資源描述:
《華為設(shè)備訪問控制列表ACL的原理與配置》由會員上傳分享���,免費在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫�����。
1��、訪問控制列表網(wǎng)絡(luò)設(shè)備及高級應(yīng)用技術(shù)課程組制作學習目標理解訪問控制列表的基本原理掌握標準和擴展訪問控制列表的配置方法掌握地址轉(zhuǎn)換的基本原理和配置方法學習完本課程����,您應(yīng)該能夠:課程內(nèi)容訪問控制列表訪問控制列表實例IP包過濾技術(shù)介紹對路由器需要轉(zhuǎn)發(fā)的數(shù)據(jù)包,先獲取包頭信息����,然后和設(shè)定的規(guī)則進行比較,根據(jù)比較的結(jié)果對數(shù)據(jù)包進行轉(zhuǎn)發(fā)或者丟棄。而實現(xiàn)包過濾的核心技術(shù)是訪問控制列表���。Internet公司總部內(nèi)部網(wǎng)絡(luò)未授權(quán)用戶辦事處訪問控制列表的作用訪問控制列表可以用于防火墻�����;訪問控制列表可以用于Qos(QualityofServic
2��、e)��,對數(shù)據(jù)流量進行控制�����;在DCC中����,訪問控制列表還可用來規(guī)定觸發(fā)撥號的條件�;訪問控制列表還可以用于地址轉(zhuǎn)換;在配置路由策略時�����,可以利用訪問控制列表來作路由信息的過濾��。訪問控制列表是什么?一個IP數(shù)據(jù)包如下圖所示(圖中IP所承載的上層協(xié)議為TCP/UDP):IP報頭TCP/UDP報頭數(shù)據(jù)協(xié)議號源地址目的地址源端口目的端口對于TCP/UDP來說����,這5個元素組成了一個TCP/UDP相關(guān)���,訪問控制列表就是利用這些元素定義的規(guī)則如何標識訪問控制列表�?利用數(shù)字標識訪問控制列表利用數(shù)字范圍標識訪問控制列表的種類列表的種類數(shù)字標識的
3��、范圍IPstandardlist1-99IPextendedlist100-199標準訪問控制列表標準訪問控制列表只使用源地址描述數(shù)據(jù)��,表明是允許還是拒絕���。從202.110.10.0/24來的數(shù)據(jù)包可以通過�����!從192.110.10.0/24來的數(shù)據(jù)包不能通過����!路由器標準訪問控制列表的配置配置標準訪問列表的命令格式如下:aclacl-number[match-orderauto
4����、config]rule{normal
5、special}{permit
6、deny}[sourcesource-addrsource-wildcar
7����、d
8、any]怎樣利用IP地址和反掩碼wildcard-mask來表示一個網(wǎng)段?如何使用反掩碼反掩碼和子網(wǎng)掩碼相似����,但寫法不同:0表示需要比較1表示忽略比較反掩碼和IP地址結(jié)合使用,可以描述一個地址范圍�����。000255只比較前24位003255只比較前22位0255255255只比較前8位擴展訪問控制列表擴展訪問控制列表使用除源地址外更多的信息描述數(shù)據(jù)包�����,表明是允許還是拒絕���。從202.110.10.0/24來的,到179.100.17.10的���,使用TCP協(xié)議,利用HTTP訪問的數(shù)據(jù)包可以通過�!路由器擴展訪問控制列表的配置命
9、令配置TCP/UDP協(xié)議的擴展訪問列表:rule{normal
10�����、special}{permit
11、deny}{tcp
12�、udp}[sourcesource-addrsource-wildcard
13、any][source-portoperatorport1[port2]][destinationdest-addrdest-wildcard
14��、any][destination-portoperatorport1[port2]][logging]配置ICMP協(xié)議的擴展訪問列表:rule{normal
15�����、special}{permit
16����、
17�、deny}icmp[sourcesource-addrsource-wildcard
18、any][destinationdest-addrdest-wildcard
19�����、any][icmp-typeicmp-typeicmp-code][logging]配置其它協(xié)議的擴展訪問列表:rule{normal
20�、special}{permit
21、deny}{ip
22�、ospf
23、igmp
24�����、gre}[sourcesource-addrsource-wildcard
25、any][destinationdest-addrdest-wildcard
26��、
27��、any][logging]擴展訪問控制列表操作符的含義操作符及語法意義equalportnumber等于端口號portnumbergreater-thanportnumber大于端口號portnumberless-thanportnumber小于端口號portnumbernot-equalportnumber不等于端口號portnumberrangeportnumber1portnumber2介于端口號portnumber1和portnumber2之間擴展訪問控制列表舉例10.1.0.0/16ICMP主機重定向報文r
28���、uledenyicmpsource10.1.0.00.0.255.255destinationanyicmp-typehost-redirectruledenytcpsource129.9.0.00.0.255.255destination202.38.160.00.0.0.255destination-portequalwwwl
