HL-008訪問控制列表和地址轉(zhuǎn)換課件_第1頁
HL-008訪問控制列表和地址轉(zhuǎn)換課件_第2頁
HL-008訪問控制列表和地址轉(zhuǎn)換課件_第3頁
HL-008訪問控制列表和地址轉(zhuǎn)換課件_第4頁
HL-008訪問控制列表和地址轉(zhuǎn)換課件_第5頁
已閱讀5頁,還剩37頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

HL-008訪問控制列表和地址轉(zhuǎn)換ISSUE4.0學(xué)習目標理解訪問控制列表的基本原理掌握標準和擴展訪問控制列表的配置方法掌握地址轉(zhuǎn)換的基本原理和配置方法學(xué)習完本課程,您應(yīng)該能夠:課程內(nèi)容

訪問控制列表地址轉(zhuǎn)換訪問控制列表與地址轉(zhuǎn)換實例訪問控制列表的作用訪問控制列表可以用于防火墻;訪問控制列表可以用于Qos(QualityofService),對數(shù)據(jù)流量進行控制;在DCC中,訪問控制列表還可用來規(guī)定觸發(fā)撥號的條件;訪問控制列表還可以用于地址轉(zhuǎn)換;在配置路由策略時,可以利用訪問控制列表來作路由信息的過濾。訪問控制列表是什么?一個IP數(shù)據(jù)包如下圖所示(圖中IP所承載的上層協(xié)議為TCP/UDP):IP報頭TCP/UDP報頭數(shù)據(jù)協(xié)議號源地址目的地址源端口目的端口對于TCP/UDP來說,這5個元素組成了一個TCP/UDP相關(guān),訪問控制列表就是利用這些元素定義的規(guī)則如何標識訪問控制列表?利用數(shù)字標識訪問控制列表利用數(shù)字范圍標識訪問控制列表的種類列表的種類數(shù)字標識的范圍IPstandardlist1-99IPextendedlist100-199標準訪問控制列表的配置配置標準訪問列表的命令格式如下:acl

acl-number[match-order

auto|config]rule{normal|special}{permit|deny}[sourcesource-addrsource-wildcard|any]怎樣利用IP地址和

反掩碼wildcard-mask來表示一個網(wǎng)段?如何使用反掩碼反掩碼和子網(wǎng)掩碼相似,但寫法不同:0表示需要比較1表示忽略比較反掩碼和IP地址結(jié)合使用,可以描述一個地址范圍。000255只比較前24位003255只比較前22位0255255255只比較前8位擴展訪問控制列表擴展訪問控制列表使用除源地址外更多的信息描述數(shù)據(jù)包,表明是允許還是拒絕。從/24來的,到0的,使用TCP協(xié)議,利用HTTP訪問的數(shù)據(jù)包可以通過!路由器擴展訪問控制列表操作符的含義操作符及語法意義equalportnumber等于端口號portnumbergreater-thanportnumber大于端口號portnumberless-thanportnumber小于端口號portnumbernot-equalportnumber不等于端口號portnumberrangeportnumber1portnumber2介于端口號portnumber1

和portnumber2之間擴展訪問控制列表舉例/16ICMP主機重定向報文ruledenyicmpsource55destinationanyicmp-typehost-redirectruledenytcpsource55destination55destination-portequal/16TCP報文/24WWW端口問題:下面這條訪問控制列表表示什么意思?ruledenyudpsource55destination55destination-portgreater-than128如何使用訪問控制列表防火墻配置常見步驟:啟用防火墻定義訪問控制列表將訪問控制列表應(yīng)用到接口上Internet公司總部網(wǎng)絡(luò)啟用防火墻將訪問控制列表應(yīng)用到接口上在接口上應(yīng)用訪問控制列表將訪問控制列表應(yīng)用到接口上指明在接口上是OUT還是IN方向在接口視圖下配置:

firewallpacket-filteracl-number[inbound|outbound]Ethernet0訪問控制列表101作用在Ethernet0接口在out方向有效Serial0訪問控制列表3作用在Serial0接口上在in方向上有效在接口上應(yīng)用訪問控制列表將訪問控制列表應(yīng)用到接口上指明在接口上是OUT還是IN方向Ethernet0訪問控制列表101作用在Ethernet0接口在out方向有效Serial0訪問控制列表3作用在Serial0接口上在in方向上有效[Quidway-Ethernet0]firewallpacket-filter101outbound[Quidway-Serial0]firewallpacket-filter3inbound

