华为 访问控制列表与地址转换

本文由rise813贡献
ppt文档可能在WAP端浏览体验不佳。建议您优先选择TXT，或下载源文件到本机查看。
8、访问控制列表与地址转换
华为技术有限公司 数据通信产品行销部
学习目标
理解访问控制列表的基本原理 掌握标准和扩展访问控制列表的 配置方法 掌握地址转换的基本原理和配置 方法
IP包过滤技术介绍 IP包过滤技术介绍
对路由器需要转发的数据包，先获取包头信息，然 对路由器需要转发的数据包，先获取包头信息， 后和设定的规则进行比较， 后和设定的规则进行比较，根据比较的结果对数据 包进行转发或者丢弃。 包进行转发或者丢弃。而实现包过滤的核心技术是 访问控制列表。 访问控制列表。
R
内部网络 Internet 办事处
公司总部
未授权用户
访问控制列表的作用
访问控制列表可以用于防火墙； 访问控制列表可以用于防火墙； 访问控制列表可用于Qos(Quality Service)， 访问控制列表可用于Qos(Quality of Service)，对 数据流量进行控制； 数据流量进行控制； DDR中 在DDR中，访问控制列表还可用来规定触发拨号的 条件； 条件； 访问控制列表还可以用于地址转换； 访问控制列表还可以用于地址转换； 在配置路由策略时， 在配置路由策略时，可以利用访问控制列表来作路 由信息的过滤。 由信息的过滤。
访问控制列表是什么？ 访问控制列表是什么？
一个IP数据包如下图所示 图中IP所承载的上层协议为 一个IP数据包如下图所示(图中IP所承载的上层协议为 数据包如下图所示( TCP)： TCP)：
IP报头 IP报头 TCP报头 TCP报头 数据
协议号 源地址 目的地址
源端口 目的端口
对于TCP来说， 对于TCP来说，这5个元素组 来说 成了一个TCP相关 相关， 成了一个TCP相关，访问控 制列表就是利用这些元素定 义的规则
如何标识访问控制列表？ 如何标识访问控制列表？
利用数字标识访问控制列表 利用数字范围标识访问控制列表的种类
列表的种类
IP standard list IP extended list
数字标识的范围
1－99 100－ 100－199
标准访问控制列表
标准访问控制列表只使用源地址描述数据， 标准访问控制列表只使用源地址描述数据，表明是允许还 是拒绝。 是拒绝。
从202.110.10.0/24 来的数据包可以通 过！ 从192.110.10.0/24 来的数据包不能通 过！
路由器
标准访问控制列表的配置
配置标准访问列表的命令格式如下： 配置标准访问列表的命令格式如下：
acl acl-number [ match-order config | auto ] aclmatchrule { normal | special }{ permit | deny } [source sourcesourceaddr source-wildcard | any ] source-

怎样利用 IP 地址 和 反掩码wildcard反掩码wildcard-mask 来表示 一个网段? 一个网段?
如何使用反掩码
反掩码和子网掩码相似，但写法不同： 反掩码和子网掩码相似，但写法不同：
0表示需要比较 1表示忽略比较
反掩码和IP地址结合使用，可以描述一个地址范围。 反掩码和IP地址结合使用，可以描述一个地址范围。 地址结合使用
0 0 0
0 0 255
0 3 255
255
只比较前24位 只比较前 位
255
只比较前22位 只比较前 位
255
只比较前8位 只比较前 位
扩展访问控制列表
扩展访问控制列表使用除源地址外更多的信息描述数据包， 扩展访问控制列表使用除源地址外更多的信息描述数据包， 表明是允许还是拒绝。 表明是允许还是拒绝。
从202.110.10.0/24来的, 202.110.10.0/24来的 来的, 179.100.17.10的 到179.100.17.10的， 使用TCP协议 协议， 使用TCP协议， 利用HTTP访问的 利用HTTP访问的 数据包可以通过！ 数据包可以通过！
路由器
扩展访问控制列表的配置 命令
配置TCP/UDP协议的扩展访问列表： 配置TCP/UDP协议的扩展访问列表： 协议的扩展访问列表
rule { normal | special }{ permit | deny } { tcp | udp } [source source-addr source-wildcard | any ] [sourcesourcesource[sourceport operator port1 [ port2 ] ] [ destination dest-addr destdestdest- wildcard | any ] [destination-port operator port1 [destination[ port2 ] ] [logging]
配置ICMP协议的扩展访问列表： 配置ICMP协议的扩展访问列表： 协议的扩展访问列表
rule { normal | special }{ permit | deny } icmp [source sourcesource-addr source-wildcard | any ] [ destination destsourcedestaddr dest- wildcard | any ] [icmp-type icmp-type icmpdest[icmpicmpicmpcode] code] [logging]
配置其它协议的扩展访问列表： 配置其它协议的扩展访问列表：
rule { normal | special }{ permit | deny } { ip | ospf | igmp | gre } [source source-addr source-wildcard | any ] sourcesource[ destination dest-addr dest- wildcard | any ] [logging] destdest-
扩展访问控制列表操作符 的含义
操作符及语法 equal portnumber greater-than portnumber less-than portnumber not-equal portnumber range portnumber1 portnumber2 意义 等于端口号 portnumber 大于端口号portnumber 大于端口号 小于端口号portnumber 小于端口号 不等于端口号portnumber 不等于端口号 介于端口号portnumber1 和 介于端口号 portnumber2之间 之间
扩展访问控制列表举例
rule deny icmp source 10.1.0.0 0.0.255.255 destination any icmp-type icmphosthost-redirect
ICMP主机重定向报文 ICMP主机重定向报文 10.1.0.0/16
rule deny tcp source 129.9.0.0 0.0.255.255 202.38.160.0 0.0.0.255 equal www logging
TCP报文 TCP报文 WWW 端口 202.38.160.0/24
129.9.0.0/16

