某设备访问控制列表ACL的原理与配置共页课件.ppt

1、学习目标学习目标l理解访问控制列表的基本原理理解访问控制列表的基本原理l掌握标准和扩展访问控制列表的配掌握标准和扩展访问控制列表的配置方法置方法l掌握地址转换的基本原理和配置方掌握地址转换的基本原理和配置方法法学习完本课程，您应该能够：学习完本课程，您应该能够：课程内容课程内容访问控制列表访问控制列表访问控制列表实例访问控制列表实例IPIP包过滤技术介绍包过滤技术介绍l对路由器需要转发的数据包，先获取包头信息，然后和设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表。RInternet公司总部内部网络未授权用户办事处访问控制列表的作用访问控制列表的

2、作用l访问控制列表可以用于防火墙；l访问控制列表可以用于Qos（Quality of Service），对数据流量进行控制；l在DCC中，访问控制列表还可用来规定触发拨号的条件；l访问控制列表还可以用于地址转换；l在配置路由策略时，可以利用访问控制列表来作路由信息的过滤。访问控制列表是什么？访问控制列表是什么？l一个IP数据包如下图所示（图中IP所承载的上层协议为TCP/UDP）：IP报头报头TCP/UDP报头报头数据数据协议号协议号源地址源地址目的地址目的地址源端口源端口目的端口目的端口对于TCP/UDP来说，这5个元素组成了一个TCP/UDP相关，访问控制列表就是利用这些元素定义的规则如何

3、标识访问控制列表？如何标识访问控制列表？l利用数字标识访问控制列表l利用数字范围标识访问控制列表的种类列表的种类列表的种类数字标识的范围数字标识的范围IP standard list199IP extended list100199标准访问控制列表标准访问控制列表l标准访问控制列表只使用源地址描述数据，表明是允许还是拒绝。从202.110.10.0/24来的数据包可以通过！从192.110.10.0/24来的数据包不能通过！路由器标准访问控制列表的配置标准访问控制列表的配置l配置标准访问列表的命令格式如下：acl acl-number match-order auto|config rule

4、normal|special permit|deny source source-addr source-wildcard|any 怎样利用 IP 地址 和 反掩码wildcard-mask 来表示一个网段?如何使用反掩码如何使用反掩码l反掩码和子网掩码相似，但写法不同：0表示需要比较1表示忽略比较l反掩码和IP地址结合使用，可以描述一个地址范围。000255只比较前24位003255只比较前22位0255255255只比较前8位扩展访问控制列表扩展访问控制列表l扩展访问控制列表使用除源地址外更多的信息描述数据包，表明是允许还是拒绝。从202.110.10.0/24来的,到179.100.17

5、.10的，使用TCP协议，利用HTTP访问的数据包可以通过！路由器扩展访问控制列表的配置命令扩展访问控制列表的配置命令l配置TCP/UDP协议的扩展访问列表：rule normal|special permit|deny tcp|udp source source-addr source-wildcard|any source-port operator port1 port2 destination dest-addr dest-wildcard|any destination-port operator port1 port2 loggingl配置ICMP协议的扩展访问列表：rule no

6、rmal|special permit|deny icmp source source-addr source-wildcard|any destination dest-addr dest-wildcard|any icmp-type icmp-type icmp-code loggingl配置其它协议的扩展访问列表：rule normal|special permit|deny ip|ospf|igmp|gre source source-addr source-wildcard|any destination dest-addr dest-wildcard|any logging扩展访问

7、控制列表操作符的含义扩展访问控制列表操作符的含义操作符及语法操作符及语法意义意义equal portnumber等于端口号等于端口号 portnumbergreater-than portnumber大于端口号大于端口号portnumberless-than portnumber小于端口号小于端口号portnumbernot-equal portnumber不等于端口号不等于端口号portnumber rangeportnumber1 portnumber2介于端口号介于端口号portnumber1 和和portnumber2之之间间扩展访问控制列表举例扩展访问控制列表举例10.1.0.0/1

8、6ICMP主机重定向报文lrule deny icmp source 10.1.0.0 0.0.255.255 destination any icmp-type host-redirectlrule deny tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255 destination-port equal www logging129.9.0.0/16TCP报文202.38.160.0/24WWW 端口问题:下面这条访问控制列表表示什么意思?rule deny udp source 129.9.8.0 0.0

9、.0.255 destination 202.38.160.0 0.0.0.255 destination-port greater-than 128如何使用访问控制列表如何使用访问控制列表l防火墙配置常见步骤：启用防火墙定义访问控制列表将访问控制列表应用到接口上Internet公司总部网络启用防火墙将访问控制列表应用到接口上防火墙的属性配置命令防火墙的属性配置命令l打开或者关闭防火墙firewall enable|disable l设置防火墙的缺省过滤模式firewall default permit|deny l显示防火墙的状态信息display firewall在接口上应用访问控制列表在

10、接口上应用访问控制列表l将访问控制列表应用到接口上l指明在接口上是OUT还是IN方向l在接口视图下配置：firewall packet-filter acl-number inbound|outboundEthernet0访问控制列表101作用在Ethernet0接口在out方向有效Serial0访问控制列表3作用在Serial0接口上在in方向上有效基于时间段的包过滤基于时间段的包过滤l“特殊时间段内应用特殊的规则”Internet上班时间（上午8：00 下午5：00）只能访问特定的站点；其余时间可以访问其他站点时间段的配置命令时间段的配置命令ltime range 命令timerange

11、enable|disable lsettr 命令settr begin-time end-time begin-time end-time.undo settrl显示 isintr 命令display isintrl显示 timerange 命令display timerange日志功能的配置命令日志功能的配置命令l日志功能是允许在特定的主机上记录下来防火墙的操作l开启日志系统 info-center enablel配置日志主机地址等相关属性 info-center loghost loghost-number ip-address port l显示日志配置信息。display debuggi

12、ng在华为Quidway路由器上提供了非常丰富的日志功能，详细内容请参考配置手册访问控制列表的组合访问控制列表的组合l一条访问列表可以由多条规则组成,对于这些规则，有两种匹配顺序：auto和config。l规则冲突时，若匹配顺序为auto（深度优先），描述的地址范围越小的规则，将会优先考虑。深度的判断要依靠通配比较位和IP地址结合比较 rule deny 202.38.0.0 0.0.255.255 rule permit 202.38.160.0 0.0.0.255 两条规则结合则表示禁止一个大网段（202.38.0.0）上的主机但允许其中的一小部分主 机（202.38.160.0）的访问。l规则冲突时，若匹配顺序为config，先配置的规则会被优先考虑。