华为设备访问控制列表acl的原理与配置

华为设备访问控制列表acl的原理与配置

ID:40131254

大小:798.50 KB

页数:21页

时间:2019-07-22

华为设备访问控制列表acl的原理与配置_第1页
华为设备访问控制列表acl的原理与配置_第2页
华为设备访问控制列表acl的原理与配置_第3页
华为设备访问控制列表acl的原理与配置_第4页
华为设备访问控制列表acl的原理与配置_第5页
资源描述:

《华为设备访问控制列表acl的原理与配置》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、访问控制列表网络设备及高级应用技术课程组制作学习目标理解访问控制列表的基本原理掌握标准和扩展访问控制列表的配置方法掌握地址转换的基本原理和配置方法学习完本课程,您应该能够:课程内容访问控制列表访问控制列表实例IP包过滤技术介绍对路由器需要转发的数据包,先获取包头信息,然后和设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表。Internet公司总部内部网络未授权用户办事处访问控制列表的作用访问控制列表可以用于防火墙;访问控制列表可以用于Qos(QualityofService),对数据流量进行控制;在DCC中,访问控

2、制列表还可用来规定触发拨号的条件;访问控制列表还可以用于地址转换;在配置路由策略时,可以利用访问控制列表来作路由信息的过滤。访问控制列表是什么?一个IP数据包如下图所示(图中IP所承载的上层协议为TCP/UDP):IP报头TCP/UDP报头数据协议号源地址目的地址源端口目的端口对于TCP/UDP来说,这5个元素组成了一个TCP/UDP相关,访问控制列表就是利用这些元素定义的规则如何标识访问控制列表?利用数字标识访问控制列表利用数字范围标识访问控制列表的种类列表的种类数字标识的范围IPstandardlist1-99IPextendedlist100-199标准访

3、问控制列表标准访问控制列表只使用源地址描述数据,表明是允许还是拒绝。从202.110.10.0/24来的数据包可以通过!从192.110.10.0/24来的数据包不能通过!路由器标准访问控制列表的配置配置标准访问列表的命令格式如下:aclacl-number[match-orderauto

4、config]rule{normal

5、special}{permit

6、deny}[sourcesource-addrsource-wildcard

7、any]怎样利用IP地址和反掩码wildcard-mask来表示一个网段?如何使用反掩码反掩码和子网掩码相似,但写法不同:0表示

8、需要比较1表示忽略比较反掩码和IP地址结合使用,可以描述一个地址范围。000255只比较前24位003255只比较前22位0255255255只比较前8位扩展访问控制列表扩展访问控制列表使用除源地址外更多的信息描述数据包,表明是允许还是拒绝。从202.110.10.0/24来的,到179.100.17.10的,使用TCP协议,利用HTTP访问的数据包可以通过!路由器扩展访问控制列表的配置命令配置TCP/UDP协议的扩展访问列表:rule{normal

9、special}{permit

10、deny}{tcp

11、udp}[sourcesource-addrsource-w

12、ildcard

13、any][source-portoperatorport1[port2]][destinationdest-addrdest-wildcard

14、any][destination-portoperatorport1[port2]][logging]配置ICMP协议的扩展访问列表:rule{normal

15、special}{permit

16、deny}icmp[sourcesource-addrsource-wildcard

17、any][destinationdest-addrdest-wildcard

18、any][icmp-typeicmp-typeicmp

19、-code][logging]配置其它协议的扩展访问列表:rule{normal

20、special}{permit

21、deny}{ip

22、ospf

23、igmp

24、gre}[sourcesource-addrsource-wildcard

25、any][destinationdest-addrdest-wildcard

26、any][logging]扩展访问控制列表操作符的含义操作符及语法意义equalportnumber等于端口号portnumbergreater-thanportnumber大于端口号portnumberless-thanportnumber小于端口号portn

27、umbernot-equalportnumber不等于端口号portnumberrangeportnumber1portnumber2介于端口号portnumber1和portnumber2之间扩展访问控制列表举例10.1.0.0/16ICMP主机重定向报文ruledenyicmpsource10.1.0.00.0.255.255destinationanyicmp-typehost-redirectruledenytcpsource129.9.0.00.0.255.255destination202.38.160.00.0.0.255destination-p

28、ortequalwwwl

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。