网络规划与组建整套课件完整版电子教案.ppt

5.2 任务二 ACL配置 4. ACL应用位置 ① 标准ACL 由于标准ACL无法指定目的地址，因此在应用ACL时应尽量靠近目的网段，以免“误伤”其它数据包。 ② 扩展ACL 由于扩展ACL更精确，因此在应用ACL时应尽量靠近被拒绝数据包的地方，可以将不必要的数据尽早过滤掉。 5.2 任务二 ACL配置 5. ACL的匹配顺序 （1）Cisco ACL ① 按顺序执行，只要有一条满足，则不会继续查找。 ② 隐含拒绝，如果都不匹配，那么一定匹配最后的隐含拒绝条目，思科默认拒绝。 ③ 任何条件下只给用户能满足他们需求的最小权限。 5.2 任务二 ACL配置 （2）H3C ACL 支持两种匹配顺序： ① 顺序匹配（config）：按照用户配置规则的先后顺序进行规则匹配。 ② 自动排序（auto）：按照“深度优先”的顺序进行规则匹配，即优先考虑地址范围小的规则。 注：在配置华为H3C的ACL时的过程中，一定要注意匹配顺序，默认情况下为顺序匹配（config）。 5.2 任务二 ACL配置 6.通配符掩码 通配符掩码（wildcard-mask）路由器使用的通配符掩码（或反掩码）与源或目标地址一起来分辨匹配的地址范围，它跟子网掩码刚好相反。 通配符掩码＝255－掩码.255－掩码.255－掩码.255－掩码 举例： 求子网掩码48通配符掩码。 通配符掩码＝255－掩码.255－掩码.255－掩码.255－掩码，即： 255-255.255-255.255-255.255-248= 5.2 任务二 ACL配置 5.2.3 任务实施 采用Cisco设备 5.2 任务二 ACL配置 5.2 任务二 ACL配置 （1）标准ACL配置 ① 禁止源地址为/24的数据流访问服务器，该ACL应用在RTB的S0/0入站方向上。 ② 允许/24网络中的PCA访问RTA，其余都不允许，该ACL应用在RTA的S0/0入站方向。 5.2 任务二 ACL配置 （2）扩展ACL配置 ① 只允许源地址为/24的数据流访问服务器的FTP服务，该ACL应用在RTA的S0/0出站方向上。 ② 禁止所有地址对服务器的Ping的请求包，该ACL应用在RTA的E0/0出站方向。 5.2 任务二 ACL配置 5.2.4 任务拓展 采用华为或H3C设备 （1）基本ACL配置 （2）高级ACL配置 5.2 任务二 ACL配置 5.2.5 项目实训 （1）在Cisco设备上完成上述标准和扩展ACL配置。 （2）在H3C设备上完成上述基本和高级ACL配置。 4.5 任务五 VLAN间路由的配置 3.三层交换配置 4.5 任务五 VLAN间路由的配置 4.5.4 任务拓展 1.单臂路由 4.5 任务五 VLAN间路由的配置 4.5.5 项目实训 （1）用一台思科交换机和一台思科路由器组网，在交换上划分3个VLAN，连接路由器后，用传统VLAN间路由的方法实现3个VLAN互通。 （2）用一台思科交换机和一台思科路由器组网，在交换上划分3个VLAN，连接路由器后，用单臂路由的方法实现3个VLAN互通。 （3）在一台思科三层交换机上划分3个VLAN，并利用三层交换实现VLAN间路由。 4.5 任务五 VLAN间路由的配置 4.5.6 作业习题 （1）传统VLAN间路由与单臂路由有什么区别？ （2）实施单臂路由时，VLAN间建立通信必须具有什么要素？ （3）启用第3层交换需要什么条件？ （4）传统VLAN间路由、单臂路由、三层交换机实现VLAN间路由各需要多少个物理接口？ 网络规划与组建 项目五 接入广域网 项目五 接入广域网 本项目主要针对局域网接入广域网进行规划和组建，通过基础知识点的学习以及任务的实施，使学生对于目前比较常用的局域网接入广域网技术有比较清晰的认识，能够掌握具体的管理和配置方法。 5.1 任务一 代理服务器接入Internet 学习目标： 【知识目标】 了解公有地址和私有地址 熟悉代理服务软件 【技能目标】 会搭建代理服务器，并通过代理服务器接入Interent 掌握代理服务软件的安装与配置 5.1 任务一 代理服务器接入Internet 5.1.1 任务陈述 了解公有地址和私有地址的区别，了解代理服务器软件的类型和作用，在服务器上安装配置代理服务器软件（包括网关型代理服务软件sygate、代理型代理服务软件CCProxy），使内网主机能够通过代理服务器方便接入Internet。 5.1 任务一 代理服务器接入Internet 5.1.2 知识准备 1.公有地址和私有地址 （1）公有地址 公有地址（Public address）由Inter NIC（Internet Ne