访问控制列表网络设备及高级应用技术课程组制作学习目标理解访问控制列表的基本原理掌握标准和扩展访问控制列表的配置方法掌握地址转换的基本原理和配置方法学习完本课程,您应该能够:课程内容访问控制列表访问控制列表实例IP包过滤技术介绍对路由器需要转发的数据包,先获取包头信息,然后和设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表。RInternet公司总部内部网络未授权用户办事处访问控制列表的作用访问控制列表可以用于防火墙;访问控制列表可以用于Qos(QualityofService),对数据流量进行控制;在DCC中,访问控制列表还可用来规定触发拨号的条件;访问控制列表还可以用于地址转换;在配置路由策略时,可以利用访问控制列表来作路由信息的过滤。访问控制列表是什么?一个IP数据包如下图所示(图中IP所承载的上层协议为TCP/UDP):IP报头TCP/UDP报头数据协议号源地址目的地址源端口目的端口对于TCP/UDP来说,这5个元素组成了一个TCP/UDP相关,访问控制列表就是利用这些元素定义的规则如何标识访问控制列表?利用数字标识访问控制列表利用数字范围标识访问控制列表的种类列表的种类数字标识的范围IPstandardlist1-99IPextendedlist100-199标准访问控制列表标准访问控制列表只使用源地址描述数据,表明是允许还是拒绝。从202.110.10.0/24来的数据包可以通过!从192.110.10.0/24来的数据包不能通过!路由器标准访问控制列表的配置配置标准访问列表的命令格式如下:aclacl-number[match-orderauto|config]rule{normal|special}{permit|deny}[sourcesource-addrsource-wildcard|any]怎样利用IP地址和反掩码wildcard-mask来表示一个网段?如何使用反掩码反掩码和子网掩码相似,但写法不同:0表示需要比较1表示忽略比较反掩码和IP地址结合使用,可以描述一个地址范围。000255只比较前24位003255只比较前22位0255255255只比较前8位扩展访问控制列表扩展访问控制列表使用除源地址外更多的信息描述数据包,表明是允许还是拒绝。从202.110.10.0/24来的,到179.100.17.10的,使用TCP协议,利用HTTP访问的数据包可以通过!路由器扩展访问控制列表的配置命令配置TCP/UDP协议的扩展访问列表:rule{normal|special}{permit|deny}{tcp|udp}[sourcesource-addrsource-wildcard|any][source-portoperatorport1[port2]][destinationdest-addrdest-wildcard|any][destination-portoperatorport1[port2]][logging]配置ICMP协议的扩展访问列表:rule{normal|special}{permit|deny}icmp[sourcesource-addrsource-wildcard|any][destinationdest-addrdest-wildcard|any][icmp-typeicmp-typeicmp-code][logging]配置其它协议的扩展访问列表:rule{normal|special}{permit|deny}{ip|ospf|igmp|gre}[sourcesource-addrsource-wildcard|any][destinationdest-addrdest-wildcard|any][logging]扩展访问控制列表操作符的含义操作符及语法意义equalportnumber等于端口号portnumbergreater-thanportnumber大于端口号portnumberless-thanportnumber小于端口号portnumbernot-equalportnumber不等于端口号portnumberrangeportnumber1portnumber2介于端口号portnumber1和portnumber2之间扩展访问控制列表举例10.1.0.0/16ICMP主机重定向报文ruledenyicmpsource10.1.0.00.0.255.255destinationanyicmp-typehost-redirectruledenytcpsource129.9.0.00.0.255.255destination202.38.160.00.0.0.255destination-portequal报文202.38.160.0/24端口问题:下面这条访问控制列表表示什么意思?ruledenyudpsource129.9.8.00.0.0.255destination202.38.160.00.0.0.255destination-portgreater-than128如何使用访问控制列表防火墙配置常见步骤:启用防火墙定义访问控制列表将访问控制列表应用到接口上Internet公司总部网络启用防火墙将访问控制列表应用到接口上防火墙的属性配置命令打开或者关闭防火墙firewall{enable|disable}设置防火墙的缺省过滤模式firewalldefault{permit|deny}显示防火墙的状态信息displayfirewall在接口上应用访问控制列表将访问控制列表应用到接口上指明在接口上是OUT还是IN方向在接口视图下配置:firewallpacket-filteracl-number[inbound|outbound]Ethernet0访问控制列表101作用在Ethernet0接口在out方向有效Serial0访问控制列表3作用在Serial0接口上在in方向上有效基于时间段的包过滤“特殊时间段内应用特殊的规则”Internet上班时间(上午8:00-下午5:00)只能访问特定的站点;其余时间可以访问其他站点时间段的配置命令timerange命令timerange{enable|disable}settr命令settrbegin-timeend-time[begin-timeend-time......]undosettr显示isintr命令displayisintr显示timerange命令displaytimerange日志功能的配置命令日志功能是允许在特定的主机上记录下来防火墙的操作开启日志系统info-centerenable配置日志主机地址等相关属性info-centerloghostloghost-numberip-addressport…显示日志配置信息。displaydebugging在华为Quidway路由器上提供了非常丰富的日志功能,详细内容请参考配置手册访问控制列表的组合一条访问列表可以由多条规则组成,对于这些规则,有两种匹配顺序:auto和config。规则冲突时,若匹配顺序为auto(深度优先),描述的地址范围越小的规则,将会优先考虑。深度的判断要依靠通配比较位和IP地址结合比较ruledeny202.38.0.00.0.255.255rulepermit202.38.160.00.0.0.255两条规则结合则表示禁止一个大网段(202.38.0.0)上的主机但允许其中的一小部分主机(202.38.160.0)的访问。规则冲突时,若匹配顺序为config,先配置的规则会被优先考虑。