问答题
阅读以下说明,根据要求回答问题。
[说明]
某企业的网络结构如图所示。
[说明]
某企业的网络结构如图所示。
问答题
[问题1]
1.访问控制列表(ACL)是控制网络访问的基本手段,它可以限制网络流量,提高网络性能。ACL使用______技术来达到访问控制目的。ACL分为标准ACL和扩展ACL两种,标准访问控制列表的编号为______和1300~1999之间的数字,标准访问控制列表只使用______进行过滤,扩展的ACL的编号使用______以及2000~2699的数字。
2.每一个正确的访问列表都至少应该有一条______语句,具有严格限制条件的语句应放在访问列表所有语句的最上面,在靠近______的网络接口上设置扩展ACL,在靠近______的网络接口上设置标准ACL。
1.访问控制列表(ACL)是控制网络访问的基本手段,它可以限制网络流量,提高网络性能。ACL使用______技术来达到访问控制目的。ACL分为标准ACL和扩展ACL两种,标准访问控制列表的编号为______和1300~1999之间的数字,标准访问控制列表只使用______进行过滤,扩展的ACL的编号使用______以及2000~2699的数字。
2.每一个正确的访问列表都至少应该有一条______语句,具有严格限制条件的语句应放在访问列表所有语句的最上面,在靠近______的网络接口上设置扩展ACL,在靠近______的网络接口上设置标准ACL。
【正确答案】
【答案解析】包过滤
1~99
数据包的源地址
100~199
允许或permit
源
目标 访问控制列表(ACL)是一种基于接口的控制列表,可根据网络管理员制定的访问控制准则来控制接口对数据包的接收和拒绝。它使用包过滤技术,在路由设备上读取第三层及第四层包头中的信息(例如源IP地址、目的IP地址、源端口、目的端口等),根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。
ACL,分为标准ACL和扩展ACL两种,标准ACL只能检查数据包的源地址,根据源网络、子网或主机的IP地址来决定对数据包的过滤,其表号范围是1~99和1300~1999。扩展ACL可以检查数据包的源IP地址、目的IP地址、指定的协议和端口号等来决定对数据包的过滤,其表号范围是100~199和2000~2699。
ACL默认执行顺序是自上而下。在配置ACL列表时,要遵循最小特权原则、最靠近受控对象原则以及默认丢弃原则。通常,每一个正确的ACL都至少应该有一条permit(允许)语句,且将具有严格限制条件的语句放在访问列表所有语句的最上面。
通常,尽可能地把标准ACL使用在靠近目标的网络接口上,把扩展ACL使用在靠近源的网络接口上。
1~99
数据包的源地址
100~199
允许或permit
源
目标 访问控制列表(ACL)是一种基于接口的控制列表,可根据网络管理员制定的访问控制准则来控制接口对数据包的接收和拒绝。它使用包过滤技术,在路由设备上读取第三层及第四层包头中的信息(例如源IP地址、目的IP地址、源端口、目的端口等),根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。
ACL,分为标准ACL和扩展ACL两种,标准ACL只能检查数据包的源地址,根据源网络、子网或主机的IP地址来决定对数据包的过滤,其表号范围是1~99和1300~1999。扩展ACL可以检查数据包的源IP地址、目的IP地址、指定的协议和端口号等来决定对数据包的过滤,其表号范围是100~199和2000~2699。
ACL默认执行顺序是自上而下。在配置ACL列表时,要遵循最小特权原则、最靠近受控对象原则以及默认丢弃原则。通常,每一个正确的ACL都至少应该有一条permit(允许)语句,且将具有严格限制条件的语句放在访问列表所有语句的最上面。
通常,尽可能地把标准ACL使用在靠近目标的网络接口上,把扩展ACL使用在靠近源的网络接口上。
问答题
[问题2]
网管要求除了主机10.1.6.66能够进行远程telnet到核心设备外,其他用户都不允许进行telnet操作。同时只对员工开放Web服务器(10.1.2.20)、FTP服务器(10.1.2.22)和数据库服务器(10.1.2.21:1521),研发部除IP为10.1.6.33的计算机外,都不能访问数据库服务器,按照要求补充完成以下配置命令。
网管要求除了主机10.1.6.66能够进行远程telnet到核心设备外,其他用户都不允许进行telnet操作。同时只对员工开放Web服务器(10.1.2.20)、FTP服务器(10.1.2.22)和数据库服务器(10.1.2.21:1521),研发部除IP为10.1.6.33的计算机外,都不能访问数据库服务器,按照要求补充完成以下配置命令。
【正确答案】
【答案解析】10.1.6.66
vty
in
10.1.6.33
