访问控制列表和地址转换及配置ISSUE1.0要点

ISSUE固网产品课程开发室DW000105访问控制列表和地址转换及配置1.0华为机密，未经许可不得扩散文档密级：内部公开学习目标理解访问控制列表的基本原理掌握标准和扩展访问控制列表的配置方法掌握地址转换的基本原理和配置方法学习完本课程，您应该能够：华为机密，未经许可不得扩散文档密级：内部公开课程内容访问控制列表地址转换访问控制列表与地址转换实例华为机密，未经许可不得扩散文档密级：内部公开IP包过滤技术介绍对路由器需要转发的数据包，先获取包头信息，然后和设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表。RInternet公司总部内部网络未授权用户办事处华为机密，未经许可不得扩散文档密级：内部公开访问控制列表的作用防止对网络的攻击例如IP（InternetProtocol）报文、TCP（TransmissionControlProtocol）报文、ICMP（InternetControlMessageProtocol）报文的攻击访问控制列表可以用于Qos（QualityofService），对数据流量进行控制；例如限定网络上行、下行流量的带宽，对用户申请的带宽进行收费，保证高带宽网络资源的充分利用。对网络访问行为进行控制;例如企业网中内、外网的通信，用户访问特定网络资源的控制，特定时间段内允许对网络的访问访问控制列表还可以用于地址转换；在配置路由策略时，可以利用访问控制列表来作路由信息的过滤。华为机密，未经许可不得扩散文档密级：内部公开访问控制列表是什么？一个IP数据包如下图所示（图中IP所承载的上层协议为TCP/UDP）：IP报头TCP/UDP报头数据协议号源地址目的地址源端口目的端口对于TCP/UDP来说，这5个元素组成了一个TCP/UDP相关，访问控制列表就是利用这些元素定义的规则华为机密，未经许可不得扩散文档密级：内部公开如何标识访问控制列表？利用数字标识访问控制列表利用数字范围标识访问控制列表的种类列表的种类数字标识的范围基本访问控制列表2000-2999高级访问控制列表3000-39994000-4999范围的ACL是基于MAC地址的访问控制列表5000-5999用户自定义华为机密，未经许可不得扩散文档密级：内部公开标准访问控制列表标准访问控制列表只使用源地址描述数据，表明是允许还是拒绝，在一些只需要进行简单匹配的功能可以使用。从202.110.10.0/24来的数据包可以通过！从192.110.10.0/24来的数据包不能通过！路由器华为机密，未经许可不得扩散文档密级：内部公开标准访问控制列表的配置配置标准访问列表的命令格式如下：aclacl-number[match-orderauto|config]rule{normal|special}{permit|deny}[sourcesource-addrsource-wildcard|any]怎样利用IP地址和反掩码wildcard-mask来表示一个网段?华为机密，未经许可不得扩散文档密级：内部公开扩展访问控制列表扩展访问控制列表使用除源地址外更多的信息描述数据包，表明是允许还是拒绝。从202.110.10.0/24来的,到179.100.17.10的，使用TCP协议，利用HTTP访问的数据包可以通过！路由器华为机密，未经许可不得扩散文档密级：内部公开扩展访问控制列表的配置命令配置TCP/UDP协议的扩展访问列表：rule{normal|special}{permit|deny}{tcp|udp}[sourcesource-addrsource-wildcard|any][source-portoperatorport1[port2]][destinationdest-addrdest-wildcard|any][destination-portoperatorport1[port2]][logging]配置ICMP协议的扩展访问列表：rule{normal|special}{permit|deny}icmp[sourcesource-addrsource-wildcard|any][destinationdest-addrdest-wildcard|any][icmp-typeicmp-typeicmp-code][logging]配置其它协议的扩展访问列表：rule{normal|special}{permit|deny}{ip|ospf|igmp|gre}[sourcesource-addrsource-wildcard|any][destinationdest-addrdest-wildcard|any][logging]华为机密，未经许可不得扩散文档密级：内部公开扩展访问控制列表操作符的含义操作符及语法意义equalportnumber等于端口号portnumbergreater-thanportnumber大于端口号portnumberless-thanportnumber小于端口号portnumbernot-equalportnumber不等于端口号portnumberrangeportnumber1portnumber2介于端口号portnumber1和portnumber2之间华为机密，未经许可不得扩散文档密级：内部公开扩展访问控制列表举例10.1.0.0/16ICMP主机重定向报文ruledenyicmpsource10.1.0.00.0.255.255destinationanyicmp-typehost-redirectruledenytcpsource129.9.0.00.0.255.255destination202.38.160.00.0.0.255destination-portequal报文202.38.160.0/24端口问题:下