15_使用访问列表管理IP流量.ppt

交换部分;案例分析;案例分析;目 标 ;管理IP流量及接入网络的增长 对经过路由器的特定数据包进行过滤;允许或拒绝 数据包通过路由器. 允许或拒绝vty 接入到路由器. 如果没有使用访问控制列表，数据包在特定的网络上传输将不受限制.;通过对数据包的检查来做特殊的处理; ;访问控制列表的类型——标准ACL;访问控制列表的类型——扩展ACL;标准的访问控制列表 (1-99) 检查从源地址发出的所有IP数据包. 扩展的访问控制列表 (100-199) 检查从源到目标地址中特殊的TCP/IP协 议和目标端口. 标准 IP lists (1300-1999) (扩展编号). 扩展 IP lists (2000-2699) (扩展编号). 其他的访问列表的的编号用于其他的的网络协议.;如果数据包没有匹配任何访问列表条目则此数据包被丢弃. ;访问控制列表操作过程——匹配策略;0 代表检查相应的地址位 1 代表忽略相应的地址位.;例如, 9 检查所有的地址位. 通过使用 host关键字来缩写匹配位 (host 9).;接受任何地址: any 缩写以上表达使用关键字 any.; 检查IP子网 /24 to /24.;第一步: 为访问控制列表设置参数(制定访问列表) (一个访问控制列表可以有多条语句).;在接口上激活访问控制列表 在出方向接口或进方向接口设置匹配 使用no ip access-group access-list-number 在接口上去除访问控制列表;只允许自己网络的流量.;拒绝一个特定的主机.;拒绝一个特定的子网.;Router(config-if)#ip access-group access-list-number {in | out};拒绝从子网 到子网 的FTP流量 允许所有其他的流量.;只拒绝从子网的Telnet 流量 允许所有其他流量.;扩展ACL用在离源近的地方. 标准的ACL用在离目的近的地方. ;访问控制列表配置指南;访问控制列表配置方法;访问控制列表练习;使用标准的IP访问控制列表来设置地址过滤. 在线路配置模式下使用 access-class 命令来过滤访问 在每个vty线路上设置同样的条件. ;进入配置模式来设定 vty 或vty 范围;只允许 55 连接到路由器的 vty;;查看访问控制列表;Router(config)#ip access-list {standard | extended} name;通过完成本章学习, 你可以完成以下任务 能够理解ACL的作用 能够理解ACL的分类并且知道在什么情况下使用那种ACL 能够理解ACL工作的原理 理解通配符的作用和书写方法 掌握ACL的排错 ;