訪問控制列表(華為)

1、訪問控制列表和地址轉(zhuǎn)換訪問控制列表和地址轉(zhuǎn)換學(xué)習(xí)目標(biāo)理解訪問控制列表的基本原理理解訪問控制列表的基本原理掌握標(biāo)準(zhǔn)和擴(kuò)展訪問控制列表的配掌握標(biāo)準(zhǔn)和擴(kuò)展訪問控制列表的配置方法置方法掌握地址轉(zhuǎn)換的基本原理和配置方掌握地址轉(zhuǎn)換的基本原理和配置方法法學(xué)習(xí)完本課程，您應(yīng)該能夠：學(xué)習(xí)完本課程，您應(yīng)該能夠：IP包過濾技術(shù)介紹 對路由器需要轉(zhuǎn)發(fā)的數(shù)據(jù)包，先獲取包頭信息，然后和設(shè)定的規(guī)則進(jìn)行比較，根據(jù)比較的結(jié)果對數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)或者丟棄。而實現(xiàn)包過濾的核心技術(shù)是訪問控制列表。RInternet公司總部內(nèi)部網(wǎng)絡(luò)未授權(quán)用戶辦事處訪問控制列表的作用 訪問控制列表可以用于防火墻； 訪問控制列表可用于Qos（Quality

2、of Service），對數(shù)據(jù)流量進(jìn)行控制； 在DDR中，訪問控制列表還可用來規(guī)定觸發(fā)撥號的條件； 訪問控制列表還可以用于地址轉(zhuǎn)換； 在配置路由策略時，可以利用訪問控制列表來作路由信息的過濾。訪問控制列表是什么？一個IP數(shù)據(jù)包如下圖所示（圖中IP所承載的上層協(xié)議為TCP）：IP報頭報頭TCP報頭報頭數(shù)據(jù)數(shù)據(jù)協(xié)議號協(xié)議號源地址源地址目的地址目的地址源端口源端口目的端口目的端口對于TCP來說，這5個元素組成了一個TCP相關(guān)，訪問控制列表就是利用這些元素定義的規(guī)則如何標(biāo)識訪問控制列表？ 利用數(shù)字標(biāo)識訪問控制列表 利用數(shù)字范圍標(biāo)識訪問控制列表的種類列表的種類列表的種類數(shù)字標(biāo)識的范圍數(shù)字標(biāo)識的范圍IP

3、standard list199IP extended list100199標(biāo)準(zhǔn)訪問控制列表 標(biāo)準(zhǔn)訪問控制列表只使用源地址描述數(shù)據(jù)，表明是允許還是拒絕。從/24來的數(shù)據(jù)包可以通過！從/24來的數(shù)據(jù)包不能通過！路由器標(biāo)準(zhǔn)訪問控制列表的配置 配置標(biāo)準(zhǔn)訪問列表的命令格式如下： acl acl-number match-order config | auto rule normal | special permit | deny source source-addr source-wildcard | any 怎樣利用 IP 地址 和 反掩碼wildca

4、rd-mask 來表示一個網(wǎng)段?如何使用反掩碼 反掩碼和子網(wǎng)掩碼相似，但寫法不同： 0表示需要比較 1表示忽略比較 反掩碼和IP地址結(jié)合使用，可以描述一個地址范圍。000255只比較前24位003255只比較前22位0255255255只比較前8位擴(kuò)展訪問控制列表 擴(kuò)展訪問控制列表使用除源地址外更多的信息描述數(shù)據(jù)包，表明是允許還是拒絕。從/24來的,到0的，使用TCP協(xié)議，利用HTTP訪問的數(shù)據(jù)包可以通過！路由器擴(kuò)展訪問控制列表的配置命令配置TCP/UDP協(xié)議的擴(kuò)展訪問列表：rule normal | special permit | deny