10.1.6.0 在路由器上配置访问控制列表(ACL)的一般操作步骤是:①定义一个标准(或扩展)的ACL;②为ACL配置包过滤的准则;③配置ACL的应用接口。依题意,核心交换机只允许主机10.1.6.66进行远程登录(telnet)操作。在核心交换机全局配置模式Switch-core(config)#下,使用命令line vty 0 4进入虚拟终端配置子模式Switch-core(config-line)#,即第二空缺处应填入vty。
由于表号为1的ACL应用于虚拟终端接口(由配置语句“Switch-core(config-line)#access-list 1(10)”间接可知),因此第一空缺处的ACL定义语句应实现“只允许主机10.1.6.66进行telnet操作”需求的配置,即access-list 1 permit host 10.1.6.66或access-list 1 permit 10.1.6.66 0.0.0.255。因为IP地址10.1.6.66属于图中研发部子网段10.1.6.0/24的一员,“/24”所表示的子网掩码是255.255.255.0,其对应的ACL通配符(即子网掩码的反码)为0.0.0.255。
当某一子网的主机的“登录”三层核心交换机时,该主机的IP地址为源IP地址,因此将所创建的表号为1的ACL应用于VTY line时,需要使用关键字in表示控制进入的连接,而不是out。因此,第三空缺处应填入in。
在核心交换机全局配置模式Switch-core(config)#下,使用命令ip access-list extend server-protect标识一个名为server-protect的访问控制列表,并进入扩展访问控制模式Switch-core(config-ext-nacl)#。
为实现“研发部(10.1.6.0/24)除IP为10.1.6.33的计算机外,都不能访问数据库服务器(10.1.2.21:1521)”的应用需求,需要在扩展访问控制模式下通过配置语句permit tcp host 10.1.6.33host 10.1.2.21 eq 1521,定义一条允许主机10.1.6.33访问数据库服务器的扩展ACL;使用配置语句deny tcp 10.1.6.0 0.0.0.255 host 10.1.2.21 eq 1521,定义一条禁止研发部其他主机访问数据库服务器的扩展ACL。
vty
in
10.1.6.33
10.1.6.0 在路由器上配置访问控制列表(ACL)的一般操作步骤是:①定义一个标准(或扩展)的ACL;②为ACL配置包过滤的准则;③配置ACL的应用接口。依题意,核心交换机只允许主机10.1.6.66进行远程登录(telnet)操作。在核心交换机全局配置模式Switch-core(config)#下,使用命令line vty 0 4进入虚拟终端配置子模式Switch-core(config-line)#,即第二空缺处应填入vty。
由于表号为1的ACL应用于虚拟终端接口(由配置语句“Switch-core(config-line)#access-list 1(10)”间接可知),因此第一空缺处的ACL定义语句应实现“只允许主机10.1.6.66进行telnet操作”需求的配置,即access-list 1 permit host 10.1.6.66或access-list 1 permit 10.1.6.66 0.0.0.255。因为IP地址10.1.6.66属于图中研发部子网段10.1.6.0/24的一员,“/24”所表示的子网掩码是255.255.255.0,其对应的ACL通配符(即子网掩码的反码)为0.0.0.255。
当某一子网的主机的“登录”三层核心交换机时,该主机的IP地址为源IP地址,因此将所创建的表号为1的ACL应用于VTY line时,需要使用关键字in表示控制进入的连接,而不是out。因此,第三空缺处应填入in。
在核心交换机全局配置模式Switch-core(config)#下,使用命令ip access-list extend server-protect标识一个名为server-protect的访问控制列表,并进入扩展访问控制模式Switch-core(config-ext-nacl)#。
为实现“研发部(10.1.6.0/24)除IP为10.1.6.33的计算机外,都不能访问数据库服务器(10.1.2.21:1521)”的应用需求,需要在扩展访问控制模式下通过配置语句permit tcp host 10.1.6.33host 10.1.2.21 eq 1521,定义一条允许主机10.1.6.33访问数据库服务器的扩展ACL;使用配置语句deny tcp 10.1.6.0 0.0.0.255 host 10.1.2.21 eq 1521,定义一条禁止研发部其他主机访问数据库服务器的扩展ACL。
问答题
[问题3]
该企业要求在上班时间内(9:00~18:00)禁止内部员工浏览网页(TCP 80和TCP 443端口),禁止使用QQ(TCP/UDP 8000端口以及UDP 4000)和MSN(TCP 1863端口)。
