Cisco访问控制列表-ACL配置与故障排除.pptVIP

访问控制列表 ACL 配置与故障排除 用标准编号 IPv4 ACL测试数据包 标准编号 IPv4 ACL 的配置 标准编号 IPv4 ACL示例 1 标准编号 IPv4 ACL示例 2 标准编号 IPv4 ACL示例 3 用标准 ACL 控制 vty 访问 用扩展编号 IPv4 ACL测试数据包 扩展编号 IPv4 ACL 的配置 扩展编号 IPv4 ACL示例 1 扩展编号 IPv4 ACL示例 2 命名 IP ACL 的配置 标准命名 IPv4 ACL 示例 扩展命名 IPv4 ACL 示例 注释 ACL 语句 监控 ACL 语句 检验 ACL 排除 ACL 的常见错误 排除 ACL 的常见错误（续） 排除 ACL 的常见错误（续） 排除 ACL 的常见错误（续） 排除 ACL 的常见错误（续） 排除 ACL 的常见错误（续） 可视目标 6-1：ACL 实施与故障排除 总结 标准 IPv4 ACL 允许根据源 IP 地址进行过滤。 扩展 ACL 允许根据源 IP 地址、目的 IP 地址、协议和端口号进行过滤。 指定 ACL 允许从一条 ACL 中删除单条语句。 可使用 show access-lists 和 show ip interface 命令排除 ACL 配置的常见错误。 第 2 层 目的：此层可显示 ip access-group 命令。 强调：ip access-group 命令可将访问列表链接到接口上。只允许每个接口、协议、方向中的一个访问列表。 对 ip access-group 字段的描述如下： list — 链接到此接口的访问列表数量。 direction — 默认为出站。 注：先创建访问列表，然后再将其应用到接口上 。如果在创建之前应用到接口上 ，此操作将允许所有流量。但是，一旦创建完访问列表中的第一条语句之后，访问列表将在接口上被激活。因为每个访问列表结尾都会隐式拒绝所有，所以访问列表可能导致大多数流量被拦截在接口上。 删除一个访问列表，需要将其从所有接口上删除 ，然后再删除访问列表。在旧版的 Cisco IOS 中，删除访问列表但不将其从接口上删除会导致问题。 第 2 层 强调：由于隐式拒绝所有，所有流经 E0 和 E1 的非 172.16.x.x 的流量将被拦截。 注： 红色箭头表示访问列表被用作出站访问列表。 第 3 层 强调：仅阻止主机 3 经 E0 连接到子网 。 询问学员如果将访问列表用作 E1 上的入站访问列表，将会出现哪些情况。3 的主机流量将会被阻止流出到非 的网云以及子网 。 注： 红色箭头表示访问列表被用作出站访问列表。 第 2 层 强调：阻止子网 上的所有主机经 E0 连接到子网 。 注： 红色箭头表示访问列表被用作出站访问列表。 目的：本例展示了如何限制路由器的 vty 端口的入站 Telnet 会话。 强调：访问类用作输入过滤器。 注：询问学员将访问类的方向改变为出站而非入站带来的影响。 现在路由器能够接受来自所有主机到其 vty 端口的入站 Telnet 会话，但会拦截从其 vty 端口到除网络 中主机之外的所有主机的出站 Telnet 会话。 如果用户使用 Telnet 登录到路由器的 vty 端口后，出站访问类过滤器将会阻止用户使用 Telnet 登录到标准访问列表指定的其它主机。 请记住，访问列表应用到接口上时，它仅拦截或允许经过路由器的流量，而不会拦截或允许路由器自己发出的流量。 目的：此图概述了扩展访问列表能过滤的 TCP/IP 数据包测试类型。它使用封装图和菱形决定框来复习学员在本课程早先时候学习的内容。 第 2 层 目的：第 2 层 — 为 IP 添加 access-group 命令。 强调：列表编号必须匹配 access-list 命令中指定的编号（100 到 199）。 第 3 层 目的：第 3 层 — 以 access-group 命令的新形式来完成，现在可参考 IP 访问列表名称以及访问列表编号。 强调：使用 Cisco IOS 11.2 版介绍命名访问列表： 使用字母数字标识符直观地标识 IP 访问列表。 取消了对访问列表数量的限制（之前 IP 标准访问列表为 99，IP 扩展访问列表为 100）。 允许逐条删除访问列表的语句（之前需要将整个编号访问列表当作一个条目来删除）。 需要 Cisco IOS 11.2 或更高版本。 240, 197, 102 目的：此幻灯片介绍用于检验访问列表的 show access-lists 命令。 强调：这是查看几个访问列表最一致的方法。 注：除非在访问列表中明确输入，否则不会直接的显示所有的语