5、tcp | udp source source-addr source-wildcard | any source-port operator port1 port2 destination dest-addr dest- wildcard | any destination-port operator port1 port2 logging配置ICMP協(xié)議的擴(kuò)展訪問列表：rule normal | special permit | deny icmp source source-addr source-wildcard | any destination dest-addr dest- wi

6、ldcard | any icmp-type icmp-type icmp-code logging配置其它協(xié)議的擴(kuò)展訪問列表：rule normal | special permit | deny ip | ospf | igmp | gre source source-addr source-wildcard | any destination dest-addr dest- wildcard | any logging擴(kuò)展訪問控制列表操作符的含義擴(kuò)展訪問控制列表操作符的含義操作符及語法操作符及語法意義意義equal portnumber等于端口號等于端口號 portnumbergreat

7、er-than portnumber大于端口號大于端口號portnumberless-than portnumber小于端口號小于端口號portnumbernot-equal portnumber不等于端口號不等于端口號portnumber rangeportnumber1 portnumber2介于端口號介于端口號portnumber1 和和portnumber2之之間間擴(kuò)展訪問控制列表舉例擴(kuò)展訪問控制列表舉例/16ICMP主機(jī)重定向報文rule deny icmp source 55 destination any icmp-type h

8、ost-redirectlrule deny tcp source 55 55 equal www logging/16TCP報文/24WWW 端口問題: 下面這條訪問控制列表表示什么意思?rule deny udp source 55 55 great-than 128如何使用訪問控制列表如何使用訪問控制列表按照實際需求可以擴(kuò)展以下應(yīng)用： 設(shè)置防火墻的缺省過濾模式 允許或禁止時間段過濾 設(shè)定特殊時間段

9、 指定日志主機(jī)Internet公司總部網(wǎng)絡(luò)啟用防火墻將訪問控制列表應(yīng)用到接口上防火墻的屬性配置命令 打開或者關(guān)閉防火墻 firewall enable | disable 設(shè)置防火墻的缺省過濾模式 firewall default permit|deny 顯示防火墻的狀態(tài)信息 display firewall在接口上應(yīng)用訪問控制列表 將訪問控制列表應(yīng)用到接口上 指明在接口上是OUT還是IN方向Ethernet0訪問控制列表101作用在Ethernet0接口在out方向有效Serial0訪問控制列表3作用在Serial0接口上在in方向上有效基于時間段的包過濾 “特殊時間段內(nèi)應(yīng)用特殊的規(guī)則”In

10、ternet上班時間（上午8：00 下午5：00）只能訪問特定的站點；其余時間可以訪問其他站點時間段的配置命令 time range 命令 timerange enable|disable undo settr 命令 settr begin-time end-time begin-time end-time . undo settr 顯示 isintr 命令 display isintr 顯示 timerange 命令 display timerange日志功能的配置命令 日志功能是允許在特定的主機(jī)上記錄下來防火墻的操作： “info-center enable”命令用于開啟日志系統(tǒng)。 “in

11、fo-center loghost”命令用于配置日志主機(jī)地址等相關(guān)屬性。 “display debugging”命令用于顯示日志配置信息。訪問控制列表的組合訪問控制列表的組合 一條訪問列表可以由多條規(guī)則組成,對于這些規(guī)則，有兩種匹配順序：auto和config。 規(guī)則沖突時，若匹配順序為auto（深度優(yōu)先），描述的地址范圍越小的規(guī)則，將會優(yōu)先考慮。 深度的判斷要依靠通配比較位和IP地址結(jié)合比較 access-list 4 deny 55 access-list 4 permit 55 兩條規(guī)則結(jié)合則表示禁止一個大網(wǎng)

