10 元
下载资源

访问控制列表(华为)

上传人:熏** 文档编号:243733492 上传时间:2024-09-29 格式:PPT 页数:34 大小:983KB
返回 下载 相关 举报
访问控制列表(华为)_第1页
第1页 / 共34页
访问控制列表(华为)_第2页
第2页 / 共34页
访问控制列表(华为)_第3页
第3页 / 共34页
点击查看更多>>
资源描述
单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,访问控制列表和地址转换,学习目标,理解访问控制列表的基本原理,掌握标准和扩展访问控制列表的配置方法,掌握地址转换的基本原理和配置方法,学习完本课程,您应该能够:,IP,包过滤技术介绍,对路由器需要转发的数据包,先获取包头信息,然后和设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表。,Internet,公司总部,内部网络,未授权用户,办事处,访问控制列表的作用,访问控制列表可以用于防火墙;,访问控制列表可用于,Qos,(,Quality of Service,),对数据流量进行控制;,在,DDR,中,访问控制列表还可用来规定触发拨号的条件;,访问控制列表还可以用于地址转换;,在配置路由策略时,可以利用访问控制列表来作路由信息的过滤。,访问控制列表是什么?,一个,IP,数据包如下图所示(图中,IP,所承载的上层协议为,TCP,):,IP,报头,TCP,报头,数据,协议号,源地址,目的地址,源端口,目的端口,对于,TCP,来说,这,5,个元素组成了一个,TCP,相关,访问控制列表就是利用这些元素定义的规则,如何标识访问控制列表?,利用数字标识访问控制列表,利用数字范围标识访问控制列表的种类,列表的种类,数字标识的范围,IP standard list,1,99,IP extended list,100,199,标准访问控制列表,标准访问控制列表只使用源地址描述数据,表明是允许还是拒绝。,从,202.110.10.0/24,来的数据包可以通过!,从,192.110.10.0/24,来的数据包不能通过!,路由器,标准访问控制列表的配置,配置标准访问列表的命令格式如下:,acl,acl,-number,match-order,config,|,auto,rule,normal,|,special,permit,|,deny, ,source,source-,addr,source-wildcard,|,any,怎样利用,IP,地址,和,反掩码,wildcard-mask,来表示,一个网段,?,如何使用反掩码,反掩码和子网掩码相似,但写法不同:,0,表示需要比较,1,表示忽略比较,反掩码和,IP,地址结合使用,可以描述一个地址范围。,0,0,0,255,只比较前,24,位,0,0,3,255,只比较前,22,位,0,255,255,255,只比较前,8,位,扩展访问控制列表,扩展访问控制列表使用除源地址外更多的信息描述数据包,表明是允许还是拒绝。,从,202.110.10.0/24,来的,到,179.100.17.10,的,,使用,TCP,协议,,利用,HTTP,访问的,数据包可以通过!,路由器,扩展访问控制列表的配置命令,配置,TCP/UDP,协议的扩展访问列表:,rule normal | special permit | deny ,tcp,|,udp, source,source-,addr,source-wildcard,| any source-port,operator port1,port2, destination,dest-addr,dest,- wildcard,| any destination-port,operator port1,port2, logging,配置,ICMP,协议的扩展访问列表:,rule normal | special permit | deny ,icmp,source,source-,addr,source-wildcard,| any destination,dest-addr,dest,- wildcard,| any ,icmp,-type,icmp,-type,icmp,-code, logging,配置其它协议的扩展访问列表:,rule normal | special permit | deny ,ip,|,ospf,|,igmp,|,gre, source,source-,addr,source-wildcard,| any destination,dest-addr,dest,- wildcard,| any logging,扩展访问控制列表操作符的含义,操作符及语法,意义,equal,portnumber,等于端口号,portnumber,greater-than,portnumber,大于端口号,portnumber,less-than,portnumber,小于端口号,portnumber,not-equal,portnumber,不等于端口号,portnumber,range,portnumber1 portnumber2,介于端口号,portnumber1,和,portnumber2,之间,扩展访问控制列表举例,10.1.0.0/16,ICMP,主机重定向报文,rule deny,icmp,source 10.1.0.0 0.0.255.255 destination any,icmp,-type host-redirect,rule deny,tcp,source 129.9.0.0 0.0.255.255 202.38.160.0 0.0.0.255 equal www logging,129.9.0.0/16,TCP,报文,202.38.160.0/24,WWW,端口,问题,:,下面这条访问控制列表表示什么意思,?,rule deny,udp,source 129.9.8.0 0.0.0.255 202.38.160.0 0.0.0.255 great-than 128,如何使用访问控制列表,按照实际需求可以扩展以下应用:,设置防火墙的缺省过滤模式,允许或禁止时间段过滤,设定特殊时间段,指定日志主机,Internet,公司总部网络,启用防火墙,将访问控制列表应用到接口上,防火墙的属性配置命令,打开或者关闭防火墙,firewall enable | disable ,设置防火墙的缺省过滤模式,firewall default ,permit|deny,显示防火墙的状态信息,display