基于時間段的包過濾“特殊時間段內(nèi)應(yīng)用特殊的規(guī)則”Internet上班時間(上午8:00-下午5:00)只能訪問特定的站點;其余時間可以訪問其他站點日志功能的配置命令日志功能是允許在特定的主機上記錄下來防火墻的操作開啟日志系統(tǒng)info-centerenable配置日志主機地址等相關(guān)屬性

info-centerloghostloghost-numberip-addressport…

顯示日志配置信息。displaydebugging在華為Quidway路由器上提供了非常豐富的日志功能,詳細內(nèi)容請參考配置手冊訪問控制列表的組合一條訪問列表可以由多條規(guī)則組成,對于這些規(guī)則,有兩種匹配順序:auto和config。規(guī)則沖突時,若匹配順序為auto(深度優(yōu)先),描述的地址范圍越小的規(guī)則,將會優(yōu)先考慮。深度的判斷要依靠通配比較位和IP地址結(jié)合比較ruledeny55rulepermit55兩條規(guī)則結(jié)合則表示禁止一個大網(wǎng)段()上的主機但允許其中的一小部分主機()的訪問。規(guī)則沖突時,若匹配順序為config,先配置的規(guī)則會被優(yōu)先考慮。課程內(nèi)容

訪問控制列表地址轉(zhuǎn)換訪問控制列表與地址轉(zhuǎn)換實例私有地址和公有地址InternetLAN1LAN2LAN3私有地址范圍:-55-55-55地址轉(zhuǎn)換的原理Internet局域網(wǎng)PC2PC1IP:Port:3000IP報文IP:Port:4000IP:Port:3010IP:Port:4001地址轉(zhuǎn)換EasyIP配置EasyIP:在地址轉(zhuǎn)換的過程中直接使用接口的IP地址作為轉(zhuǎn)換后的源地址。在接口視圖下直接配置:

natoutboundacl-numberinterfaceInternet局域網(wǎng)PC2PC1PC1和PC2可以直接使用S0接口的IP地址作為地址轉(zhuǎn)換后的公用IP地址S0:使用地址池進行地址轉(zhuǎn)換地址池用來動態(tài)、透明的為內(nèi)部網(wǎng)絡(luò)的用戶分配地址。它是一些連續(xù)的IP地址集合,利用不超過32字節(jié)的字符串標識。地址池可以支持更多的局域網(wǎng)用戶同時上Internet。Internet局域網(wǎng)PC2PC1地址池使用地址池進行地址轉(zhuǎn)換配置使用地址池進行地址轉(zhuǎn)換配置定義地址池

nataddress-groupstart-addrend-addrpool-name在接口上使用地址池進行地址轉(zhuǎn)換

natoutboundacl-numberpool-name內(nèi)部服務(wù)器的應(yīng)用Internet內(nèi)部服務(wù)器外部用戶E0Serial0內(nèi)部地址:內(nèi)部端口:80外部地址:外部端口:80IP:配置地址轉(zhuǎn)換:IP地址:←→端口:80←→80允許外部用戶訪問內(nèi)部服務(wù)器內(nèi)部服務(wù)器配置內(nèi)部服務(wù)器配置命令格式

natserver

global

global-addr{global-port

|any|domain|ftp|pop2|pop3|smtp|telnet|www}insideinside-addr{inside-port|any|domain|ftp|pop2|pop3|smtp|telnet|www}{protocol-number|ip|icmp|tcp|udp}此例的配置

natserver

global80inside80tcpNAT的監(jiān)控與維護顯示地址轉(zhuǎn)換配置displaynat設(shè)置地址轉(zhuǎn)換連接有效時間nataging-time{tcp|udp|icmp}secondsnataging-timedefault清除地址轉(zhuǎn)換連接natreset地址轉(zhuǎn)換的缺點地址轉(zhuǎn)換對于報文內(nèi)容中含有有用的地址信息的情況很難處理。地址轉(zhuǎn)換不能處理IP報頭加密的情況。地址轉(zhuǎn)換由于隱藏了內(nèi)部主機地址,有時候會使網(wǎng)絡(luò)調(diào)試變得復(fù)雜。課程內(nèi)容

訪問控制列表地址轉(zhuǎn)換訪問控制列表與地址轉(zhuǎn)換實例典型訪問列表和地址轉(zhuǎn)換綜合應(yīng)用配置實例InternetFTP服務(wù)器Telnet服務(wù)器WWW服務(wù)器公司內(nèi)部局域網(wǎng)特定的外部用戶配置步驟按照實際情況具有以下幾個步驟:允許防火墻定義擴展的訪問控制列表在接口上應(yīng)用訪問控制列表在接口上利用訪問控制列表定義地址轉(zhuǎn)換配置內(nèi)部服務(wù)器的地址映射關(guān)系配置命令[Quidway]firewallenable [Quidway]firewalldefaultpermit[Quidway]acl101[Quidway-acl-101]ruledenyipsourceanydestinationany[Quidway-acl-101]rulepermitipsource0destinationany[Quidway-acl-101]rulepermitipsource0destinationany[Quidway-acl-101]rulepermitipsource0destinationany[Quidway-acl-101]rulepermitipsource0destinationany[Quidway-acl-101]acl102[Quidway-acl-102]ruledenyipsourceanydestinationany[Quidway-acl-102]rulepermittcpsource0destination0配置命令(續(xù))[Quidway-acl-102]rulepermittcpsourceanydestination0destination-portgreater-than1024[Quidway-Ethernet0]firewallpacket-filter101inbound[Quidway-Serial0]firewallpacket-filter102inbound[Quidway-Serial0]natoutbound101interface[Qui

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論