052.IP访问列表课件.ppt

用访问列表初步管理 IP流量;管理网络中逐步增长的 IP 数据 ;;访问列表的应用; ; ; ;访问列表配置要点：;访问列表设置命令;Step 1:设置访问列表测试语句的参数;如何识别访问列表;编号范围;编号范围;0 表示检查与之对应的地址位的值 1表示忽略与之对应的地址位的值;例如 9 检查所有的地址位 可以简写为 host (host 9);所有主机: 55 可以用 any 简写; Check for IP subnets /24 to /24;? 1999, Cisco Systems, Inc. ;标准IP访问列表的配置;access-list access-list-number {permit|deny} source [mask];;只允许我自己的网段!!!;拒绝一个指定的主机!!!;标准访问列表举例 2;access-list 1 deny 3 access-list 1 permit 55 (implicit deny all) (access-list 1 deny 55) interface ethernet 0 ip access-group 1 out;拒绝一个指定的网段!!!;access-list 1 deny 55 access-list 1 permit any (implicit deny all)(access-list 1 deny 55) interface ethernet 0 ip access-group 1 out;? 1999, Cisco Systems, Inc. ;标准访问列表和扩展访问列表比较;扩展 IP 访问列表的配置;拒绝子网 的数据使用路由器e0口ftp到子网 允许其它数据;拒绝子网 的数据使用路由器e0口ftp到子网 允许其它数据;access-list 101 deny tcp 55 55 eq 21 access-list 101 deny tcp 55 55 eq 20 access-list 101 permit ip any any (implicit deny all) (access-list 101 deny ip 55 55) interface ethernet 0 ip access-group 101 out;拒绝子网 内的主机使用路由器的 E0 端口建立Telnet会话 允许其它数据;拒绝子网 内的主机使用路由器的 E0 端口建立Telnet会话 允许其它数据;access-list 101 deny tcp 55 any eq 23 access-list 101 permit ip any any (implicit deny all) interface ethernet 0 ip access-group 101 out;访问列表配置指南(再记一次);访问列表配置准则;将标准访问列表置于离目的设备较近的位置 (因为看电影的人太多，有票的才能进来.我有票，哈哈!) 将扩展访问列表置于离源设备较近的位置 (到学校上课，被通知今天不上课,郁闷啊！);wg_ro_a#show ip int e0 Ethernet0 is up, line protocol is up Internet address is 1/24 Broadcast address is 55 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is 1 Proxy ARP is enabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is enabled IP fast switching on the same interface is disabled IP Feature Fast switching turbo vector IP multicast f