访问控制列表和地址转换及配置.doc

访问控制列表和地址转换及配置 学习完此课程，您将会： 理解访问控制列表的基本原理 掌握标准和扩展访问控制列表的配置方法 掌握地址转换的基本原理和配置方法 IP包过滤技术介绍 如何在保证合法访问的同时，对非法访问进行控制？ 对路由器需要转发的数据包，先获取包头信息，然后和设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表。 访问控制列表的作用 访问控制列表可以用于防火墙； 访问控制列表可以用于Qos（Quality of Service），对数据流量进行控制； 在DCC中，访问控制列表还可用来规定触发拨号的条件； 访问控制列表还可以用于地址转换； 在配置路由策略时，可以利用访问控制列表来作路由信息的过滤。 访问控制列表是什么？ 一个IP数据包如下图所示（图中IP所承载的上层协议为TCP/UDP）： 如何标识访问控制列表？ 利用数字标识访问控制列表 利用数字范围标识访问控制列表的种类 标准访问控制列表 标准访问控制列表只使用源地址描述数据，表明是允许还是拒绝。 标准访问控制列表的配置 配置标准访问列表的命令格式如下： acl acl-number [ match-order auto | config ] rule [ rule-id ] { permit | deny } [ source sour-addr sour-wildcard | any ] [ time-range time-name ] [ logging ] [ fragment ] [ vpn-instance vpn-instance-name ] 如何使用反掩码 反掩码和子网掩码相似，但写法不同： 0表示需要比较 1表示忽略比较 反掩码和IP地址结合使用，可以描述一个地址范围。 高级访问控制列表 高级访问控制列表使用除源地址外更多的信息描述数据包，表明是允许还是拒绝。 高级访问控制列表的配置命令 配置TCP/UDP协议的高级访问列表： rule [ rule-id ] { permit | deny } { tcp | udp } [source source-addr source-wildcard | any ] [source-port operator port1 [ port2 ] ] [ destination dest-addr dest- wildcard | any ] [destination-port operator port1 [ port2 ] ] [logging] 配置ICMP 协议的高级访问列表： rule [ rule-id ] { permit | deny } icmp [source source-addr source-wildcard | any ] [ destination dest-addr dest- wildcard | any ] [icmp-type icmp-type icmp-code] [logging] 配置其它协议的高级访问列表： rule [ rule-id ] { permit | deny } { ip | ospf | igmp | gre } [source source-addr source-wildcard | any ] [ destination dest-addr dest- wildcard | any ] [logging] 高级访问控制列表操作符的含义 高级访问控制列表举例 rule deny icmp source 55 destination any icmp-type host-redirect 如何使用访问控制列表 防火墙配置常见步骤： 启用防火墙 定义访问控制列表 将访问控制列表应用到接口上 防火墙的属性配置命令 打开或者关闭防火墙 firewall { enable | disable } 设置防火墙的缺省过滤模式 firewall default { permit | deny } 显示防火墙的状态信息 display firewall-statistics { all | interface interface-name | fragments-inspect } 打开防火墙包过滤调试信息开关 debugging firewall { all | eff | fragments-inspect | icmp | other | tcp | udp } 在接口上应用访问控制列表 将访问控制列表应用到接口上 指明在接口上是OUT还是IN方向 在接口视图下配置： firewall pa