H3C访问控制列表与地址转换

访问控制列表地址转换访问控制列表与地址转换实例目录IP包过滤技术介绍对路由器需要转发的数据包，先获取包头信息，然后和设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表。未授权用户公司总部内部网络办事处Internet访问控制列表的定义一个IP数据包如下图所示（图中IP所承载的上层协议为TCP/UDP）：IP报头TCP/UDP报头数据协议号源地址目的地址源端口目的端口对于TCP/UDP来说，这5个元素组成了一个TCP/UDP相关，访问控制列表就是利用这些元素定义的规则访问控制列表的分类按照访问控制列表的用途可以分为四类:基本的访问控制列表（basicacl）高级的访问控制列表（advancedacl）基于接口的访问控制列表（interface-basedacl）基于MAC的访问控制列表（mac-basedacl）访问控制列表的标识利用数字标识访问控制列表利用数字范围标识访问控制列表的种类列表的种类数字标识的范围基于接口的访问控制列表1000～1999基本的访问控制列表2000～2999高级的访问控制列表3000～3999基于MAC地址访问控制列表4000～4999基本访问控制列表基本访问控制列表只使用源地址描述数据，表明是允许还是拒绝。从/24来的数据包可以通过！从/24来的数据包不能通过！路由器基本访问控制列表的配置配置基本访问列表的命令格式如下：aclnumberacl-number[match-order{config|auto}]rule[rule-id]{permit|deny}[sourcesour-addrsour-wildcard|any][time-rangetime-name][logging][fragment][vpn-instancevpn-instanc-name]怎样利用IP地址和反掩码wildcard-mask

来表示一个网段?反掩码的使用反掩码和子网掩码相似，但写法不同：0表示需要比较1表示忽略比较反掩码和IP地址结合使用，可以描述一个地址范围。000255只比较前24位003255只比较前22位0255255255只比较前8位高级访问控制列表高级访问控制列表使用除源地址外更多的信息描述数据包，表明是允许还是拒绝。从/24来的,到0的，使用TCP协议，利用HTTP访问的数据包可以通过！路由器高级访问控制列表的配置高级访问控制列表规则的配置命令：rule[rule-id]{permit|deny}protocol[sourcesour-addrsour-wildcard|any][destinationdest-addrdest-mask|any][soucre-portoperatorport1[port2]][destination-portoperatorport1[port2]][icmp-type{icmp-message|icmp-type

icmp-code}][precedenceprecedence][tostos][time-rangetime-name][logging][fragment][vpn-instancevpn-instanc-name]高级访问控制列表操作符操作符及语法意义eqportnumber等于端口号portnumbergtportnumber

大于端口号portnumberltportnumber

小于端口号portnumberneqportnumber不等于端口号portnumberrangeportnumber1portnumber2介于端口号portnumber1

和portnumber2之间高级访问控制列表举例ruledenyicmpsource55destinationanyicmp-typehost-redirect

ruledenytcpsource55destination55destination-porteqwwwlogging

ICMP主机重定向报文/16/16TCP报文/16/24WWW端口/16/24基于接口的访问控制列表基于接口的访问控制列表的配置aclnumberacl-number[match-order{config|auto}]rule{permit|deny}[interfaceinterface-name][time-rangetime-name][logging]undorulerule-id访问控制列表的使用防火墙配置常见步骤：启用防火墙定义访问控制列表将访问控制列表应用到接口上公司总部网络启用防火墙将访问控制列表应用到接口上Internet防火墙的属性配置命令打开或者关闭防火墙firewall{enable|disable}设置防火墙的缺省过滤模式firewalldefault{permit|deny}显示防火墙的统计信息displayfirewall-statistics{all|interface

interface-name|fragments-inspect}

打开防火墙包过滤调试信息开关debuggingfirewall

{all|icmp|tcp|udp|others}[interfaceinterface-name

]访问控制列表的显示访问控制列表的显示与调试display

acl{all|acl-number}reset

acl

counter{all|acl-number}在接口上应用访问控制列表将访问控制列表应用到接口上指明在接口上是OUT还是IN方向在接口视图下配置：firewall

packet-filter

acl-number{inbound|outbound}[match-fragments{normally|exactly}]Ethernet0/0访问控制列表3000作用在Ethernet0/0接口在OUT方向有效Serial0/0访问控制列表2000作用在Serial0/0接口上在IN方向上有效基于时间段的包过滤“特殊时间段内应用特殊的规则”上班时间（上午8：00-下午5：00）只能访问特定的站点；其余时间可以访问其他站点Internet时间段的配置命令timerange命令time-rangetime-name[start-timetoend-time][days][

