- 上一篇 思科CCNA专题二:TCP/IP协议及子协议(第二章) [2007-7-4 11:02:31]
| 微软MCSE2003:Security | 微软MCSE2003+MCDBA |
| 国家软考-网络工程师 | 华为认证网络工程师(HCNE) |
| Adobe平面设计师(ACCD) | Adobe网络设计师(ACCD) |
| 国家信息化网络安全工程师 | CEAC网络应用工程师 |
| CEAC微机装配与维护工程师 | 信息产业部数据恢复职业技术培训 |
| 黑客系列:黑客攻防实战 | 瑞星病毒防范技能工程师 |
对应章节:第八章
重点:访问列表的类型、标准访问列表、扩展访问列表 NAT,PAT,过载
难点:如何配置访问列表语句
亮点/应用/重要性:在实际的网络管理中,我们需要使用访问列表来控制数据流量,以及关联访问列表进行地址转换
主要内容:从访问列表的作用和语句构成开始,然后重点介绍如何写访问列表的步骤和思路,以及简单的配置地址转换
华为HCNE专题八:访问控制列表及网络地址转换(20070627)在线专题授课音频
(本课程正式学员可登录学习系统,进入对应课程,在窗口左边的“课程资料室”内进行在线浏览。)答疑整理:
一, 访问控制列表的作用
访问控制列表具有区分数据包的功能。
访问控制列表可以用于防火墙;
访问控制列表可以用于Qos(Quality of Service),对数据流量进行控制;
在DCC(拨号控制中心)中,访问控制列表还可以用来规定触发拨号的条件;
访问控制列表还可以用于地址转换;
在配置路由策略时,可以利用访问控制列表来作路由信息的过滤。
二, 访问控制列表分类
· 利用数字标识访问控制列表
· 利用数字范围标识访问控制列表的种类
| 列表种类 | 数字标识范围 |
| IP standard | list 1—99 |
| IP extended | list 100--199 |
例如:
acl 1
rule permit ip source 202.110.10.0 0.0.0.255
表示序号为1的访问控制列表,它是标准访问列表。
acl 100
rule deny tcp source any destination any destination-port equal smtp
表示序号为100的访问控制列表,它是扩展访问列表。
三, 标准,扩展访问列表的写法
标准访问控制列表只只是根据数据包的源地址对数据包进行区分,表明允许还是拒绝。
如:允许202.110.10.0网段的数据包通过,拒绝192.100.10.0网段的数据通过,则可以用标准访问控制列表表示:
acl 1
rule permit ip source 202.110.10.0 0.0.0.255
rule deny ip source 192.110.10.0 0.0.0.255
acl acl-number [match-order auto | config]
rule {normal | special} {permit | deny} [source source-addr source-wildcard | any]
扩展访问控制列表使用除源地址外更多的信息描述数据包,表明允许还是拒绝。
对于使用TCP、UDP协议传输的数据包还可以同时使用端口号来对数据包做出区分。
· 配置TCP/UDP协议的扩展访问列表
rule {normal | special } {permit | deny} {tcp |udp} [source source-addr source-wildcard |any] [source-port operator port1 [port2]] [destination dest-addr dest-wildcard |any] [destination-port operator port1 [port2] ][logging]
· 配置ICMP协议的扩展访问列表
rule {normal | special } {permit | deny} icmp [source source-addr source-wildcard |any] [destination dest-addr dest-wildcard |any] [icmp-type icmp-type icmp-code] [logging]
· 配置其它协议的扩展访问列表
rule {normal | special } {permit | deny} {ip | ospf |igmp |gre} [source source-addr source-wildcard |any] [destination dest-addr dest-wildcard |any] [logging]
四, 访问控制列表的启用
· 启用防火墙
· 定义访问控制列表
· 将访问控制列表应用在接口上
实际应用中可能用到以下扩展应用:
1. 设置防火墙的缺省过滤模式 2. 允许或禁止时间段 3.设定时间段 4. 允许日志主机 5. 指定日志主机 6. 显示配置状况
其中,2和4均在配置访问控制列表中设置,1、3、5和6由专门的命令完成。
A:开启防火墙
打开或者关闭防火墙 firewall {enable | disable}
· 设置防火墙的缺省过滤模式 firewall default {permit | deny}
· 显示防火墙的状态信息 display firewall
B:在接口上应用访问控制列表
· 将访问控制列表应用到接口上
· 指明在接口上是OUT还是IN方向
· 在接口视图下配置: firewall packet-filter acl-number [inbound | outbound]
五, 地址转换示例
路由器Quidway2501通过接口serial0访问internet,公司内部对外提供WWW、ftp、telnet服务,内部子网为129.38.1.0,对外的IP202.38.160.1。在路由器上配置了地址转换,这样(129.38.1.4)可以访问internet,外部可以访问内部服务器。
通过防火墙配置,实现:外部网络只有特定主机(202.39.2.3)可以访内部服务器。内部网络只有特定主机(129.38.1.4)可以访问外部网络。
配置步骤:
1.允许防火墙
2.定义扩展的访问列表
3.在接口上应用访问控制列表
4.在接口上利用访问控制列表定义地址转换
5.配置内部服务器的地址映射关系
配置:
!允许防火墙
[Quidway]firewall enable
!设置防火墙缺省的过滤方式为允许包通过
[Quidway]firewall default permit
!配置访问规则禁止所有包通过
[Quidway]acl 101
[Quidway-acl-101]rule deny ip source any destination any
!配置规则允许特定的主机访问外部网,允许内部服务器访问外部网
[Quidway-acl-101]rule permit ip source 129.38.1.1 0 destination any
[Quidway-acl-101]rule permit ip source 129.38.1.2 0 destination any
[Quidway-acl-101]rule permit ip source 129.38.1.3 0 destination any
[Quidway-acl-101]rule permit ip source 129.38.1.4 0 destination any
!配置规则允许特定的用户从外部网访问内部服务器
[Quidway-acl-101]acl 102
[Quidway-acl-102]rule deny ip source any destination any
[Quidway-acl-102]rule permit tcp source 202.39.2.3 0 destination 202.38.160.1 0
!配置规则允许特定用户从外部网取得数据(只允许端口大于1024的包)
[Quidway-acl-102]rule permit tcp source any destination 202.38.160.1 0 destination-port greater-than 1024
!将规则101作用于从接口Ethernet0进入的包
[Quidway-ethernet0]firwall packet-filter 101 inbound
!将规则102作用于从接口serial0进入的包
[Quidway-serial0]firwall packet-filter 102 inbound
!在接口serial0上使用访问控制列表101作地址转换条件(Easy IP):
[Quidway-serial0]nat outbound 101 interface
!设置内部FTP服务器
(未完……本课程正式学员可登录学习系统,进入对应课程,在窗口左边的“课程资料室”内进行在线浏览。)
站内检索: |
 |