华为设备-访问控制列表-ACL的原理与配置

访问控制列表、网络设备和高级应用技术课程组的制作、学习目标，了解访问控制列表的基本原理，掌握扩展访问控制列表的标准和配置方法，掌握地址转换的基本原理和配置方法，学习本课程后，您应该能够：课程内容，访问控制列表访问控制列表示例，介绍IP包过滤技术，对于路由器需要转发的数据包，首先获取包头信息，然后与设置的规则进行比较，并根据比较结果转发或丢弃数据包。包过滤的核心技术是访问控制列表。互联网、公司总部、内部网络、未授权用户、办公室和访问控制列表可用于防火墙。访问控制列表可用于Qos(质量服务)来控制数据流。在DCC中，访问控制列表也可以用来指定触发拨号的条件。访问控制列表也可以用于地址转换；配置路由策略时，访问控制列表可用于过滤路由信息。什么是访问控制列表？下图显示了一个IP数据包(图中IP承载的上层协议是TCP/UDP):“我如何识别访问控制列表？使用数字标识访问控制列表，使用数字范围来标识访问控制列表的类型，标准访问控制列表，标准访问控制列表仅使用源地址描述数据，指示是允许还是拒绝。配置标准访问控制列表，配置标准访问控制列表的命令格式如下：ACL-编号匹配-orderto | config规则 normal | special permit | deny 源-addrsource-通配符| any，如何使用IP地址和通配符掩码通配符掩码来表示网段？如何使用通配符掩码，通配符掩码和子网掩码是相似的，但书写不同：0表示需要比较，1表示忽略比较，通配符掩码和IP地址一起使用，并且可以描述地址范围。扩展访问控制列表扩展访问控制列表使用比源地址更多的信息来描述数据包，指示是允许还是拒绝。，路由器，扩展访问控制列表的配置命令，为TCP/UDP协议配置扩展访问列表：规则 normal | Special permit | deny TCP | UDP 源-addrsource-通配符| any源-portoperator port1端口2目的地-addrdest-通配符| any目的地-portoperator port1端口2日志记录配置ICMP协议的扩展访问列表：规则 normal | Special permit | deny ICMP源-address source-address source扩展访问控制列表的一个示例是RuledDenyicmpsorce 10 . 1 . 0 . 00 . 0 . 255 . 255 Destinationnyicmp-TypeHost-重定向。ruledentpsource 129 . 9 . 0 . 00 . 0 . 255 . 255 destination 202 . 38 . 160 . 00 . 0 . 0 . 255 destination-portequiwwlogging，/16，TCP消息，/24，WWW端口，问题：下面的访问控制列表是什么意思？rulesdenyupsource 129 . 9 . 8 . 00 . 0 . 255 destination 202 . 38 . 160 . 00 . 0 . 0 . 255 destination-port大于128，how to use access control list，firewall configuration common steps:enable firewall definition access control list to Apply access control list to INterface，Internet，corporate general network，enable firewall，Apply access control list to INterface，firewall attribute configuration command，打开或关闭防火墙防火墙防火墙防火墙防火墙enable|disable，设置防火墙防火墙默认过滤模式 enable | disable 并将访问控制列表应用于接口，以指示接口上的输出或输入方向是在接口视图下配置的：防火墙数据包过滤器ACL-编号入站|出站、以太网0、串行0、基于时间段的数据包过滤、“特殊时间段特殊规则的应用”、“互联网、工作时间(上午8:00-下午5: 00)只能访问特定站点； 其余时间内可以访问其他站点，时间段配置命令，时间范围命令时间范围启用|禁用设置器命令设置时间结束时间开始时间结束时间.撤销设置器显示isintr命令显示isintr显示timerange命令显示timerange，日志记录功能的配置命令，日志记录功能是启用日志记录系统信息-中心启用以配置日志主机地址和其他相关属性信息-中心日志主机-数字IP-地址端口.显示日志配置信息。显示调试在华为的魁伟路由器上提供了非常丰富的日志功能。有关详细信息，请参考配置手册和访问控制列表的组合。访问列表可以由多个规则组成。对于这些规则，有两个匹配的顺序：自动和配置。当规则冲突时，如果匹配顺序是自动的(深度优先)，地址范围较小的规则将被赋予优先权。深度的判断取决于一般匹配比较位和比较规则的IP地址的组合拒绝55规则允许202 . 38 .