另外在2015年6月1日到2日的所有时间内都不允许进行上述操作。除上述限制外,在任何时间都允许以其他方式访问Internet。为了防止利用代理服务访问外网,要求对常用的代理服务端口TCP 8080、TCP 3128和TCP 1080也进行限制。按照要求补充完成(或解释)以下配置命令。
该企业要求在上班时间内(9:00~18:00)禁止内部员工浏览网页(TCP 80和TCP 443端口),禁止使用QQ(TCP/UDP 8000端口以及UDP 4000)和MSN(TCP 1863端口)。
另外在2015年6月1日到2日的所有时间内都不允许进行上述操作。除上述限制外,在任何时间都允许以其他方式访问Internet。为了防止利用代理服务访问外网,要求对常用的代理服务端口TCP 8080、TCP 3128和TCP 1080也进行限制。按照要求补充完成(或解释)以下配置命令。
【正确答案】
【答案解析】9:00 end 18:00
禁止内部员工在上班时间段通过TCP 443浏览网页
禁止内部员工在上班时间段使用MSN
vlan 3 在核心交换机全局配置模式Switch-core(config)#下,使用配置语句time-range TR1,定义一个名为TR1的时间段控制范围,并进入时间段控制子模式;使用配置语句periodic weekdays start 9:00 end 18:00定义周期性重复使用的时间范围——周一至周五的上班时间(9:00~18:00);使用配置语句absolute start 00:00 1 June 2015 end 00:00 3 June 2015,定义只使用一次的绝对时间段控制——2015年6月1日到2日的所有时间。
在核心交换机扩展访问控制模式Switch-core(config-ext-nacl)#下,使用配置语句deny tcp 10.1.0.0 0.0.255.255 any eq 443 time-range TR1,定义一条在名为TR1所定义的时间控制范围内起作用的、禁止内部员工(10.1.0.0/16)浏览网页(基于TCP443端口号)的扩展ACL。
使用配置语句deny tcp 10.1.0.0 0.0.255.255 any eq 1863 time-range TR1,定义一条在名为TR1所定义的时间控制范围内起作用的、禁止内部员工(10.1.0.0/16)使用MSN(基于TCP 1863端口号)的扩展ACL。
在核心交换机接口配置子模式Switch-core(config-if)#下,配置语句ip access-group internet_limit out表示,名为internet_limit的ACL应用于当前接口,以控制该接口输出方向的数据流。依题意,名为internet_limit、基于时间控制的扩展ACL应该作用于该企业网Internet连接区域(VLAN 3)。因此,第四空缺处应填入vlan 3。
禁止内部员工在上班时间段通过TCP 443浏览网页
禁止内部员工在上班时间段使用MSN
vlan 3 在核心交换机全局配置模式Switch-core(config)#下,使用配置语句time-range TR1,定义一个名为TR1的时间段控制范围,并进入时间段控制子模式;使用配置语句periodic weekdays start 9:00 end 18:00定义周期性重复使用的时间范围——周一至周五的上班时间(9:00~18:00);使用配置语句absolute start 00:00 1 June 2015 end 00:00 3 June 2015,定义只使用一次的绝对时间段控制——2015年6月1日到2日的所有时间。
在核心交换机扩展访问控制模式Switch-core(config-ext-nacl)#下,使用配置语句deny tcp 10.1.0.0 0.0.255.255 any eq 443 time-range TR1,定义一条在名为TR1所定义的时间控制范围内起作用的、禁止内部员工(10.1.0.0/16)浏览网页(基于TCP443端口号)的扩展ACL。
使用配置语句deny tcp 10.1.0.0 0.0.255.255 any eq 1863 time-range TR1,定义一条在名为TR1所定义的时间控制范围内起作用的、禁止内部员工(10.1.0.0/16)使用MSN(基于TCP 1863端口号)的扩展ACL。
在核心交换机接口配置子模式Switch-core(config-if)#下,配置语句ip access-group internet_limit out表示,名为internet_limit的ACL应用于当前接口,以控制该接口输出方向的数据流。依题意,名为internet_limit、基于时间控制的扩展ACL应该作用于该企业网Internet连接区域(VLAN 3)。因此,第四空缺处应填入vlan 3。
问答题
[问题4]
企业要求市场和研发部门不能访问财务部VLAN中的数据,但是财务部门作为公司的核心管理部门,又必须能访问到市场和研发部门VLAN内的数据。按照要求补充完成(或解释)以下配置命令。
