华为设备-访问控制列表-ACL的原理与配置.ppt

1、单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,访问控制列表,网络设备及高级应用技术课程组制作,学习目标,理解访问控制列表的基本原理,掌握标准和扩展访问控制列表的配置方法,掌握地址转换的基本原理和配置方法,学习完本课程，您应该能够：,课程内容,访问控制列表,访问控制列表实例,IP,包过滤技术介绍,对路由器需要转发的数据包，先获取包头信息，然后和设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表。,Internet,公司总部,内部网络,未授权用户,办事处,访问控制列表的作用,访问控制列表可以用于防火墙；,访问控制列

2、表可以用于,Qos,（,Quality of Service,），对数据流量进行控制；,在,DCC,中，访问控制列表还可用来规定触发拨号的条件；,访问控制列表还可以用于地址转换；,在配置路由策略时，可以利用访问控制列表来作路由信息的过滤。,访问控制列表是什么？,一个,IP,数据包如下图所示（图中,IP,所承载的上层协议为,TCP/UDP,）：,IP,报头,TCP/UDP,报头,数据,协议号,源地址,目的地址,源端口,目的端口,对于,TCP/UDP,来说，这,5,个元素组成了一个,TCP/UDP,相关，访问控制列表就是利用这些元素定义的规则,如何标识访问控制列表？,利用数字标识访问控制列表,利用

3、数字范围标识访问控制列表的种类,列表的种类,数字标识的范围,IP standard list,1,99,IP extended list,100,199,标准访问控制列表,标准访问控制列表只使用源地址描述数据，表明是允许还是拒绝。,从,202.110.10.0/24,来的数据包可以通过！,从,192.110.10.0/24,来的数据包不能通过！,路由器,标准访问控制列表的配置,配置标准访问列表的命令格式如下：,acl,acl,-number,match-order,auto,|,config,rule,normal,|,special,permit,|,deny,source,source-,

4、addr,source-wildcard,|,any,怎样利用,IP,地址,和,反掩码,wildcard-mask,来表示,一个网段,?,如何使用反掩码,反掩码和子网掩码相似，但写法不同：,0,表示需要比较,1,表示忽略比较,反掩码和,IP,地址结合使用，可以描述一个地址范围。,0,0,0,255,只比较前,24,位,0,0,3,255,只比较前,22,位,0,255,255,255,只比较前,8,位,扩展访问控制列表,扩展访问控制列表使用除源地址外更多的信息描述数据包，表明是允许还是拒绝。,从,202.110.10.0/24,来的,到,179.100.17.10,的，,使用,TCP,协议，,

5、利用,HTTP,访问的,数据包可以通过！,路由器,扩展访问控制列表的配置命令,配置,TCP/UDP,协议的扩展访问列表：,rule normal|special permit|deny ,tcp,|,udp,source,source-,addr,source-wildcard,|any source-port,operator port1,port2,destination,dest-addr,dest,-wildcard,|any destination-port,operator port1,port2,logging,配置,ICMP,协议的扩展访问列表：,rule normal|spe

6、cial permit|deny,icmp,source,source-,addr,source-wildcard,|any destination,dest-addr,dest,-wildcard,|any ,icmp,-type,icmp,-type,icmp,-code,logging,配置其它协议的扩展访问列表：,rule normal|special permit|deny ,ip,|,ospf,|,igmp,|,gre,source,source-,addr,source-wildcard,|any destination,dest-addr,dest,-wildcard,|any

7、 logging,扩展访问控制列表操作符的含义,操作符及语法,意义,equal,portnumber,等于端口号,portnumber,greater-than,portnumber,大于端口号,portnumber,less-than,portnumber,小于端口号,portnumber,not-equal,portnumber,不等于端口号,portnumber,range,portnumber1 portnumber2,介于端口号,portnumber1,和,portnumber2,之间,扩展访问控制列表举例,10.1.0.0/16,ICMP,主机重定向报文,rule deny,icm

8、p,source 10.1.0.0 0.0.255.255 destination any,icmp,-type host-redirect,rule deny,tcp,source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255 destination-port equal www logging,129.9.0.0/16,TCP,报文,202.38.160.0/24,WWW,端口,问题,:,下面这条访问控制列表表示什么意思,?,rule deny,udp,source 129.9.8.0 0.0.0.255 destinat

9、ion 202.38.160.0 0.0.0.255,destination-port greater-than 128,如何使用访问控制列表,防火墙配置常见步骤：,启用防火墙,定义访问控制列表,将访问控制列表应用到接口上,Internet,公司总部网络,启用防火墙,将访问控制列表应用到接口上,防火墙的属性配置命令,打开或者关闭防火墙,firewall enable|disable,设置防火墙的缺省过滤模式,firewall default,permit|deny,显示防火墙的状态信息,display firewall,在接口上应用访问控制列表,将访问控制列表应用到接口上,指明在接口上是,OU

10、T,还是,IN,方向,在接口视图下配置：,firewall packet-filter,acl,-number,inbound|outbound,Ethernet0,访问控制列表,101,作用在,Ethernet0,接口,在,out,方向有效,Serial0,访问控制列表,3,作用在,Serial0,接口上,在,in,方向上有效,基于时间段的包过滤,“,特殊时间段内应用特殊的规则”,Internet,上班时间,（上午,8,：,00,下午,5,：,00,）,只能访问特定的站点；其余,时间可以访问其他站点,时间段的配置命令,time range,命令,timerange,enable|disabl

11、e,settr,命令,settr,begin-time end-time,begin-time end-time,.,undo,settr,显示,isintr,命令,display,isintr,显示,timerange,命令,display,timerange,日志功能的配置命令,日志功能是允许在特定的主机上记录下来防火墙的操作,开启日志系统,info-center enable,配置日志主机地址等相关属性,info-center,loghost,loghost,-number,ip,-address port,显示日志配置信息。,display debugging,在华为,Quidway,

12、路由器上提供了非常丰富的日志功能，,详细内容请参考配置手册,访问控制列表的组合,一条访问列表可以由多条规则组成,对于这些规则，有两种匹配顺序：,auto,和,config,。,规则冲突时，若匹配顺序为,auto,（深度优先）,，描述的地址范围越小的规则，将会优先考虑。,深度的判断要依靠通配比较位和,IP,地址结合比较,rule deny 202.38.0.0 0.0.255.255,rule permit 202.38.160.0 0.0.0.255,两条规则结合则表示禁止一个大网段（,202.38.0.0,）上的主机但允许其中的一小部分主 机（,202.38.160.0,）的访问。,规则冲突时，若匹配顺序为,config,，先配置的规则会被优先考虑。,