12、段 （）上的主機(jī)但允許其中的一小部分主 機(jī)（）的訪問。 規(guī)則沖突時，若匹配順序為config，先配置的規(guī)則會被優(yōu)先考慮。地址轉(zhuǎn)換的提出背景地址轉(zhuǎn)換的提出背景 地址轉(zhuǎn)換是在IP地址日益短缺的情況下提出的。 一個局域網(wǎng)內(nèi)部有很多臺主機(jī)，可是不能保證每臺主機(jī)都擁有合法的IP地址，為了到達(dá)所有的內(nèi)部主機(jī)都可以連接Internet網(wǎng)絡(luò)的目的，可以使用地址轉(zhuǎn)換。 地址轉(zhuǎn)換技術(shù)可以有效的隱藏內(nèi)部局域網(wǎng)中的主機(jī)，因此同時是一種有效的網(wǎng)絡(luò)安全保護(hù)技術(shù)。 同時地址轉(zhuǎn)換可以按照用戶的需要，在內(nèi)部局域網(wǎng)內(nèi)部提供給外部FTP、WWW、Telnet服務(wù)。私有地址和公有地址Int

13、ernetLAN1LAN2LAN3私有地址范圍：私有地址范圍： - 55 - 55 - 55地址轉(zhuǎn)換的原理Internet局域網(wǎng)PC2PC1IP:Port:3000IP 報文IP:Port:4000IP:Port:3010IP:Port:4001地址轉(zhuǎn)換地址轉(zhuǎn)換利用ACL控制地址轉(zhuǎn)換 可以使用訪問控制列表來決定那些主機(jī)

14、可以訪問Internet，那些不能。Internet局域網(wǎng)PC2PC1設(shè)置訪問控制列表控制pc1可以通過地址轉(zhuǎn)換訪問Internet,而pc2則不行。Easy IP特性 Easy IP：在地址轉(zhuǎn)換的過程中直接使用接口的IP地址作為轉(zhuǎn)換后的源地址。Internet局域網(wǎng)PC2PC1PC1 和 PC2 可以直接使用 S0接口的IP 地址作為地址轉(zhuǎn)換后的公用IP地址S0:使用地址池進(jìn)行地址轉(zhuǎn)換 地址池用來動態(tài)、透明的為內(nèi)部網(wǎng)絡(luò)的用戶分配地址。它是一些連續(xù)的IP地址集合，利用不超過32字節(jié)的字符串標(biāo)識。 地址池可以支持更多的局域網(wǎng)用戶同時上Internet。Internet局域網(wǎng)PC

15、2PC1地址池內(nèi)部服務(wù)器的應(yīng)用InternetR內(nèi)部服務(wù)器外部用戶E0Serial 0內(nèi)部地址:內(nèi)部端口:80外部地址:外部端口:80IP:配置地址轉(zhuǎn)換:IP地址:端口:8080允許外部用戶訪問內(nèi)部服務(wù)器地址轉(zhuǎn)換的缺點 地址轉(zhuǎn)換對于報文內(nèi)容中含有有用的地址信息的情況很難處理。 地址轉(zhuǎn)換不能處理IP報頭加密的情況。 地址轉(zhuǎn)換由于隱藏了內(nèi)部主機(jī)地址，有時候會使網(wǎng)絡(luò)調(diào)試變得復(fù)雜。地址轉(zhuǎn)換的配置任務(wù)列表地址轉(zhuǎn)

16、換的配置任務(wù)列表 定義一個訪問控制列表，規(guī)定什么樣的主機(jī)可以訪問Internet。 采用EASY IP或地址池方式提供公有地址。 根據(jù)選擇的方式（地址池方式還是easy ip方式），在連接Internet接口上允許地址轉(zhuǎn)換。 根據(jù)局域網(wǎng)的需要，定義合適的內(nèi)部服務(wù)器。NAT的監(jiān)控與維護(hù) 顯示地址轉(zhuǎn)換配置 display nat 設(shè)置地址轉(zhuǎn)換連接有效時間 nat aging-time tcp | udp | icmp time-value nat aging-time default 清除地址轉(zhuǎn)換連接 nat reset典型訪問列表和地址轉(zhuǎn)換綜合應(yīng)用配置案例典型訪問列表和地址轉(zhuǎn)換綜合應(yīng)用配置案例RRRInternetFTP 服務(wù)器Telnet 服務(wù)器