ACL原理培训胶片.pptVIP

访问控制列表 ISSUE 1.0 学习完本课程，您应该能够： 理解访问控制列表的基本原理 IP包过滤技术介绍 对路由器需要转发的数据包，先获取包头信息，然后和设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表。 访问控制列表的作用 访问控制列表可以用于防火墙； 访问控制列表可以用于Qos（Quality of Service），对数据流量进行控制； 在DCC中，访问控制列表还可用来规定触发拨号的条件； 访问控制列表还可以用于地址转换； 在配置路由策略时，可以利用访问控制列表来作路由信息的过滤。 访问控制列表是什么？ 一个IP数据包如下图所示（图中IP所承载的上层协议为TCP/UDP）： 如何标识访问控制列表？ 标准访问控制列表 标准访问控制列表只使用源地址描述数据，表明是允许还是拒绝。 标准访问控制列表的配置 配置标准访问列表的命令格式如下： acl acl-number [ match-order auto | config ] rule { normal | special }{ permit | deny } [source source-addr source-wildcard | any ] 如何使用反掩码 反掩码和子网掩码相似，但写法不同： 0表示需要比较 1表示忽略比较 反掩码和IP地址结合使用，可以描述一个地址范围。 扩展访问控制列表 扩展访问控制列表使用除源地址外更多的信息描述数据包，表明是允许还是拒绝。 扩展访问控制列表的配置命令 配置TCP/UDP协议的扩展访问列表： rule { normal | special }{ permit | deny } { tcp | udp } [source source-addr source-wildcard | any ] [source-port operator port1 [ port2 ] ] [ destination dest-addr dest- wildcard | any ] [destination-port operator port1 [ port2 ] ] [logging] 配置ICMP协议的扩展访问列表： rule { normal | special }{ permit | deny } icmp [source source-addr source-wildcard | any ] [ destination dest-addr dest- wildcard | any ] [icmp-type icmp-type icmp-code] [logging] 配置其它协议的扩展访问列表： rule { normal | special }{ permit | deny } { ip | ospf | igmp | gre } [source source-addr source-wildcard | any ] [ destination dest-addr dest- wildcard | any ] [logging] 扩展访问控制列表操作符的含义 扩展访问控制列表举例 rule deny icmp source 55 destination any icmp-type host-redirect 如何使用访问控制列表 防火墙配置常见步骤： 启用防火墙 定义访问控制列表 将访问控制列表应用到接口上 防火墙的属性配置命令 打开或者关闭防火墙 firewall { enable | disable } 设置防火墙的缺省过滤模式 firewall default { permit|deny } 显示防火墙的状态信息 display firewall 在接口上应用访问控制列表 将访问控制列表应用到接口上 指明在接口上是OUT还是IN方向 在接口视图下配置： firewall packet-filter acl-number [inbound | outbound] 基于时间段的包过滤 “特殊时间段内应用特殊的规则” 访问控制列表的组合 一条访问列表可以由多条规则组成,对于这些规则，有两种匹配顺序：auto和config。 规则冲突时，若匹配顺序为auto（深度优先），描述的地址范围越小的规则，将会优先考虑。 深度的判断要依靠通配比较位和IP地址结合比较 rule deny 55 rule permit 55 两条规则结合则表示禁止一个大网段 （）上的主机但允许其中的一小部分主 机（）的访问。 规则冲突时，若匹配顺序为config，先配置的规则会被优先考虑。 HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential