訓練1.描述NAT的應用場景。2.簡述NAT的工作原理。3.NAT按技術類型可以分為哪三種轉換方式？7.3.1NAT的原理與應用

任務1靜態(tài)路由的配置7.1.1IP路由基礎

7.1.2靜態(tài)路由配置7.1.3默認路由優(yōu)化路由表7.1.4路由匯總簡化路由表

任務2訪問控制列表（ACL）安全接入互聯網7.2.1ACL原理與應用

7.2.2基本ACL配置實例7.2.3高級ACL配置實例任務3網絡地址轉換（NAT）有效接入互聯網

7.3.1NAT的原理與應用7.3.2NAT配置實例

主要內容917.3.2NAT配置實例[AR1]intg0/0/1[AR1-GigabitEthernet0/0/1]natstaticglobalinsidenetmask55[AR1-GigabitEthernet0/0/1]natstaticglobalinsidenetmask55[AR1-GigabitEthernet0/0/1]natstaticglobalinsidenetmask55<R1>displaynatstatic1.靜態(tài)NAT配置案例需求：在AR1上做靜態(tài)NAT私有地址用公網地址替換、私有地址用公網地址替換、私有地址用公網地址替換。

注意：基礎配置包含接口地址以及AR1上配置一條默認路由，AR2是互聯網路由器不需配置路由此實訓注意事項：eNSP的Router不支持NAT，需選擇AR類型92測試完成后，刪除靜態(tài)NAT設置，初始化環(huán)境，為接下來的實訓做好準備[AR1]intg0/0/1[AR1-GigabitEthernet0/0/1]undonatstaticglobalinsidenetmask55[AR1-GigabitEthernet0/0/1]undonatstaticglobalinsidenetmask55[AR1-GigabitEthernet0/0/1]undonatstaticglobalinsidenetmask55--刪除靜態(tài)NAT設置，初始化網絡環(huán)境。7.3.2NAT配置實例937.3.2NAT配置實例2.動態(tài)NAT配置（地址池方式）案例需求：在AR1上做動態(tài)NATISP給企業(yè)分配了、、、共4個公網地址，其中指定給AR1的GE0/0/1端口。（1）創(chuàng)建ACL，定義NAT數據流。[AR1]acl2000[AR1-acl-basic-2000]rule5permitsource55[AR1-acl-basic-2000]rule10deny[AR1-acl-basic-2000]quit（2）創(chuàng)建公網地址池。[AR1]nataddress-group1

--指定公網地址池編號1和開始地址和結束地址（3）為AR1上連接Internet的端口GE0/0/1配置NAT。[AR1]interfaceGigabitEthernet0/0/1[AR1-GigabitEthernet0/0/1]natoutbound2000address-group1（4）測試。網內主機可以ping通Internet主機和服務器。94測試完成后，動態(tài)地址池NAT設置，初始化環(huán)境，為接下來的實訓做好準備[AR1]interfaceGigabitEthernet0/0/1[AR1-GigabitEthernet0/0/1]undonatoutbound2000address-group1[AR1-GigabitEthernet0/0/1]quit[AR1]undonataddress-group1--刪除動態(tài)地址池NAT設置，初始化網絡環(huán)境。7.3.2NAT配置實例953.使用外網端口做NAPT(Easy-IP)7.3.2NAT配置實例案例需求：在AR1上配置Easy-IP，允許內網主機使用AR1路由器上GE0/0/0端口的公網地址做地址轉換以訪問Internet。要求在AR1上做動態(tài)NATISP只給企業(yè)分配了一個公網地址，并把這個地址指定給AR1的GE0/0/1端口。（1）創(chuàng)建ACL，定義NAT數據流。[AR1]acl2000[AR1-acl-basic-2000]rule5permitsource55[AR1-acl-basic-2000]rule10deny[AR1-acl-basic-2000]quit（2）為AR1上連接Internet的端口GE0/0/1配置Easy-IP。[AR1]interfaceGigabitEthernet0/0/1[AR1-GigabitEthernet0/0/1]natoutbound2000

--指定允許網絡地址端口轉換的ACL（3）測試。網內主機可以ping通Internet主機和服務器。（4）刪除AR1上端口GigabitEthernet/0/1的NAT配置[AR1]interfaceGigabitEthernet0/0/1[AR1-GigabitEthernet0/0/1]undonatoutbound2000

96AR154InternetAR2WebFTPServer1PC3PC5PC6目標地址

TCP目標端口21目標地址

TCP目標端口80目標地址TCP目標端口21目標地址

TCP目標端口80GE0/0/1背景：Internet上的計算機是沒辦法直接訪問企業(yè)內網（私網IP地址）中的計算機和服務器的。如果打算讓Internet上的計算機訪問企業(yè)內網中的服務器，那么需要在企業(yè)連接Internet的路由器上配置端口映射，且該路由器必須有公網地址。NATServer（服務器映射）就是應用于實現私網服務器以公網IP地址對外提供服務的技術。當外部網絡的用戶訪問內部服務器時，NAT將請求報文的目的地址轉換成內部服務器的私有地址。對內部服務器回應報文而言，NAT還會自動將回應報文的源地址（私網地址）轉換成公網地址。7.3.2NAT配置實例4.使用外網端口做NAPT(Easy-IP)977.3.2NAT配置實例4.使用外網端口做NAPT(Easy-IP)案例需求：在AR1上定義NATServer，實現以下功能：①Internet上的用戶可以正常訪問企業(yè)內網中的Web服務器。②該公司員工下班回家后，可以用遠程連接企業(yè)內網的FTP服務器。AR1的GE0/0/1端口地址為公網地址，還有一個公網地址是。（1）AR1上部署Easy-IP，保證內網訪問外網。[AR1]acl2000[AR1-acl-basic-2000]rule5permitsource55[AR1-acl-basic-2000]rule10deny[AR1-acl-b