华三H3C原厂培训ACL原理和基本配置.pptx
《华三H3C原厂培训ACL原理和基本配置.pptx》由会员分享,可在线阅读,更多相关《华三H3C原厂培训ACL原理和基本配置.pptx(30页珍藏版)》请在咨信网上搜索。
1、ACL原理和基本配置日期:杭州华三通信技术有限公司 版权所有,未经授权不得使用与传播n要增强网络安全性,网络设备需要具备控制某些访问要增强网络安全性,网络设备需要具备控制某些访问或某些数据的能力。或某些数据的能力。nACL包过滤是一种被广泛使用的网络安全技术。它使包过滤是一种被广泛使用的网络安全技术。它使用用ACL来实现数据识别,并决定是转发还是丢弃这来实现数据识别,并决定是转发还是丢弃这些数据包。些数据包。n由由ACL定义的报文匹配规则,还可以被其它需要对数定义的报文匹配规则,还可以被其它需要对数据进行区分的场合引用。据进行区分的场合引用。引入nACL概述概述nACL包过滤原理包过滤原理nA
2、CL分类分类n配置配置ACL包过滤包过滤nACL包过滤的注意事项包过滤的注意事项目录ACL概述lACL(Access Control List,访问控制列表)是用来实现数据包识别功能的lACL可以应用于诸多方面包过滤防火墙功能 NAT(Network Address Translation,网络地址转换)QoS(Quality of Service,服务质量)的数据分类路由策略和过滤按需拨号nACL概述概述nACL包过滤原理包过滤原理nACL分类分类n配置配置ACL包过滤包过滤nACL包过滤的注意事项包过滤的注意事项目录基于ACL的包过滤技术l对进出的数据包逐个过滤,丢弃或允许通过lACL应用
3、于接口上,每个接口的出入双向分别过滤l仅当数据包经过一个接口时,才能被此接口的此方向的ACL过滤入方向过滤入方向过滤入方向过滤入方向过滤出方向过滤出方向过滤出方向过滤出方向过滤接口接口接口接口路由转发路由转发进程进程入站包过滤工作流程匹配第一条规则数据包入站匹配第二条规则匹配最后一条规则丢弃通过YesPermit是否配置入方向ACL包过滤NoPermitDenyPermitDefault PermitDenyDenyDefault Deny数据包进入转发流程NoNoNo检查默认规则设定出站包过滤工作流程匹配第一条规则数据包到达出接口匹配第二条规则匹配最后一条规则丢弃通过YesPermit是否配
4、置出方向ACL包过滤NoPermitDenyPermitDefault PermitDenyDenyDefault Deny数据包出站NoNoNo检查默认规则设定通配符掩码通配符掩码通配符掩码含义含义0.0.0.255只比较前只比较前24位位0.0.3.255只比较前只比较前22位位0.255.255.255只比较前只比较前8位位l通配符掩码和IP地址结合使用以描述一个地址范围l通配符掩码和子网掩码相似,但含义不同0表示对应位须比较1表示对应位不比较通配符掩码的应用示例IP地址地址通配符掩码通配符掩码表示的地址范围表示的地址范围192.168.0.10.0.0.255192.168.0.0/2
5、4192.168.0.10.0.3.255192.168.0.0/22192.168.0.10.255.255.255192.0.0.0/8192.168.0.10.0.0.0192.168.0.1192.168.0.1255.255.255.2550.0.0.0/0192.168.0.10.0.2.255192.168.0.0/24和192.168.2.0/24nACL概述概述nACL包过滤原理包过滤原理nACL分类分类n配置配置ACL包过滤包过滤nACL包过滤的注意事项包过滤的注意事项目录ACL的标识l利用数字序号标识访问控制列表l可以给访问控制列表指定名称,便于维护访问控制列表的分类访问
6、控制列表的分类数字序号的范围数字序号的范围基本基本访问控制列表访问控制列表 20002999 扩展扩展访问控制列表访问控制列表 30003999 基于基于二层二层的访问控制列表的访问控制列表 40004999 用户用户自定义自定义的访问控制列表的访问控制列表 50005999 基本ACLl基本访问控制列表只根据报文的源源IPIP地址地址信息制定规则接口接口接口接口从从1.1.1.0/241.1.1.0/24来的数据包不能通过来的数据包不能通过从从2.2.2.0/282.2.2.0/28来的数据包可以通过来的数据包可以通过DA=3.3.3.3 SA=1.1.1.1DA=3.3.3.3 SA=2.
7、2.2.1分组分组分组分组高级ACLl高级访问控制列表根据报文的源源IPIP地址地址、目的目的IPIP地址地址、IPIP承载的协议类型承载的协议类型、协议特性等三、四层信息三、四层信息制定规则接口接口接口接口从从1.1.1.0/241.1.1.0/24来,到来,到3.3.3.13.3.3.1的的TCPTCP端口端口8080去的数据包不能通过去的数据包不能通过从从1.1.1.0/241.1.1.0/24来,到来,到2.2.2.12.2.2.1的的TCPTCP端口端口2323去的数据包可以通过去的数据包可以通过DA=3.3.3.1,SA=1.1.1.1TCP,DP=80,SP=2032DA=2.2
8、.2.1,SA=1.1.1.1TCP,DP=23,SP=3176分组分组分组分组二层ACL与用户自定义ACLl二层ACL根据报文的源源MACMAC地址地址、目的目的MACMAC地址地址、802.1p802.1p优先级优先级、二层协议类型二层协议类型等二层信息制定匹配规则l用户自定义ACL可以根据任意位置的任意字串任意位置的任意字串制定匹配规则报文的报文头、IP头等为基准,指定从第几个字节开始与掩码进行“与”操作,将从报文提取出来的字符串和用户定义的字符串进行比较,找到匹配的报文。nACL概述概述nACL包过滤原理包过滤原理nACL分类分类n配置配置ACL包过滤包过滤nACL包过滤的注意事项包过
9、滤的注意事项目录ACL包过滤配置任务l启动包过滤防火墙功能,设置默认的过滤规则启动包过滤防火墙功能,设置默认的过滤规则 l根据需要选择合适的根据需要选择合适的ACLACL分类分类l创建正确的规则创建正确的规则设置匹配条件设置合适的动作(Permit/Deny)l 在路由器的接口上应用在路由器的接口上应用ACLACL,并指明过滤报文的方向,并指明过滤报文的方向(入站(入站/出站)出站)启动包过滤防火墙功能l防火墙功能需要在路由器上启动后才能生效防火墙功能需要在路由器上启动后才能生效l设置防火墙的默认过滤方式设置防火墙的默认过滤方式系统默认的默认过滤方式是permit sysname firewa
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- H3C 培训 ACL 原理 基本 配置
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【w****g】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【w****g】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。