企业要求市场和研发部门不能访问财务部VLAN中的数据,但是财务部门作为公司的核心管理部门,又必须能访问到市场和研发部门VLAN内的数据。按照要求补充完成(或解释)以下配置命令。
【正确答案】
【答案解析】vlan 4
10.1.4.0 0.0.0.255
vlan 5
vlan 6
(第三、四空答案位置可互换) 为了实现题意所描述的应用需求,需要使用到反向ACL技术,在财务部访问市场部和研发部VLAN内数据时,能在市场部和研发部的ACL中临时生成一个反向的ACL条目,从而实现单向访问。
在核心交换机扩展访问控制模式Switch-core(config-ext-nacl)#下,使用配置语句permit tcp any 10.1.0.0 0.0.255.255 reflect r-main timeout 120,定义一条允许任意主机访问企业内部网段(10.1.0.0/16)、名为r-main、保持时间为120秒的扩展ACL。其中,关键字reflect表明该条目可以用于捕捉建立反向的ACL条目所需要的信息;r-main是reflect组的名字,具备相同reflect组名字的所有的ACL条目为一个reflect组;timeout xxx表明由这条ACL条目所建立起来的反向ACL条目在没有流量的情况下,多少秒后会消失(缺省值为300秒)。
在核心交换机接口配置子模式Switch-core(config-if)#下,配置语句ip access-group fi-main in表示,名为fi-main的主ACL应用于当前接口,以控制该接口输入方向的数据流。依题意,名为fi-main的主ACL应该作用于该企业网的财务部门(VLAN 4)。因此,第一空缺处应填入vlan 4。
在名为fi-access-limit的扩展ACL定义中,配置语句evaluate r-main表示,有符合r-main这个reflect组中所定义的ACL条目的流量发生时,在evaluate语句所在的当前位置动态生成一条反向的permit语句。
配置语句deny ip any 10.1.4.0 0.0.0.255用于实现禁止访问财务部门(10.1.4.0/24)的数据。
在核心交换机接口配置子模式下,配置语句#ip access-group fi-access-limit in表示,名为fi-access-limit的反向ACL应用于当前接口,以控制该接口输入方向的数据流。依题意,该反向ACL应该作用于该企业网市场部(VLAN 5)和研发部(VLAN 6)的区域。因此,第三、四空缺处应分别填入vlan 5、vlan 6。
10.1.4.0 0.0.0.255
vlan 5
vlan 6
(第三、四空答案位置可互换) 为了实现题意所描述的应用需求,需要使用到反向ACL技术,在财务部访问市场部和研发部VLAN内数据时,能在市场部和研发部的ACL中临时生成一个反向的ACL条目,从而实现单向访问。
在核心交换机扩展访问控制模式Switch-core(config-ext-nacl)#下,使用配置语句permit tcp any 10.1.0.0 0.0.255.255 reflect r-main timeout 120,定义一条允许任意主机访问企业内部网段(10.1.0.0/16)、名为r-main、保持时间为120秒的扩展ACL。其中,关键字reflect表明该条目可以用于捕捉建立反向的ACL条目所需要的信息;r-main是reflect组的名字,具备相同reflect组名字的所有的ACL条目为一个reflect组;timeout xxx表明由这条ACL条目所建立起来的反向ACL条目在没有流量的情况下,多少秒后会消失(缺省值为300秒)。
在核心交换机接口配置子模式Switch-core(config-if)#下,配置语句ip access-group fi-main in表示,名为fi-main的主ACL应用于当前接口,以控制该接口输入方向的数据流。依题意,名为fi-main的主ACL应该作用于该企业网的财务部门(VLAN 4)。因此,第一空缺处应填入vlan 4。
在名为fi-access-limit的扩展ACL定义中,配置语句evaluate r-main表示,有符合r-main这个reflect组中所定义的ACL条目的流量发生时,在evaluate语句所在的当前位置动态生成一条反向的permit语句。
配置语句deny ip any 10.1.4.0 0.0.0.255用于实现禁止访问财务部门(10.1.4.0/24)的数据。
在核心交换机接口配置子模式下,配置语句#ip access-group fi-access-limit in表示,名为fi-access-limit的反向ACL应用于当前接口,以控制该接口输入方向的数据流。依题意,该反向ACL应该作用于该企业网市场部(VLAN 5)和研发部(VLAN 6)的区域。因此,第三、四空缺处应分别填入vlan 5、vlan 6。