访问控制列表(华为).pptVIP

典型访问列表和地址转换综合应用配置案例 Internet FTP 服务器 Telnet 服务器 WWW 服务器 公司内部局域网 特定的外部用户 配置步骤 按照实际情况具有以下几个步骤： 允许/禁止防火墙（Quidway系列路由器默认是禁止防火墙功能） 定义扩展的访问控制列表 在接口上应用访问控制列表 在接口上利用访问控制列表定义地址转换 配置内部服务器的地址映射关系 本章总结 包过滤技术的基本规则和原理 标准和扩展访问控制列表的配置方法 访问控制列表用于防火墙 地址转换的基本概念和规则 地址转换的配置方法 谢谢大家！ * 此页列出学习本课程需要达到的目标。 此页胶片仅在授课时使用，胶片＋注释中有单独的文字说明课程目标，不需要再使用该页胶片。 * 此页标题禁止有多级标题，更不要出现所在章节的名称。 此页标题要简练，能直接表达出本页的内容。 内容页可以除标题外的任何版式，如图、表等。 对于只授课用的胶片，文字字体可以调整，但必须统一： 一级文字为24号，二级文字为20号，三级文字为18号，四级文字为16号。 该页在授课和胶片＋注释中都要使用。 * * 对于比较大的章，内容比较多，最好能在一章讲解完后对本章的课程内容、要达到的能力和注意事项等进行概要总结。 本页在胶片＋注释中同样要使用。 访问控制列表和地址转换 学习目标 理解访问控制列表的基本原理 掌握标准和扩展访问控制列表的配置方法 掌握地址转换的基本原理和配置方法 学习完本课程，您应该能够： IP包过滤技术介绍 对路由器需要转发的数据包，先获取包头信息，然后和设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表。 Internet 公司总部 内部网络 未授权用户 办事处 访问控制列表的作用 访问控制列表可以用于防火墙； 访问控制列表可用于Qos（Quality of Service），对数据流量进行控制； 在DDR中，访问控制列表还可用来规定触发拨号的条件； 访问控制列表还可以用于地址转换； 在配置路由策略时，可以利用访问控制列表来作路由信息的过滤。 访问控制列表是什么？ 一个IP数据包如下图所示（图中IP所承载的上层协议为TCP）： IP报头 TCP报头 数据 协议号 源地址 目的地址 源端口 目的端口 对于TCP来说，这5个元素组成了一个TCP相关，访问控制列表就是利用这些元素定义的规则 如何标识访问控制列表？ 利用数字标识访问控制列表 利用数字范围标识访问控制列表的种类 列表的种类 数字标识的范围 IP standard list 1－99 IP extended list 100－199 标准访问控制列表 标准访问控制列表只使用源地址描述数据，表明是允许还是拒绝。 从/24来的数据包可以通过！ 从/24来的数据包不能通过！ 路由器 标准访问控制列表的配置 配置标准访问列表的命令格式如下： acl acl-number [ match-order config | auto ] rule { normal | special }{ permit | deny } [source source-addr source-wildcard | any ] 怎样利用 IP 地址 和 反掩码wildcard-mask 来表示 一个网段? 如何使用反掩码 反掩码和子网掩码相似，但写法不同： 0表示需要比较 1表示忽略比较 反掩码和IP地址结合使用，可以描述一个地址范围。 0 0 0 255 只比较前24位 0 0 3 255 只比较前22位 0 255 255 255 只比较前8位 扩展访问控制列表 扩展访问控制列表使用除源地址外更多的信息描述数据包，表明是允许还是拒绝。 从/24来的,到0的， 使用TCP协议， 利用HTTP访问的 数据包可以通过！ 路由器 扩展访问控制列表的配置命令 配置TCP/UDP协议的扩展访问列表： rule { normal | special }{ permit | deny } { tcp | udp } [source source-addr source-wildcard | any ] [source-port operator port1 [ port2 ] ] [ destination dest-addr dest- wildcard | any ] [destination-port operator port1 [ port2 ] ] [logging] 配置ICMP协议的扩展访问列表： rule { normal | special }{ permit | deny } icmp [source source-addr source-wildc