面这条访问控制列表表示什么意思?ruledenyudpsource129.9.8.00.0.0.255destination202.38.160.00.0.0.255destination-portgreater-than128华为机密，未经许可不得扩散文档密级：内部公开如何使用访问控制列表防火墙配置常见步骤：启用防火墙定义访问控制列表将访问控制列表应用到接口上Internet公司总部网络启用防火墙将访问控制列表应用到接口上华为机密，未经许可不得扩散文档密级：内部公开防火墙的属性配置命令打开或者关闭防火墙firewall{enable|disable}设置防火墙的缺省过滤模式firewalldefault{permit|deny}显示防火墙的状态信息displayfirewall华为机密，未经许可不得扩散文档密级：内部公开在接口上应用访问控制列表将访问控制列表应用到接口上指明在接口上是OUT还是IN方向在接口视图下配置：firewallpacket-filteracl-number[inbound|outbound]Ethernet0访问控制列表101作用在Ethernet0接口在out方向有效Serial0访问控制列表3作用在Serial0接口上在in方向上有效华为机密，未经许可不得扩散文档密级：内部公开基于时间段的包过滤“特殊时间段内应用特殊的规则”Internet上班时间（上午8：00－下午5：00）只能访问特定的站点；其余时间可以访问其他站点华为机密，未经许可不得扩散文档密级：内部公开时间段的配置命令timerange命令timerange{enable|disable}settr命令settrbegin-timeend-time[begin-timeend-time......]undosettr显示isintr命令displayisintr显示timerange命令displaytimerange华为机密，未经许可不得扩散文档密级：内部公开日志功能的配置命令日志功能是允许在特定的主机上记录下来防火墙的操作开启日志系统info-centerenable配置日志主机地址等相关属性info-centerloghostloghost-numberip-addressport…显示日志配置信息。displaydebugging在华为Quidway路由器上提供了非常丰富的日志功能，详细内容请参考配置手册华为机密，未经许可不得扩散文档密级：内部公开访问控制列表的组合一条访问列表可以由多条规则组成,对于这些规则，有两种匹配顺序：auto和config。规则冲突时，若匹配顺序为auto（深度优先），描述的地址范围越小的规则，将会优先考虑。深度的判断要依靠通配比较位和IP地址结合比较ruledeny202.38.0.00.0.255.255rulepermit202.38.160.00.0.0.255两条规则结合则表示禁止一个大网段（202.38.0.0）上的主机但允许其中的一小部分主机（202.38.160.0）的访问。规则冲突时，若匹配顺序为config，先配置的规则会被优先考虑，缺省配置。华为机密，未经许可不得扩散文档密级：内部公开访问控制列表步长ACL的步长是自动为ACL规则分配编号时，规则编号之间的差值，默认值为5.规则一旦配置，如要更改序列号，只可以删除重新配置，会影响业务，所以设置步长可以在中间添加规则。华为机密，未经许可不得扩散文档密级：内部公开课程内容访问控制列表地址转换访问控制列表与地址转换实例华为机密，未经许可不得扩散文档密级：内部公开地址转换的提出背景地址转换是在IP地址日益短缺的情况下提出的。一个局域网内部有很多台主机，可是不能保证每台主机都拥有合法的IP地址，为了到达所有的内部主机都可以连接Internet网络的目的，可以使用地址转换。地址转换技术可以有效的隐藏内部局域网中的主机，因此同时是一种有效的网络安全保护技术。地址转换可以按照用户的需要，在内部局域网内部提供给外部FTP、、Telnet服务。华为机密，未经许可不得扩散文档密级：内部公开私有地址和公有地址Internet192.168.0.1192.168.0.2192.168.0.1LAN1LAN2LAN3私有地址范围：10.0.0.0-10.255.255.255172.16.0.0-172.31.255.255192.168.0.0-192.168.255.255华为机密，未经许可不得扩散文档密级：内部公开地址转换的原理Internet局域网PC2PC1IP:192.168.0.1Port:3000IP报文IP:202.0.0.1Port:4000IP:192.168.0.2Port:3010IP:202.0.0.1Port:4001地址转换华为机密，未经许可不得扩散文档密级：内部公开利用ACL控制地址转换可以使用访问控制列表来决定那些主机可以访问Internet，那些不能。Internet局域网PC2PC1设置访问控制列表控制pc1可以通过地址转换访问Internet,而pc2则不行。华为机密，未经许可不得扩散文档密级：内部公开地址转换的配置任务列表定义一个访问控制列表，规定什么样的主机可以访问Internet。采用EASYIP或地址池方式提供公有地址。根据选择的方式（地址池方式还是EasyIP方式），在连接Internet接口上允许地址转换。根据局域网的需要，定义合适的内部服务器。华为机密，未经许可不得扩散文档密级：内部公开EasyIP配置EasyIP：在地址转换的过程中直接使用接口的IP地址作为转换后的源地址。在接口视图下直接配置：natoutboundacl-numberinterfaceInternet局域网PC2PC1PC1和PC2可以直接使用S0接口的IP地址作为地址转换后的公用IP地址S0:202.0.0.1华为机密，未经许可不得扩散文档密级：