fromtime1date1][totime2date2]显示timerange命令displaytime-range{all|time-name}访问控制列表的匹配规则一条访问列表可以由多条规则组成，对于这些规则，有两种匹配顺序：auto和config。规则冲突时，若匹配顺序为auto（深度优先），描述的地址范围越小的规则，将会优先考虑。深度的判断要依靠通配比较位和IP地址结合比较ruledeny55rulepermit55两条规则结合则表示禁止一个大网段（）上的主机但允许其中的一小部分主机（）的访问。规则冲突时，若匹配顺序为config，先配置的规则会被优先考虑。访问控制列表地址转换访问控制列表与地址转换实例目录地址转换的提出背景地址转换（nat）是在IP地址日益短缺的情况下提出的。一个局域网内部有很多台主机，可是不能保证每台主机都拥有合法的IP地址，为了达到所有的内部主机都可以连接Internet网络的目的，可以使用地址转换。地址转换（nat）技术可以有效的隐藏内部局域网中的主机，因此同时是一种有效的网络安全保护技术。地址转换（nat）可以按照用户的需要，在局域网内部提供给外部FTP、WWW、Telnet等服务。私有地址和公有地址私有地址范围：-55-55-55LAN1LAN2LAN3Internet地址转换的原理局域网PC2PC1IP:Port:3000IP报文IP:Port:4000IP:Port:3010IP:Port:4001地址转换Internet利用ACL控制地址转换可以使用访问控制列表来决定哪些主机可以访问Internet，哪些不能。PC1局域网PC2设置访问控制列表控制PC1可以通过地址转换访问Internet,而PC2则不行。Internet地址转换的配置任务列表定义一个访问控制列表，规定什么样的主机可以访问Internet。采用EASYIP或地址池方式提供公有地址。根据选择的方式（EASYIP方式还是地址池方式），在连接Internet接口上允许地址转换。根据局域网的需要，定义合适的内部服务器。EASYIP配置EASYIP：在地址转换的过程中直接使用接口的IP地址作为转换后的源地址。在接口视图下直接配置：natoutboundacl-number

局域网PC2PC1PC1和PC2可以直接使用S0/0接口的IP地址作为地址转换后的公用IP地址S0/0:Internet使用地址池进行地址转换地址池用来动态、透明的为内部网络的用户分配地址。它是一些连续的IP地址集合，利用不超过32字节的字符串标识。地址池可以支持更多的局域网用户同时上Internet。局域网PC2PC1地址池Internet使用地址池进行地址转换定义地址池nataddress-groupgroup-number

start-addrend-addr

在接口上使用地址池进行地址转换natoutboundacl-number

address-group

group-number[no-pat]一对一的地址转换配置从内部地址到外部地址的一对一转换natstatic

ip-addr1ip-addr2

使已经配置的NAT一对一转换在接口上生效natoutboundstatic

内部服务器的应用内部服务器外部用户E0/0S0/0内部地址:内部端口:80外部地址:外部端口:80IP:配置地址转换:IP地址:←→端口:80←→80允许外部用户访问内部服务器Internet内部服务器的配置内部服务器配置命令natserver[vpn-instancevpn-instance-name]protocolpro-typeglobalglobal-addr[global-port]

insidehost-addr[host-port]natserver[vpn-instancevpn-instance-name]protocolpro-typeglobalglobal-addrglobal-port1global-port2insidehost-addr1host-addr2host-port

此例的配置natserverprotocoltcpglobal80inside80

NAT的监控与维护显示地址转换配置displaynat{address-group|aging-time|all|outbound|server|statistics|session[vpn-instance

vpn-instance-name][slotslot-number][destinationip-addr

][sourceglobalglobal-addr|sourceinsideinside-addr

]}

设置地址转换连接有效时间nataging-time{default|{dns|ftp-ctrl|ftp-data|icmp|pptp|tcp|tcp-fin|tcp-syn|udp}seconds}

清除地址转换连接resetnat{log-entry|sessionslotslot-number}

打开nat调试开关debuggingnat{alg|event|packet[interfaceinterface-typeinterface-number]}

地址转换的缺点地址转换对于报文内容中含有有用的地址信息的情况很难处理。地址转换不能处理IP报头加密的情况。地址转换由于隐藏了内部主机地址，有时候会使网络调试变得复杂。访问控制列表地址转换访问控制列表与地址转换实例目录访问列表和地址转换应用实例FTP服务器Telnet服务器WWW服务器公司内部局域网E0/0:内部特定主机S0/0:外部特定主机Internet配置步骤按照实际情况需要以下几个步骤：允许防火墙定义扩展的访问控制列表在接口上应用访问控制列表在接口上利用访问控制列表定义地址转换配置内部服务器的地址映射关系配置命令[H3C]firewallenable [H3C]firewalldefaultpermit[H3C]aclnumber3000match-orderauto[H3C-acl-adv-3000]ruledenyipsourceanydestinationany[H3C-acl-adv-3000]rulepermitipsource0destinationany[H3C-acl-adv-3000]rulepermit