问题: 下面这条访问控制列表表示什么意思? 问题 下面这条访问控制列表表示什么意思 rule deny udp source 129.9.8.0 0.0.0.255 202.38.160.0 0.0.0.255 great-than 128
如何使用访问控制列表
启用防火墙
Internet
公司总部网络
Rules of ACL
将访问控制列表应用到接口 上
按照实际需求可以扩展以下应用： 按照实际需求可以扩展以下应用：
设置防火墙的缺省过滤模式 允许或禁止时间段过滤 设定特殊时间段 指定日志主机
防火墙的属性配置命令 打开或者关闭防火墙
firewall { enable | disable }
设置防火墙的缺省过滤模式
firewall default { permit|deny }
显示防火墙的状态信息
display firewall
在接口上应用访问控制列表
将访问控制列表应用到接口上 指明在接口上是OUT还是 方向 还是IN 指明在接口上是OUT还是IN方向
访问控制列表101 访问控制列表101 作用在Ethernet0接口 作用在Ethernet0接口 out方向有效 在out方向有效
访问控制列表3 访问控制列表3 作用在Serial0接口上 作用在Serial0接口上 in方向上有效 在in方向上有效
Ethernet0
Serial0
基于时间段的包过滤 “特殊时间段内应用特殊的规则” 特殊时间段内应用特殊的规则”
Internet
Rules of ACL
上班时间 (上午8：00 － 下午5：00) 上午8 下午5 只能访问特定的站点； 只能访问特定的站点；其余 时间可以访问其他站点
时间段的配置命令
time range 命令
timerange { enable|disable }
[undo] settr 命令
settr begin-time end-time [ begin-time endbeginendbeginendtime …… ] undo settr
显示 isintr 命令
display isintr
显示 timerange 命令
display timerange
日志功能的配置命令
日志功能是允许在特定的主机上记录下来防火墙的 操作： 操作： infoenable”命令用于开启日志系统。 “info-center enable”命令用于开启日志系统。 infologhost” “info-center loghost”命令用于配置日志主机地 址等相关属性。 址等相关属性。 debugging”命令用于显示日志配置信息。 “display debugging”命令用于显示日志配置信息。
在华为Quidway路由器上提供了非常丰富的日志功能， 在华为Quidway路由器上提供了非常丰富的日志功能， 路由器上提供了非常丰富的日志功能 详细内容请参考配置手册
访问控制列表的组合
一条访问列表可以由多条规则组成,对于这些规则， 一条访问列表可以由多条规则组成,对于这些规则， 有两种匹配顺序：auto和config。 有两种匹配顺序：auto和config。 规则冲突时，若匹配顺序为auto(深度优先 深度优先) 规则冲突时，若匹配顺序为auto(深度优先)，描述 的地址范围越小的规则

