华为设备访问控制列表ACL的原理与配置

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,访问控制列表,网络设备及高级应用技术课程组制作,学习目标,理解访问控制列表的基本原理,掌握标准和扩展访问控制列表的配置方法,掌握地址转换的基本原理和配置方法,学习完本课程，您应该能够：,课程内容,访问控制列表,访问控制列表实例,IP包过滤技术介绍,对路由器需要转发的数据包，先获取包头信息，然后和设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表。,Internet,公司总部,内部网络,未授权用户,办事处,访问控制列表的作用,访问控制列表可以用于防火墙；,访问控制列表可以用于Qos（Quality of Service），对数据流量进行控制；,在DCC中，访问控制列表还可用来规定触发拨号的条件；,访问控制列表还可以用于地址转换；,在配置路由策略时，可以利用访问控制列表来作路由信息的过滤。,访问控制列表是什么？,一个IP数据包如下图所示（图中IP所承载的上层协议为TCP/UDP）：,IP报头,TCP/UDP报头,数据,协议号,源地址,目的地址,源端口,目的端口,对于TCP/UDP来说，这5个元素组成了一个TCP/UDP相关，访问控制列表就是利用这些元素定义的规则,如何标识访问控制列表？,利用数字标识访问控制列表,利用数字范围标识访问控制列表的种类,列表的种类,数字标识的范围,IP standard list,199,IP extended list,100199,标准访问控制列表,标准访问控制列表只使用源地址描述数据，表明是允许还是拒绝。,从202.110.10.0/24来的数据包可以通过！,从192.110.10.0/24来的数据包不能通过！,路由器,标准访问控制列表的配置,配置标准访问列表的命令格式如下：,acl,acl-number,match-order,auto,|,config,rule,normal,|,special,permit,|,deny,source,source-addr source-wildcard,|,any,怎样利用,IP 地址,和,反掩码wildcard-mask,来表示,一个网段?,如何使用反掩码,反掩码和子网掩码相似，但写法不同：,0,表示需要比较,1,表示忽略比较,反掩码和IP地址结合使用，可以描述一个地址范围。,0,0,0,255,只比较前24位,0,0,3,255,只比较前22位,0,255,255,255,只比较前8位,扩展访问控制列表,扩展访问控制列表使用除源地址外更多的信息描述数据包，表明是允许还是拒绝。,从202.110.10.0/24来的,到179.100.17.10的，,使用TCP协议，,利用HTTP访问的,数据包可以通过！,路由器,扩展访问控制列表的配置命令,配置TCP/UDP协议的扩展访问列表：,rule normal|special permit|deny tcp|udp source,source-addr source-wildcard,|any source-port,operator port1,port2,destination,dest-addr dest-wildcard,|any destination-port,operator port1,port2,logging,配置ICMP协议的扩展访问列表：,rule normal|special permit|deny icmp source,source-addr source-wildcard,|any destination,dest-addr dest-wildcard,|any icmp-type,icmp-type icmp-code,logging,配置其它协议的扩展访问列表：,rule normal|special permit|deny ip|ospf|igmp|gre source,source-addr source-wildcard,|any destination,dest-addr dest-wildcard,|any logging,扩展访问控制列表操作符的含义,操作符及语法,意义,equal,portnumber,等于端口号 portnumber,greater-than portnumber,大于端口号portnumber,less-than portnumber,小于端口号portnumber,not-equal portnumber,不等于端口号portnumber,range,portnumber1 portnumber2,介于端口号portnumber1,和portnumber2之间,扩展访问控制列表举例,10.1.0.0/16,ICMP主机重定向报文,rule deny icmp source 10.1.0.0 0.0.255.255 destination any icmp-type host-redirect,rule deny tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255 destination-port equal www logging,TCP报文,WWW 端口,问题:下面这条访问控制列表表示什么意思?,rule deny udp source 129.9.8.0 0.0.0.255 destination 202.38.160.0 0.0.0.255,destination-port greater-than 128,如何使用访问控制列表,防火墙配置常见步骤：,启用防火墙,定义访问控制列表,将访问控制列表应用到接口上,Internet,公司总部网络,启用防火墙,将访问控制列表应用到接口上,防火墙的属性配置命令,打开或者关闭防火墙,firewall enable|disable,设置防火墙的缺省过滤模式,firewall default permit|deny,显示防火墙的状态信息,display firewall,在接口上应用访问控制列表,将访问控制列表应用到接口上,指明在接口上是OUT还是IN方向,在接口视图下配置：,firewall packet-filter,acl-number,inbound|outbound,Ethernet0,访问控制列表101,作用在Ethernet0接口,在out方向有效,Serial0,访问控制列表3,作用在Serial0接口上,在in方向上有效,基于时间段的包过滤,“特殊时间段内应用特殊的规则”,Internet,上班时间,（上午8：00 下午5：00）,只能访问特定的站点；其余,时间可以访问其他站点,时间段的配置命令,time range 命令,timerange enable|disable,settr 命令,settr,begin-time end-time,begin-time end-time,.,undo settr,显示 isintr 命令,display isintr,显示 timerange 命令,display timerange,日志功能的配置命令,日志功能是允许在特定的主机上记录下来防火墙的操作,开启日志系统,info-center enable,配置日志主机地址等相关属性,info-center loghost,loghost-number ip-address port,显示日志配置信息。,display debugging,在华为Quidway路由器上提供了非常丰富的日志功能，,详细内容请参考配置手册,访问控制列表的组合,一条访问列表可以由多条规则组成,对于这些规则，有两种匹配顺序：,auto,和,config,。,规则冲突时，若匹配顺序为,auto（深度优先）,，描述的地址范围越小的规则，将会优先考虑。,深度的判断要依靠通配比较位和IP地址结合比较,rule deny 202.38.0.0 0.0.255.255,rule permit 202.38.160.0 0.0.0.255,两条规则结合则表示禁止一个大网段（）上的主机但允许其中的一小部分主 机（）的访问。,规则冲突时，若匹配顺序为,config,，先配置的规则会被优先考虑。,