返回
第6章 访问控制列表(acl)

第6章 访问控制列表(acl)

ID:6140179

大小:849.50 KB

页数:0页

时间:2017-11-18

第6章 访问控制列表(acl)_第页
预览图正在加载中,预计需要20秒,请耐心等待
资源描述:

《第6章 访问控制列表(acl)》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、网络组建补充-访问控制列表访问控制列表了解基本接口访问控制列表2了解MAC地址访问控制列表3重点掌握防火墙的启动配置41理解访问控制列表的基本原理重点掌握基本和高级访问控制列表配置5概念:ACL(AccessControlList)技术是一种基于包过滤的流控制技术,它在路由器,三层交换机中被广泛采用。访问控制列表对数据包的源地址、目的地址、端口号及协议号等进行检查,并根据数据包是否匹配访问控制列表规定的条件来决定是否允许数据包通过。访问控制列表概述H3C设备上访问控制列表按数字标识分为五种:接口ACL:数字标识范围1000至1999,是基于接

2、口的访问控制列表;基本ACL:数字标识范围2000至2999,只根据源IP地址进行过滤;高级ACL:数字标识范围3000至3999,根据数据包的源和目的IP地址及端口,IP承载的协议类型,协议特性等三、四层信息进行过滤;H3C设备上访问控制列表按数字标识分类(con.1)H3C设备上访问控制列表按数字标识分为五种:二层ACL:数字标识范围4000至4999,根据源和目的MAC地址,VLAN优先级,二层协议类型等二层信息进行过滤;用户自定义ACL:数字标识范围5000至5999,以数据包的头部为基准,指定从第几个字节开始进行“与”,将从报文提取

3、出来的字符串和用户定义的字符串进行比较,找到匹配报文来达到过滤的目的。H3C设备上访问控制列表按数字标识分类首先要启用防火墙;接着创建一个ACL(为acl指定一个number);然后定义规则(即定义根据什么规则来过滤哪种数据包);最后声明ACL规则应用场所(指明在哪些端口上应用,在端口的哪个方向上进行应用)ACL的配置主要包含四个步骤1.启用防火墙(系统视图下)[SYS]firewallenable//打开防火墙[SYS]firewalldefaultpermit//缺省过滤模式为允许通过2.创建一个访问控制列表并进入ACL视图(系统视图下)

4、[SYS]aclnumber2100//创建基本ACL3.增加一条访问控制列表的规则(ACL配置视图下)[SYS-acl-2100]rule1permitsource210.1.1.10.0.0.255[SYS-acl-2100]rule2denysourceany4.在指定场所应用ACL规则(接口视图下)[SYS-Ethernet0/0]firewallpacket-filter2100inbound//在Ethernet0/0流入方向上应用acl2100ACL的配置主要包含四个步骤示例注意:一个aclnumber可以包含很多条rule(规

5、则);配置时可省略规则号,系统会自行按顺序进行编号。一个acl还可以同时在其他接口上应用,并不只限定于某一个接口。1.启用防火墙(系统视图下)[SYS]firewall{enable

6、disable}//打开或关闭防火墙enable:允许防火墙过滤。disable:禁止防火墙过滤[SYS]firewalldefault{permit

7、deny}//设置防火墙缺省过滤方式。permit:防火墙缺省值过滤模式为允许规则匹配的数据包通过。deny:防火墙缺省值过滤模式为禁止规则匹配的数据包通过。启用防火墙注意:读者在学习ACL配置指令时会觉得参数较

8、多。其实学习ACL很简单,因为根本不必记住每个参数,掌握基本的几个配置就可以了,更具体的参数大家可以在配置时用指令查看。常用的ACL主要是基本的和高级的ACL。注意:以下使用的是H3CAR28路由器中的ACL指令,MSR路由器指令略有不同,部分不同体现在“rule”指令所带参数的顺序上。大家可以参看指令手册。注意:H3C默认防火墙缺省过滤方式是允许的;华为的防火墙缺省过滤模式为允许所有数据包通过,而思科的防火墙缺省过滤模式为禁止通过的。2.定义/删除一个ACL(系统视图下)[SYS]aclnumberacl-number[match-orde

9、r{config

10、auto}][SYS]undoacl{numberacl-number

11、all}定义一个ACLacl-number:访问控制列表的序号,值可以从1000-5999。match-order:指定规则的匹配顺序。config:匹配规则时按规则(rule)的序号顺序进行。match-order缺省值为config。auto:匹配规则时系统自动排序(按“深度优先”的顺序),精确度相同时按用户的配置顺序进行匹配。深度优先顺序的判断原则如下:先比较acl规则(rule)的协议范围。IP协议的范围为1~255,承载在IP上的其他协议范围就

12、是自己的协议号;协议范围小的优先;再比较源IP地址范围。源IP地址范围小(掩码长)的优先;然后比较目的IP地址范围。目的IP地址范围小(掩码长)的优先;最后比较四层

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。