6访问控制列表和地址转换.

第6章访问控制列表和地址转换辽宁工程技术大学软件学院2020年1月12日星期日辽宁工程技术大学软件学院2学习目标理解访问控制列表的基本原理掌握标准和扩展访问控制列表的配置方法掌握地址转换的基本原理和配置方法学习完本章内容，您应该能够：2020年1月12日星期日辽宁工程技术大学软件学院3课程内容6.1访问控制列表概述6.2标准访问控制列表6.3扩展访问控制列表6.4如何使用访问控制列表6.5地址转换简介6.6访问列表和地址转换应用举例2020年1月12日星期日辽宁工程技术大学软件学院41.IP包过滤技术介绍包过滤技术路由器对需要转发的数据包，先获取包头信息，包括IP层所承载的上层协议的协议号，数据包的源地址、目的地址、源端口号和目的端口号等，然后与设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。包过滤技术是在路由器上实现防火墙的一种主要方式，而实现包过滤的核心技术是访问控制列表。2020年1月12日星期日辽宁工程技术大学软件学院5IP包过滤技术图示RInternet公司总部内部网络未授权用户办事处防火墙2020年1月12日星期日辽宁工程技术大学软件学院62.访问控制列表的作用访问控制列表具有“区分数据包”的功能。它可以控制“什么样的数据包”可以做“什么样的事情”。应用于防火墙，拒绝非法用户的访问；可以用于QoS，对数据流量进行控制，对数据处理的优先级进行控制等；在DCC中，可以规定触发拨号的条件；可以用来规定哪些数据包需要进行地址转换；在配置路由策略时，可以利用访问控制列表过滤路由信息。2020年1月12日星期日辽宁工程技术大学软件学院73.访问控制列表的定义IP包头TCP/UDP报头数据协议号源IP地址目的IP地址源端口号目的端口号对于TCP/UDP来说，这5个元素组成了一个TCP/UDP相关信息，访问控制列表就是利用这些元素定义规则，区分不同数据包。2020年1月12日星期日辽宁工程技术大学软件学院8访问控制列表举例(1)例1:允许202.38.0.0/16网段的主机使用HTTP访问129.10.10.1。aclnumber3000rulepermittcpsource202.38.0.00.0.255.255destination129.10.10.10destination-porteq例2：禁止从202.110.0.0/16网段发出的所有访问。aclnumber2000ruledenysource202.110.0.00.0.255.255例3：拒绝任何主机使用Telnet登录。aclnumber3001ruledenytcpsourceanydestination-porteqtelnet2020年1月12日星期日辽宁工程技术大学软件学院9访问控制列表举例(2)例4：网段10.0.0.1/16中的主机被允许通过协议SMTP发送邮件，但是其他主机禁止该功能。aclnumber3002rulepermittcpsource10.0.0.10.0.255.255destinationanydestination-porteqsmtpruledenytcpsourceanydestinationanydestination-porteqsmtp注意：“用户名”和“文件”不是访问控制列表所能辩认的信息，因此，以下说法是错误的：某用户可以从外部远程登录，但其他用户不可以；某用户可以发送某些文件，而不能发送另一些文件2020年1月12日星期日辽宁工程技术大学软件学院104.访问控制列表的分类按照访问控制列表的用途可以分为四类:标准的访问控制列表(basicacl)扩展的访问控制列表(advancedacl)基于接口的访问控制列表(interface-basedacl)基于MAC地址的访问控制列表(mac-basedacl)列表的种类数字标识的范围基于接口的访问控制列表1000～1999标准的访问控制列表2000～2999扩展的访问控制列表3000～3999基于MAC地址的访问控制列表4000～49992020年1月12日星期日辽宁工程技术大学软件学院11内容回忆5.8OSPF路由协议骨干区域和虚连接；OSPF的五种协议报文；OSPF协议计算路由的过程；OSPF协议的配置6.1访问控制列表概述包过滤技术；访问控制列表的作用；访问控制列表的分类2020年1月12日星期日辽宁工程技术大学软件学院12课程内容6.1访问控制列表概述6.2标准访问控制列表6.3扩展访问控制列表6.4如何使用访问控制列表6.5地址转换简介6.6访问列表和地址转换应用举例2020年1月12日星期日辽宁工程技术大学软件学院131.标准访问控制列表概况标准访问控制列表只使用源地址描述规则，表明是允许还是拒绝数据包通过。从202.110.10.0/24来的数据包可以通过！从192.110.10.0/24来的数据包不能通过！路由器2020年1月12日星期日辽宁工程技术大学软件学院142.标准访问控制列表的配置命令配置标准访问控制列表的命令格式如下：aclnumberacl-number[match-order{auto|config}]rule[rule-id]{permit|deny}[source{source-addresssource-wildcard|any}][time-rangetimerange-name][logging][fragment][vpn-instancevpn-instanc-name]2020年1月12日星期日辽宁工程技术大学软件学院15标准访问控制列表的配置说明(1)说明：命令功能：允许或拒绝来自指定网络的数据包，网络由IP地址和反掩码指定。acl-number为访问控制列表序号，标准访问控制列表的序号范围为2000-2999。