《华为设备-访问控制列表-ACL的原理与配置》由会员分享,可在线阅读,更多相关《华为设备-访问控制列表-ACL的原理与配置(21页珍藏版)》请在金锄头文库上搜索。
1、访问控制列表 网络设备及高级应用技术课程组制作 学习目标 理解访问控制列表的基本原理掌握标准和扩展访问控制列表的配置方法掌握地址转换的基本原理和配置方法 学习完本课程 您应该能够 课程内容 访问控制列表访问控制列表实例 IP包过滤技术介绍 对路由器需要转发的数据包 先获取包头信息 然后和设定的规则进行比较 根据比较的结果对数据包进行转发或者丢弃 而实现包过滤的核心技术是访问控制列表 Internet 公司总部 内部网络 未授权用户 办事处 访问控制列表的作用 访问控制列表可以用于防火墙 访问控制列表可以用于Qos QualityofService 对数据流量进行控制 在DCC中 访问控制列表还
2、可用来规定触发拨号的条件 访问控制列表还可以用于地址转换 在配置路由策略时 可以利用访问控制列表来作路由信息的过滤 访问控制列表是什么 一个IP数据包如下图所示 图中IP所承载的上层协议为TCP UDP 如何标识访问控制列表 利用数字标识访问控制列表利用数字范围标识访问控制列表的种类 标准访问控制列表 标准访问控制列表只使用源地址描述数据 表明是允许还是拒绝 标准访问控制列表的配置 配置标准访问列表的命令格式如下 aclacl number match orderauto config rule normal special permit deny sourcesource addrsourc
3、e wildcard any 怎样利用IP地址和反掩码wildcard mask来表示一个网段 如何使用反掩码 反掩码和子网掩码相似 但写法不同 0表示需要比较1表示忽略比较反掩码和IP地址结合使用 可以描述一个地址范围 扩展访问控制列表 扩展访问控制列表使用除源地址外更多的信息描述数据包 表明是允许还是拒绝 路由器 扩展访问控制列表的配置命令 配置TCP UDP协议的扩展访问列表 rule normal special permit deny tcp udp sourcesource addrsource wildcard any source portoperatorport1 port2
4、 destinationdest addrdest wildcard any destination portoperatorport1 port2 logging 配置ICMP协议的扩展访问列表 rule normal special permit deny icmp sourcesource addrsource wildcard any destinationdest addrdest wildcard any icmp typeicmp typeicmp code logging 配置其它协议的扩展访问列表 rule normal special permit deny ip ospf
5、 igmp gre sourcesource addrsource wildcard any destinationdest addrdest wildcard any logging 扩展访问控制列表操作符的含义 扩展访问控制列表举例 ruledenyicmpsource10 1 0 00 0 255 255destinationanyicmp typehost redirect ruledenytcpsource129 9 0 00 0 255 255destination202 38 160 00 0 0 255destination portequalwwwlogging 129 9
6、0 0 16 TCP报文 202 38 160 0 24 WWW端口 问题 下面这条访问控制列表表示什么意思 ruledenyudpsource129 9 8 00 0 0 255destination202 38 160 00 0 0 255destination portgreater than128 如何使用访问控制列表 防火墙配置常见步骤 启用防火墙定义访问控制列表将访问控制列表应用到接口上 Internet 公司总部网络 启用防火墙 将访问控制列表应用到接口上 防火墙的属性配置命令 打开或者关闭防火墙firewall enable disable 设置防火墙的缺省过滤模式firewa
7、lldefault permit deny 显示防火墙的状态信息displayfirewall 在接口上应用访问控制列表 将访问控制列表应用到接口上指明在接口上是OUT还是IN方向在接口视图下配置 firewallpacket filteracl number inbound outbound Ethernet0 Serial0 基于时间段的包过滤 特殊时间段内应用特殊的规则 Internet 上班时间 上午8 00 下午5 00 只能访问特定的站点 其余时间可以访问其他站点 时间段的配置命令 timerange命令timerange enable disable settr命令settrbe
8、gin timeend time begin timeend time undosettr显示isintr命令displayisintr显示timerange命令displaytimerange 日志功能的配置命令 日志功能是允许在特定的主机上记录下来防火墙的操作开启日志系统info centerenable配置日志主机地址等相关属性info centerloghostloghost numberip addressport 显示日志配置信息 displaydebugging 在华为Quidway路由器上提供了非常丰富的日志功能 详细内容请参考配置手册 访问控制列表的组合 一条访问列表可以由多条规则组成 对于这些规则 有两种匹配顺序 auto和config 规则冲突时 若匹配顺序为auto 深度优先 描述的地址范围越小的规则 将会优先考虑 深度的判断要依靠通配比较位和IP地址结合比较ruledeny202 38 0 00 0 255 255rulepermit202 38 160 00 0 0 255两条规则结合则表示禁止一个大网段 202 38 0 0 上的主机但允许其中的一小部分主机 202 38 160 0 的访问 规则冲突时 若匹配顺序为config 先配置的规则会被优先考虑
