12版模4050入接网域广 31务任-护维与建组络网公办型小：3境情习学.pptVIP

Ethernet: 00E0.FC12.3456 IP: Ethernet: 00E0.FC12.3456 IP = ??? 我的地址是多少？ 我听到了广播你的地址是 实现物理地址到逻辑地址的映射 相关知识－RARP协议 * 相关知识 网络层功能 网络层设备 静态路由及动态路由 网络层协议 ACL * 1、防火墙简介 Internet 公司总部 内部网络 未授权用户 办事处 对路由器需要转发的数据包，先获取包头信息，然后和设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表。 相关知识－ACL * 2、访问控制列表的作用 访问控制列表可以用于防火墙； 访问控制列表可用于Qos（Quality of Service），对数据流量进行控制； 在DCC中，访问控制列表还可用来规定触发拨号的条件； 访问控制列表还可以用于地址转换； 在配置路由策略时，可以利用访问控制列表来作路由信息的过滤。 相关知识－ACL * 3、ACL的分类 利用数字标识访问控制列表 利用数字范围标识访问控制列表的种类 列表的种类 数字标识的范围 IP standard list 2000－2999 IP extended list 3000－3999 相关知识－ACL * （1）标准访问控制列表 标准访问控制列表只使用源地址描述数据，表明是允许还是拒绝。 从/24来的数据包可以通过！ 从/24来的数据包不能通过！ 路由器 相关知识－ACL * 标准访问控制列表的配置 定义标准访问列表的命令格式如下： acl number acl-number [ match-order config | auto ] rule { normal | special }{ permit | deny } [source source-addr source-wildcard | any ] 怎样利用 IP 地址 和 反掩码wildcard-mask 来表示 一个网段? 相关知识－ACL * 如何使用反掩码 反掩码和子网掩码相似，但写法不同： 0表示需要比较 1表示忽略比较 反掩码和IP地址结合使用，可以描述一个地址范围。 0 0 0 255 只比较前24位 0 0 3 255 只比较前22位 0 255 255 255 只比较前8位 相关知识－ACL * （2）扩展访问控制列表 扩展访问控制列表使用除源地址外更多的信息描述数据包，表明是允许还是拒绝。 从/24来的,到0的， 使用TCP协议， 利用HTTP访问的 数据包可以通过！ 路由器 相关知识－ACL * 4、ACL配置命令（1） 启用防火墙 定义ACL 定义规则 将访问控制列表应用到接口上 Internet 公司总部网络 启用防火墙 将访问控制列表应用到接口上 相关知识－ACL * 4、ACL配置命令（2） （1）启用防火墙 启用或者关闭防火墙： [H3C] firewall { enable | disable } 设置防火墙的默认过滤模式： [H3C] firewall default { permit|deny } 显示防火墙的状态信息： [H3C] display firewall （2）将访问控制列表应用到接口上 将访问控制列表应用到接口上，需要指明在接口上是OUT还是IN方向。 [H3C] int seria6/0 [H3C-seria6/0] firewall packet-filter acl-number [inbound|outbound] 相关知识－ACL * 访问控制列表的组合 一条访问列表可以由多条规则组成,对于这些规则，有两种匹配顺序：auto和config。 规则冲突时，若匹配顺序为auto（深度优先），描述的地址范围越小的规则，将会优先考虑。 深度的判断要依靠通配比较位和IP地址结合比较 rule deny source 55 rule permit source 55 两条规则结合则表示禁止一个大网段 （）上的主机但允许其中的一小部分主 机（）的访问。 规则冲突时，若匹配顺序为config，先配置的规则会被优先考虑。 相关知识－ACL * 在接口上应用访问控制列表 将访问控制列表应用到接口上； 指明在接口上是OUT还是IN方向。 [H3C] int serial0/0 [H3C-serial0/0] firewall packet-filter acl-number [inbound|outbound] Ethernet0 访问控制列表101 作用在Ethernet0接口 在out方向有效 Serial0 访问控制列表3 作用在Serial0接口上 在in方向上有效 相关知