config表示匹配访问列表中的规则时按用户配置的顺序匹配；auto表示匹配规则时按深度优先顺序匹配，即描述地址范围小的规则先匹配。permit和deny表示如果满足条件则允许或拒绝来自该网络的数据包通过。2020年1月12日星期日辽宁工程技术大学软件学院16标准访问控制列表的配置说明(2)source-address和source-wildcard分别为源网络的IP地址和反掩码。time-range：设定访问控制列表规则在该时间段内有效logging：是否对符合条件的数据包作日志fragment：指定该规则是否仅对非首片分片报文有效vpn-instance：指定报文是属于哪个VPN(虚拟专用网)实例的。2020年1月12日星期日辽宁工程技术大学软件学院173.反掩码介绍反掩码，又称通配符，与子网掩码结构上很相似。例如：192.168.0.1/22网段子网掩码：255.255.252.0反掩码：0.0.3.255反掩码和子网掩码含义却不相同：0：表示需要比较；表示主机部分1：表示忽略比较；表示网络部分2020年1月12日星期日辽宁工程技术大学软件学院18反掩码的使用IP地址与反掩码的关系语法如下：反掩码中为1的位，在IP地址比较时被忽略，为0的位必须被检查。任意源地址可以用通配符any来代替反掩码和IP地址结合使用，可以描述一个地址范围IP地址/反掩码192.168.3.1/0.0.0.255192.168.95.1/0.0.255.255192.168.0.1/0.255.255.255对应的IP地址范围192.168.3.0~192.168.3.255192.168.0.0~192.168.255.255192.0.0.0/192.255.255.2552020年1月12日星期日辽宁工程技术大学软件学院194.访问控制列表匹配规则的顺序一条访问列表可以由多条规则组成，对于这些规则，有两种匹配顺序：auto和config。规则冲突时，若匹配顺序为auto(深度优先)，描述的地址范围越小的规则，将会优先考虑。地址范围的判断要依靠比较位的多少规则冲突时，若匹配顺序为config，先配置的规则会被优先考虑。ruledenysource202.38.0.00.0.255.255rulepermitsource202.38.160.00.0.0.2552020年1月12日星期日辽宁工程技术大学软件学院20标准访问控制列表举例右图表示：路由器R允许来自202.110.10.0/24网段的数据包通过，拒绝来自192.110.10.0/24网段的数据包通过。从202.110.10.0/24来的数据包可以通过！从192.110.10.0/24来的数据包不能通过！路由器R[router]aclnumber2000[router-acl-2000]rulepermitsource202.110.10.00.0.0.255[router-acl-2000]ruledenysource192.110.10.00.0.0.2552020年1月12日星期日辽宁工程技术大学软件学院21课程内容6.1访问控制列表概述6.2标准访问控制列表6.3扩展访问控制列表6.4如何使用访问控制列表6.5地址转换简介6.6访问列表和地址转换应用举例2020年1月12日星期日辽宁工程技术大学软件学院221.扩展访问控制列表概况扩展访问控制列表使用除源地址外更多的信息(目的地址、端口号、协议号等)描述规则，表明是允许还是拒绝数据包通过。从202.110.10.0/24来的，到179.100.17.10主机的，使用TCP协议，利用HTTP(端口号为80)访问的数据包可以通过！路由器应该如何表示??2020年1月12日星期日辽宁工程技术大学软件学院232.扩展访问控制列表的配置扩展访问控制列表规则的配置命令：rule[rule-id]{permit|deny}protocol[source{source-addresssource-wildcard|any}][destination{dest-addrdest-wildcard|any}][soucre-portoperatorport1[port2]][destination-portoperatorport1[port2]][icmp-type{icmp-message|icmp-typeicmp-code}][precedenceprecedence][tostos][time-rangetimerange-name][logging][fragment][vpn-instancevpn-instanc-name]2020年1月12日星期日辽宁工程技术大学软件学院24扩展访问控制列表的配置说明(1)protocol可以指定为0~255之间的任一协议号，对于常见协议(例如TCP、UDP、ICMP)，可以直观地指定协议名，若指定为IP，则该规则对所有IP包均起作用。any：若IP地址指定为any，则表示所有IP地址，而且不需配置相应的通配符。destination-port：指UDP或TCP报文的目的端口信息，仅仅在规则指定的协议是TCP或UDP有效；如果不指定，表示TCP/UDP报文的任何目的端口信息都匹配。2020年1月12日星期日辽宁工程技术大学软件学院25扩展访问控制列表的配置说明(2)operator，比较源或者目的端口号的操作符，名字及意义如下：lt(小于)，gt(大于)，eq(等于)，neq(不等于)，range(在范围内)。只有range需要两个端口号做操作数，其他的只需要一个端口号做操作数。port，TCP或UDP的端口号，用名字或数字表示，数字的取值范围为0~65535。icmp-message、icmp-type和icmp-code：分别用来指定ICMP报文的消息类型名称、消息类型和消息码。2020年1月12日星期日辽宁工程技术大学软件学院26扩展访问控制列表的配置说明(3)precedence，