，将会优先考虑。 的地址范围越小的规则，将会优先考虑。
深度的判断要依靠通配比较位和IP地址结合比较 深度的判断要依靠通配比较位和IP地址结合比较 ? access-list 4 deny 202.38.0.0 0.0.255.255 access? access-list 4 permit 202.38.160.1 0.0.0.255 access? 两条规则结合则表示禁止一个大网段 (202.38.0.0)上的 (202.38.0.0)上的 (202.38.160.0)的访问 的访问。 主机但允许其中的一小部分主 机(202.38.160.0)的访问。
规则冲突时，若匹配顺序为config，先配置的规则 规则冲突时，若匹配顺序为config， 会被优先考虑。 会被优先考虑。
地址转换的提出背景
地址转换是在IP地址日益短缺的情况下提出的。 地址转换是在IP地址日益短缺的情况下提出的。 地址日益短缺的情况下提出的 一个局域网内部有很多台主机， 一个局域网内部有很多台主机，可是不能保证每台 主机都拥有合法的IP地址 地址， 主机都拥有合法的IP地址，为了到达所有的内部主 机都可以连接Internet网络的目的 网络的目的， 机都可以连接Internet网络的目的，可以使用地址 转换。 转换。 地址转换技术可以有效的隐藏内部局域网中的主机， 地址转换技术可以有效的隐藏内部局域网中的主机， 因此同时是一种有效的网络安全保护技术。 因此同时是一种有效的网络安全保护技术。 同时地址转换可以按照用户的需要， 同时地址转换可以按照用户的需要，在内部局域网 内部提供给外部FTP、WWW、Telnet服务 服务。 内部提供给外部FTP、WWW、Telnet服务。
私有地址和公有地址
192.168.0.2 192.168.0.1 LAN1 Internet LAN2
192.168.0.1 私有地址范围： 私有地址范围： 10.0.0.0 - 10.255.255.255 172.16.0.0 - 172.31.255.255 192.168.0.0 - 192.168.255.255 LAN3
地址转换的原理
IP 报文 PC1
IP:192.168.0.1 Port:3000 IP:202.0.0.1 Port:4000
地址转换 Internet
IP:202.0.0.1 Port:4001
PC2
局域网
IP:192.168.0.2 Port:3010
利用ACL控制地址转换 利用ACL控制地址转换
PC1
Internet
PC2
局域网
设置访问控制列表控 pc1可以通过地址 制pc1可以通过地址 转换访问Internet,而 转换访问Internet,而 pc2则不行 pc2则不行。 则不行。
可以使用访问控制列表来决定那些主机可以访问 Internet，那些不能。 Internet，那些不能。
Easy IP特性 IP特性
Easy IP：在地址转换的过程中直接使用接口的IP IP：在地址转换的过程中直接使用接口的IP 地址作为转换后的源地址。 地址作为转换后的源地址。
PC1
S0:202.0.0.1 Internet
PC2
局域网
PC1 和 PC2 可以直接使 S0接口的 接口的IP 用 S0接口的IP 地址作为 地址转换后的公用IP地址 地址转换后的公用IP地址
使

用地址池进行地址转换
PC1
202.38.160.1 202.38.160.2 202.38.160.3 202.38.160.4
地址池
Internet
PC2
局域网
地址池用来动态、透明的为内部网络的用户分配地址。 地址池用来动态、透明的为内部网络的用户分配地址。它是 一些连续的IP地址集合，利用不超过32字节的字符串标识 一些连续的IP地址集合，利用不超过32字节的字符串标识。 字节的字符串标识。 地址集合 地址池可以支持更多的局域网用户同时上Internet。 地址池可以支持更多的局域网用户同时上Internet。
内部服务器的应用
内部服务器
R
内部地址:10.0.1.1 内部地址:10.0.1.1 内部端口:80 内部端口:80
E0
Serial 0
Internet
配置地址转换: 配置地址转换: IP地址: IP地址 地址: 10.0.1.1←→202.38 .160.1 端口: 端口: 80←→80
外部地址:202.38.160.1 外部地址:202.38.160.1 外部端口:80 外部端口:80
IP:202.39.2.3 允许外部用户访问 内部服务器 外部用户
地址转换的缺点 地址转换对于报文内容中含有有用的地址信 息的情况很难处理。 息的情况很难处理。 地址转换不能处理IP报头加密的情况。 地址转换不能处理IP报头加密的情况。 报头加密的情况 地址转换由于隐藏了内部主机地址，有时候 地址转换由于隐藏了内部主机地址， 会使网络调试变得复杂。 会使网络调试变得复杂。
地址转换的配置任务列表 定义一个访问控制列表，规定什么样的主机 定义一个访问控制列表， 可以访问Internet。 可以访问Internet。 采用EASY IP或地址池方式提供公有地址 或地址池方式提供公有地址。 采用EASY IP或地址池方式提供公有地址。 根据选择的方式(地址池方式还是easy ip方 根据选择的方式(地址池方式还是easy ip方 在连接Internet接口上允许地址转换 接口上允许地址转换。 式)，在连接Internet接口上允许地址转换。 根据局域网的需要，定义合适的内部服务器。 根据局域网的需要，定义合适的内部服务器。
NAT的监控与维护 NAT的监控与维护显示地址转换配置
display nat
设置地址转换连接有效时间
nat aging-time {tcp | udp | icmp} time-value agingtimenat aging-time default aging-
清除地址转换连接
nat reset
典型访问列表和地址转换 综合应用配置案例
FTP 服务器 129.38.1.1
R
Telnet 服务器 WWW 服务器 129.38.1.2 129.38.1.3
R R
129.38.1.4
公司内部局域网
129.38.1.5
202.38.160.1 Internet 特定的外部用户
配置步骤 按照实际情况具有以下几个步骤： 按照实际情况具有以下几个步骤：
允许/禁止防火墙(Quidway系列路由器默认是 允许/禁止防火墙(Quidway系列路由器默认是 禁止防火墙

功能) 禁止防火墙功能) 定义扩展的访问控制列表 在接口上应用访问控制列表 在接口上利用访问控制列表定义地址转换 配置内部服务器的地址映射关系
本章总结
包过滤技术的基本规则和原理 标准和扩展访问控制列表的配置方法 访问控制列表用于防火墙 地址转换的基本概念和规则 地址转换的配置方法