任务描述

        某公司构建了互联互通的办公网。北京总部的网络核心使用一台三层路由器设备连接不同子网，构建企业办公网络。通过三层技术一方面实现办公网络互联互通，另一方面把办公网接入Internet网络。   公司在天津设有一分公司，使用三层设备的专线技术，借助Internet和总部网络实现连通。由于天津分公司网络安全措施不严密，公司规定：天津分公司的销售部访问禁止总公司的FTP服务器资源，允许销售部和技术部访问总公司的Web等公开信息资源，而除此之外对服务器的其他访问均被限制，来达到保护服务器和数据安全的目的。

任务要求

（1）使用高级ACL限制服务器端口防攻击，网络拓扑图如图

（2）路由器的端口IP地址设置如表

（3）计算机的IP地址、子网掩码和默认网关如表

（4）使用静态路由实现全网互通。

（5）配置高级访问控制列表，禁止天津分公司的销售部访问总公司的FTP服务器资源，允许天津分公司的销售部和技术部访问总公司的Web等公开信息资源，而除此之外对服务器的其他访问均被限制。

知识准备

       高级ACL可以根据IP报文的源IP地址、IP报文的目的IP地址、IP报文的协议字段的值、IP报文的优先级的值、IP报文的长度值、TCP报文的源端口号、TCP 报文的目的端口号、UDP报文的源端口号、UDP报文的目的端口号等信息来定义规则。基本ACL的功能只是高级ACL功能的一个子集，高级ACL可定义出更精准、更复杂、更灵活的规则。   高级ACL中规则的配置比基本ACL中规则的配置复杂得多，且配置命令的格式也会因IP报文的载荷数据类型的不同而不同。例如，针对ICMP报文、TCP报文、UDP报文等不同类型的报文，其相应的配置命令的格式也是不同的。高级ACL的编号范围为3000～3999。

任务实施

据如图所示的网络拓扑图，连线全部使用直通线、开启所有设备电源和为每一台计算机设置好相应的IP地址、子网掩码和默认网关。

路由器R1基本配置

路由器R2的基本配置。

配置静态路由实现全网互通。

（1）在路由器R1上配置。

（2）在路由器R2上配置。

配置高级访问控制列表。

查看访问控制列表信息。

应用访问控制列表在端口上。

配置Server1服务器的FtpServer和HttpServer。

（1）配置FtpServer服务器。 在Server1上单击鼠标右键，在弹出的快捷菜单中选择“服务器信息”选项，打开设置对话框选择“FtpServer”中的“配置”，进行文件根目录的添加，这里选择“C:\”，最后选择“启动”按钮，如图

（2）配置HttpServer服务器。 在Server1上单击鼠标右键，在弹出的快捷菜单中选择“服务器信息”选项，打开设置对话框选择“HttpServer”中的“配置”，进行文件根目录的添加，这里选择“C:\Http\index.htm”（需提前创建好），最后选择“启动”按钮，如图所示。

任务验收

在销售部Sales上访问Web服务器是可以正常访问的，如图

在销售部Sales上测试FTP是无法常访问的，如图

查看访问控制列表的应用状态。

任务小结

（1）高级访问控制列表要应用在尽量靠近源地址的端口。

（2）要注意允许某个网段后，要拒绝其他网段。

（3）对FTP而言，必须制定ftp（21）和ftp-data（20）。