欢迎来到天天文库
浏览记录
ID:49406854
大小:100.50 KB
页数:8页
时间:2020-03-01
《【精品】ACL配置技术.doc》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、阅读以下关于访问控制列表ACL的技术说明,结合网络拓扑图冋答问题1〜6。(15分)【说明】某电子商务公司为适应市场的发展纽建了一个企业网,其网络拓扑结构如图3-6所示。该网络逻辑结构上分成核心层和接入层,核心层使用了一台三层交换机。网管员按照备部门的职能将公司内部网络分成了8个VLAN,分别是公司网络设备及网管机VLAN1(10.1.1.0/24)、内网服务器VLAN2C10.1.2.0/24)>非军事区DMZVLAN3C10.1.3.0/24)、财务部VLAN4(10.1.4.0/24)、市场部V
2、LAN5(10.1.5.0/24)、研发部VLAN6(10.1.6.0/24)、接彳崟VLAN(172.16.1.0/24)。每个网段的缺省网关地址由从高位向下分配,其他节点地址均从低位向上分配;例如,接待室VLAN中每一台客户机的网关地址为172.16.1.254,客户机1的IP地址为172.16.1.1,客户机2的IP地址为172.16.1.2。Internet10*1*2.0/24UN-;f1/:・:*伽2.VLAN/1Mf&.^VLANI10.L6.0/24]SqSm存:匚wIU」・3.®2
3、4!
4、I0.I4W24[I72J6.L0/24J10.1.5.0.24【问题1】(2分)通常路山器都支持两种类型的访问控制列农:基本访问控制列农和扩展访问控制列农。请用120字以内的文字说明这两种访问列表之间的区别。【问题2】(2分)该商务公司有多台游戏服务器用于提供各种在线游戏,保护这些服务器内部数据的女全性是公司网管员第一工作要责。该公司还有-台专门为用户提供在线购买游戏币服务的Web服务器(以下简称为游戏币Web服务器),用户可使用游戏币购买各种游戏装备。从访问控制列表技术角度考虑,应将这些游
5、戏服务器和游戏币Web服务器部署在网络拓扑的哪些位置?【问题3】(2分)访问控制衣是实现安全管理的重要手段。如果在三层交换机的VLAN1接II上进行如下ACL配置,那么这些配置语句将完成哪些安全任务?access~list11permithost10.1.6.66access-list11denyanyintvlan1ipaccess-group11out【问题4】(2分)请将以下访问规则控制列表中(1)、(2)空缺处填写完整,以完成不允许市场部所有主机访问外部IP地址段为202.117.12.0/
6、24的WEB服务器的配置。access-list102(1)tep(2)202.197.12.00.0.0.255eq80【问题5】(3分)在三层交换机的内网服务器VLAN2接口上,要求完成以下安全规则:允许公司研发部全体员工通过FTP方式访问放置资源代码的服务器(IP地址为10.1.2.6),而其他内部员工及外网所有主机均不能以FTP方式访问该服务器。请写出相应的访问控制列表的命令行。【问题6】(4分)在IP访问控制列表的语法中,关键字option有一个帘用的Tog”选项,主要用于对那些能够匹FC
7、访问表屮的permit和deny语句的报文进行日志记录;另一个储'用的选项是4iestablished;只对TCP协议有效且只在一个方向上来响应山另一端发起的会话。要在三层交换机上实现内网服务器免受來白市场部网段病毒攻击的任务,结合option选项,写出相应的访问控制列表ACL命令行。3.2.5.2要点解析【问题1】(2分):这是一道要求在熟悉访问控制列表ACL的基本原理、功能及分类的基础上,将两种类型的访问控制列表的不同Z处进行综述的试题。访问控制列表ACL的基本原理可以归纳如下:在路山器、防火墙
8、或三层交换机等具有数据包控制能力的设备上,读取TCP/IP第3层分纽.头的源IP地址、目的IP地址或第4层报文头中源端口、目的端口等信息,再根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。它-方面可以保护资源节点,阻止非法用户对资源节点的访问;另一方面可以限制特定用户所具有的访问权限。通滋路山器都支持两种类烈的访问控制列衣:基本访问控制列衣和扩展访问控制列农。其中,基本访问表仅控制基于网络地址的信息流,且只允许过滤源IP地址;而扩展访问表通过网络地址和传输中的数据类型进行信息流控制,允许过
9、滤源IP地址、目的IP地址和上层应用数据。【问题2】(2分):这是一道要求考虑具体应用服务,结合访问控制列表ACL的优缺点进行网络设备部置的综合的试题。考虑到访问控制列表ACL技术是使用包过滤技术来实现的,它对第3层分纟I[头的源IP地址、目的IP地址或第4层报文头屮源端口、目的端口等信息的处理过程会增加网络的传输延迟,降低网络通信的实时性。因此提供在线购买游戏币服务的Web服务器应部署在该公司防火墙之外。采用这种部署方案的另外两点理山是,①将它部署在内网服务器VLA
此文档下载收益归作者所有