firewall,在接口上应用访问控制列表,将访问控制列表应用到接口上,指明在接口上是,OUT,还是,IN,方向,Ethernet0,访问控制列表,101,作用在,Ethernet0,接口,在,out,方向有效,Serial0,访问控制列表,3,作用在,Serial0,接口上,在,in,方向上有效,基于时间段的包过滤,“,特殊时间段内应用特殊的规则”,Internet,上班时间,(上午,8,:,00, 下午,5,:,00,),只能访问特定的站点;其余,时间可以访问其他站点,时间段的配置命令,time range,命令,timerange,enable|disable,undo,settr,命令,settr,begin-time end-time begin-time end-time . ,undo,settr,显示,isintr,命令,display,isintr,显示,timerange,命令,display,timerange,日志功能的配置命令,日志功能是允许在特定的主机上记录下来防火墙的操作:,“,info-center enable,”,命令用于开启日志系统。,“,info-center,loghost,”,命令用于配置日志主机地址等相关属性。,“,display debugging,”,命令用于显示日志配置信息。,访问控制列表的组合,一条访问列表可以由多条规则组成,对于这些规则,有两种匹配顺序:,auto,和,config,。,规则冲突时,若匹配顺序为,auto,(深度优先),,描述的地址范围越小的规则,将会优先考虑。,深度的判断要依靠通配比较位和,IP,地址结合比较,access-list 4 deny 202.38.0.0 0.0.255.255,access-list 4 permit 202.38.160.1 0.0.0.255,两条规则结合则表示禁止一个大网段 (,202.38.0.0,)上的主机但允许其中的一小部分主 机(,202.38.160.0,)的访问。,规则冲突时,若匹配顺序为,config,,先配置的规则会被优先考虑。,地址转换的提出背景,地址转换是在,IP,地址日益短缺的情况下提出的。,一个局域网内部有很多台主机,可是不能保证每台主机都拥有合法的,IP,地址,为了到达所有的内部主机都可以连接,Internet,网络的目的,可以使用地址转换。,地址转换技术可以有效的隐藏内部局域网中的主机,因此同时是一种有效的网络安全保护技术。,同时地址转换可以按照用户的需要,在内部局域网内部提供给外部,FTP,、,WWW,、,Telnet,服务。,私有地址和公有地址,Internet,192.168.0.1,192.168.0.2,192.168.0.1,LAN1,LAN2,LAN3,私有地址范围:,10.0.0.0 - 10.255.255.255,172.16.0.0 - 172.31.255.255,192.168.0.0 - 192.168.255.255,地址转换的原理,Internet,局域网,PC2,PC1,IP:192.168.0.1,Port:3000,IP,报文,IP:202.0.0.1,Port:4000,IP:192.168.0.2,Port:3010,IP:202.0.0.1,Port:4001,地址转换,利用,ACL,控制地址转换,可以使用访问控制列表来决定那些主机可以访问,Internet,,那些不能。,Internet,局域网,PC2,PC1,设置访问控制列表控制,pc1,可以通过地址转换访问,Internet,而,pc2,则不行。,Easy IP,特性,Easy IP,:在地址转换的过程中直接使用接口的,IP,地址作为转换后的源地址。,Internet,局域网,PC2,PC1,PC1,和,PC2,可以直接使用,S0,接口的,IP,地址作为地址转换后的公用,IP,地址,S0:202.0.0.1,使用地址池进行地址转换,地址池用来动态、透明的为内部网络的用户分配地址。它是一些连续的,IP,地址集合,利用不超过,32,字节的字符串标识。,地址池可以支持更多的局域网用户同时上,Internet,。,Internet,局域网,PC2,PC1,202.38.160.1,202.38.160.2,202.38.160.3,202.38.160.4,地址池,内部服务器的应用,Internet,内部服务器,外部用户,E0,Serial 0,内部地址,:10.0.1.1,内部端口,:80,外部地址,:202.38.160.1,外部端口,:80,IP:202.39.2.3,配置地址转换,:,IP,地址,:,10.0.1.1202.38.160.1,端口,:,8080,允许外部用户访问,内部服务器,地址转换的缺点,地址转换对于报文内容中含有有用的地址信息的情况很难处理。,地址转换不能处理,IP,报头加密的情况。,地址转换由于隐藏了内部主机地址,有时候会使网络调试变得复杂。,地址转换的配置任务列表,定义一个访问控制列表,规定什么样的主机可以访问,Internet,。,采用,EASY IP,或地址池方式提供公有地址。,根据选择的方式(地址池方式还是,easy,ip,方式),在连接,Internet,接口上允许地址转换。,根据局域网的需要,定义合适的内部服务器。,NAT,的监控与维护,显示地址转换配置,display,nat,设置地址转换连接有效时间,nat,aging-time ,tcp,|,udp,|,icmp, time-value,nat,aging-time default,清除地址转换连接,nat,reset,典型访问列表和地址转换综合应用配置案例,Internet,FTP,服务器,129.38.1.1,Telnet,服务器,129.38.1.2,WWW,服务器,129.38.1.3,公司内部局域网,129.38.1.5,129.38.1.4,202.38.160.1,特定的外部用户,配置步骤,按照实际情况具有以下几个步骤:,允许,/,禁止防火墙(,Quidway,系列路由器默认是禁止防火墙功能),定义扩展的访问控制列表,在接口上应用访问控制列表,在接口上利用访问控制列表定义地址转换,配置内部服务器的地址映射关系,本章总结,包过滤技术的基本规则和原理,标准和扩展访问控制列表的配置方法,访问控制列表用于防火墙,地址转换的基本概念和规则,地址转换的配置方法,谢谢大家!,
展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 图纸专区 > 小学资料


copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!