? 在特定接口上禁用ACL
no ip access-group access-list-number {in|out}
3. 扩展访问列表: ? 定义扩展访问列表
Access-list access-list-number {permit|deny} protocol source source-wildcard [operator port] destination destination- wildcard [operator port]
source-wildcard/ destination- wildcard:通配符掩码,跟源地址/目的地址相对应 标准访问列表的access-list-number取值范围从100到199;缺省wildcard mask为0.0.0.0
? 在特定接口上启用/禁用ACL与标准访问控制列表一样 4. 命名访问列表:
命名访问列表允许标准、扩展访问列表用名字字符代替数字编号。但是使用该种访问列表,不允许单独删除一条单独列表项,必须删除整个编号访问列表。 ①MAC命名访问列表
? 进入命名访问列表配置模式
Mac access-list {standard|extended } name standard|extended:标准|扩展 ? 在该模式下,输入测试条件
switch(config{std|ext-}nacl)#{permit|deny} {test condition}
test condition:根据standard|extended的选择,使用标准访问列表或扩展访问列表的相应定义规则 ? 将访问列表应用与接口
MAC access-group name {in|out}
②IP命名访问列表
? 进入命名访问列表配置模式
IP access-list {standard|extended } name standard|extended:标准|扩展 ? 在该模式下,输入测试条件
switch(config{std|ext-}nacl)#{permit|deny} {test condition}
test condition:根据standard|extended的选择,使用标准访问列表或扩展访问列表的相应定义规则 ? 将访问列表应用与接口
IP access-group name {in|out}
注意:如果是对三层交换机的接口启用ACL,首先必须将该接口转换为三层交换接口:
no switchport
实训内容:
步骤一 配置计算机pc4可以远程telnet到核心交换机3560 1、 设置SW3560的管理地址为192.168.1.1
11
2、 开启SW3560的telnet服务
3、 将pc4的IP地址和SW3560的管理地址设置为同一网段192.168.1.2 4、 进行测试
步骤二 仅允许来自pc4的用户通过telnet访问交换机: 1、 定义访问控制列表。
如:Switch(config)#access-list 1 permit 192.168.1.2 0.0.0.0
Switch(config)#access-list 100 permit tcp 192.168.1.2 0.0.0.0 any eq 23 2、 引用访问控制列表。 如:Switch (config)#line vty 0
Switch(config-line)#access-class 1/100 in Switch(config-line)#login
Switch(config-line)#password 123 Switch(config-line)#exit 3、进行测试
因为任何Telnet到交换机或路由器的用户都使用vty线,因此可以创建一个标准访问列表或扩展访问列表,然后使用access-class命令将其应用到vty线上。
步骤三 使用访问控制策略限制控制192.168.2.0网段用户在每周的上班时间8:00--16:00才可以和web服务器进行相互通信(该步骤需要在真实环境中完成) 1、配置时间段使用time-range命令。 Switch(config)#time-range ourwokingtime
Switch(config-time-range)#periodic weekdays 8:00 to 17:00
(Switch(config-time-range)#absolute start 08:00 1 november 2008 end 17:00 31 march 2009) 2、定义访问控制列表
如:Switch (config)#access-list 102 permit tcp 192.168.2.0 0.0.0.255 192.168.2.3 0.0.0.0 eq 80 time-range ourworkingtime 3、引用访问控制列表 4、进行测试
步骤四 基于端口的传输控制(MAC地址与端口绑定)
1、 将swich0的F0/3端口与pc1的MAC地址绑定,当发现主机的MAC地址与交换机上指定的MAC地址不同时,交换机相应的端口将down掉 switch#conf t
switch(config)#int f0/1
switch(config-if)#switchport mode access /指定端口模式。
switch(config-if)#switchport port-security mac-address pc1的MAC /配置MAC地址。
switch(config-if)#switchport port-security maximum 1 /限制此端口允许通过的MAC地址数为1。
switch(config-if)#switchport port-security violation shutdown /当发现与上述配置不符时,端口down掉。
12
2、进行测试
步骤六 基于端口的传输控制(通过MAC地址限制端口流量)
1、 允许SW3560的F0/1口最多通过10个MAC地址,超过10时,来自新的主机的数据帧
将丢失。 switch#conf t
switch(config)#int f0/1
switch(config-if)#switchport trunk encapsulation dot1q
switch(config-if)#switchport mode trunk /配置端口模式为TRUNK。
switch(config-if)#switchport port-security maximum 10 /允许此端口通过的最大MAC地址数目为10。 s
witch(config-if)#switchport port-security violation protect /当主机MAC地址数目超过10时,交换机继续工作,但来自新的主机的数据帧将丢失。
任务三:网络扫描
实训目的:
网络扫描是对整个目标网络或单台主机进行全面、快速、准确的获取信息的必要手段。通过网络扫描发现对方,获取对方的信息是进行网络攻防的前提。通过该实验使学生了解网络扫描的内容,通过主机漏洞扫描发现目标主机存在的漏洞,通过端口扫描发现目标主机的开放端口和服务,通过操作系统类型扫描判断目标主机的操作系统类型。
通过该实验,了解网络扫描的作用,掌握主机漏洞扫描、端口扫描、操作系统类型扫描软件的使用的方法,能够通过网络扫描发现对方的信息和是否存在漏洞。要求能够综合使用以上的方法来获取目标主机的信息。
实训要求:
基本要求了解网络扫描的作用,掌握主机漏洞扫描、端口扫描、操作系统类型扫描软件的使用的方法,能够通过网络扫描发现对方的信息和是否存在漏洞,利用WinPcap 驱动接口设计并实现局域网主机的MAC 扫描程序等。提高要求能够进行服务伪装和端口伪装实现扫描欺骗等。
实训步骤:
1) 在网络上建立两台虚拟机,在两台虚拟机上配置两个在同一网段内的IP地址。
2) 把扫描软件X-Scan复制粘贴到一台主机上,当打开该软件时,页面中间会出现该软件
的介绍和使用说明
3) 在软件的工具栏中有“设置”选项,可以进行一系列的配置扫描参数,在坚持范围中可
以添加要指定的IP地址,和全局配置以及插件配置。
13
4) 配置之后,单击确定会进行扫描,而扫描结束之后会出现扫描结果以网页形式打开,在
其中会显示出检测的结果,主机列表,扫描时间和主机分析等。
5)将namp 扫描软件复制到硬盘分区,然后在系统命令提示符下进入nmap 目录,使用命令namp
-h 可以查看nmap 命令的所有参数及描述。要使用namp 必须先安装WinPcap 驱动。
6)使用如下命令扫描目标主机的操作系统:nmap -O 192.168.10.100,扫描结果如下图所示。从中可以看到目标主机的开放端口及操作系统类型。
14
7)、利用扫描软件X-Scan也可以进行口令攻击。我们可以扫描到被扫描主机的用户名和密码。一般配置如上,需要额外的配置是:
8)点击全局配置和扫描模块,双击“SMB用户名字典”,在弹出的对话框中选择文件“nt_user.dic”;双击“SMB密码字典”,在弹出的对话框中选择文件“common_pass_mini.dic”,最后点击“确定”,完成扫描参数的设置。
15
网络安全实训题目 - 图文
