訪問控制列表演示文稿

訪問控制列表演示文稿當(dāng)前1頁(yè)，總共18頁(yè)。優(yōu)選訪問控制列表當(dāng)前2頁(yè)，總共18頁(yè)。學(xué)習(xí)完本課程，您應(yīng)該能夠：理解訪問控制列表的基本原理學(xué)習(xí)目標(biāo)當(dāng)前3頁(yè)，總共18頁(yè)。IP包過濾技術(shù)介紹對(duì)路由器需要轉(zhuǎn)發(fā)的數(shù)據(jù)包，先獲取包頭信息，然后和設(shè)定的規(guī)則進(jìn)行比較，根據(jù)比較的結(jié)果對(duì)數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)或者丟棄。而實(shí)現(xiàn)包過濾的核心技術(shù)是訪問控制列表。Internet公司總部?jī)?nèi)部網(wǎng)絡(luò)未授權(quán)用戶辦事處當(dāng)前4頁(yè)，總共18頁(yè)。訪問控制列表的作用訪問控制列表可以用于防火墻；訪問控制列表可以用于Qos（QualityofService），對(duì)數(shù)據(jù)流量進(jìn)行控制；在DCC中，訪問控制列表還可用來規(guī)定觸發(fā)撥號(hào)的條件；訪問控制列表還可以用于地址轉(zhuǎn)換；在配置路由策略時(shí)，可以利用訪問控制列表來作路由信息的過濾。當(dāng)前5頁(yè)，總共18頁(yè)。訪問控制列表是什么？一個(gè)IP數(shù)據(jù)包如下圖所示（圖中IP所承載的上層協(xié)議為TCP/UDP）：IP報(bào)頭TCP/UDP報(bào)頭數(shù)據(jù)協(xié)議號(hào)源地址目的地址源端口目的端口對(duì)于TCP/UDP來說，這5個(gè)元素組成了一個(gè)TCP/UDP相關(guān)，訪問控制列表就是利用這些元素定義的規(guī)則當(dāng)前6頁(yè)，總共18頁(yè)。如何標(biāo)識(shí)訪問控制列表？利用數(shù)字標(biāo)識(shí)訪問控制列表利用數(shù)字范圍標(biāo)識(shí)訪問控制列表的種類列表的種類數(shù)字標(biāo)識(shí)的范圍IPstandardlist2000-2999IPextendedlist3000-3999當(dāng)前7頁(yè)，總共18頁(yè)。標(biāo)準(zhǔn)訪問控制列表標(biāo)準(zhǔn)訪問控制列表只使用源地址描述數(shù)據(jù)，表明是允許還是拒絕。從/24來的數(shù)據(jù)包可以通過！從/24來的數(shù)據(jù)包不能通過！路由器當(dāng)前8頁(yè)，總共18頁(yè)。標(biāo)準(zhǔn)訪問控制列表的配置配置標(biāo)準(zhǔn)訪問列表的命令格式如下：aclacl-number[match-orderauto|config]rule{normal|special}{permit|deny}[sourcesource-addrsource-wildcard|any]怎樣利用IP地址

和

反掩碼wildcard-mask來表示一個(gè)網(wǎng)段?當(dāng)前9頁(yè)，總共18頁(yè)。如何使用反掩碼反掩碼和子網(wǎng)掩碼相似，但寫法不同：0表示需要比較1表示忽略比較反掩碼和IP地址結(jié)合使用，可以描述一個(gè)地址范圍。000255只比較前24位003255只比較前22位0255255255只比較前8位當(dāng)前10頁(yè)，總共18頁(yè)。擴(kuò)展訪問控制列表擴(kuò)展訪問控制列表使用除源地址外更多的信息描述數(shù)據(jù)包，表明是允許還是拒絕。從/24來的,到0的，使用TCP協(xié)議，利用HTTP訪問的數(shù)據(jù)包可以通過！路由器當(dāng)前11頁(yè)，總共18頁(yè)。擴(kuò)展訪問控制列表的配置命令配置TCP/UDP協(xié)議的擴(kuò)展訪問列表：rule{normal|special}{permit|deny}{tcp|udp}[sourcesource-addrsource-wildcard|any][source-portoperatorport1[port2]][destinationdest-addrdest-wildcard|any][destination-portoperatorport1[port2]][logging]配置ICMP協(xié)議的擴(kuò)展訪問列表：rule{normal|special}{permit|deny}icmp[sourcesource-addrsource-wildcard|any][destinationdest-addrdest-wildcard|any][icmp-typeicmp-typeicmp-code][logging]配置其它協(xié)議的擴(kuò)展訪問列表：rule{normal|special}{permit|deny}{ip|ospf|igmp|gre}[sourcesource-addrsource-wildcard|any][destinationdest-addrdest-wildcard|any][logging]當(dāng)前12頁(yè)，總共18頁(yè)。擴(kuò)展訪問控制列表操作符的含義操作符及語(yǔ)法意義equalportnumber等于端口號(hào)portnumbergreater-thanportnumber大于端口號(hào)portnumberless-thanportnumber小于端口號(hào)portnumbernot-equalportnumber不等于端口號(hào)portnumberrangeportnumber1portnumber2介于端口號(hào)portnumber1和portnumber2之間當(dāng)前13頁(yè)，總共18頁(yè)。擴(kuò)展訪問控制列表舉例ruledenyicmpsource55destinationanyicmp-typehost-redirectruledenytcpsource55destination55destination-portequalwwwlogging問題:下面這條訪問控制列表表示什么意思?ruledenyudpsource55destination55destination-portgreater-than128/16ICMP主機(jī)重定向報(bào)文/16TCP報(bào)文/24WWW端口當(dāng)前14頁(yè)，總共18頁(yè)。如何使用訪問控制列表防火墻配置常見步驟：?jiǎn)⒂梅阑饓Χx訪問控制列表將訪問控制列表應(yīng)用到接口上Internet公司總部網(wǎng)絡(luò)啟用防火墻將訪問控制列表應(yīng)用到接口上當(dāng)前15頁(yè)，總共18頁(yè)。防火墻的屬性配置命令打開或者關(guān)閉防火墻firewall{enable|disable}設(shè)置防火墻的缺省過濾模式firewalldefault{permit|deny}顯示防火墻的狀態(tài)信息displayfirewall當(dāng)前16頁(yè)，總共18頁(yè)。在接口上應(yīng)用訪問控制列表將訪問控制列表應(yīng)用到接口上指明在接口上是OUT還是IN方向在接口視圖下配置：firewallpacket-filteracl-number[inbound|outbound]Ethernet0訪問控制列表3001作用在Ethernet0接口在out方向有效S