1402 配置IP访问列表幻灯片.pptVIP

目标 通过学习本章节,你可以掌握以下内容: 理解访问列表的作用 熟练掌握运用Cisco IOS 命令来配置一个标准的访问控制列表和扩展的访问控制列表 掌握运用show 命令去检验及查看标准访问控制列表及扩展访问控制列表的配置 访问控制列表命令概述 标准访问控制列表配置 标准的访问控制列表示例1 标准的访问控制列表示例2 标准的IP访问控制列表案例3 扩展的访问控制列表配置 扩展的访问控制列表案例1 扩展的访问控制列表案例2 访问控制列表配置指南 访问控制列表的协议号用来标明哪种网络层协议被过滤. 每个访问控制列表只能应用于一个接口,一种协议,一个方向. 访问控制列表条目的顺序决定了匹配的顺序. 设置访问控制列表的下发顺序,将条件最苛刻的放在最上面. 访问控制列表隐含拒绝所有数据包通过.每个访问控制列表至少要包含一个允许语句. 在接口上应用访问控制列表之前,首先要创建一个访问控制列表. 路由器过滤穿过的流量，但是不能过滤自己起源的流量. 使用命名的IP访问控制列表 过滤路由器 vty 访问 5条虚拟终端线路 (0 through 4). 过滤能够访问路由器Vty端口的地址 在路由器过滤vty 访问. 如何去控制 vty 访问 vty 命令 vty 接入案例 访问控制列表应用的位置 检验访问控制列表 查看访问控制列表 访问控制列表的配置原则 访问控制列表的顺序是至关重要的. 推荐做法: 先在PC的写字板上创建访问控制列表, 然后核对后再粘贴到路由器上. 理解从上而下的匹配顺序. 将最特殊的条目放在最前面. 去除访问控制列表. 使用 no access-list number 命令去除一个访问控制列表 例外: 命名的访问控制列表允许去除单独的条目. 如果没有匹配到任何条目,那么隐含语句Deny all将被匹配 除非访问控制列表的最后被加上了Permit any 语句. 总结 一个设计好的可执行的访问控制列表可以大大增加你网络的安全性. 配置一个标准的IP访问控制列表, 你首先要创建一个标准的访问列表并将它应用到路由器的接口上. 同样的, 在Cisco路由器上配置一个扩展的访问控制列表, 你必须先创建一个扩展的访问控制列表,并将它应用到路由器的接口上. 命名的访问控制列表允许你使用字符(名字)来标识标准的IP访问控制列表和扩展的访问控制列表,代替数字 (1 到199 和1300 到 2699) 总结 (续.) 出于安全的考虑, 你可以在路由器上拒绝Telnet, 或者允许Telnet但是限制Telnet的目标地址. 限制Telnet 访问是当前用来保证网络安全的重要技术之一. 访问控制列表是用来控制流量和去除不必要的数据包. 适当的设置访问控制列表可以有效的阻挡不必要的流量. 当你完成访问控制列表的配置之后,你可以用Show命令来查看. Layer 2 of 2 Emphasize: Because of the implicit deny all, all non-172.16.x.x traffic is blocked going out E0 and E1. Note: The red arrows represent the access list is applied as an outbound access list. Layer 3 of 3 Emphasize: Only host 3 is blocked from going out on E0 to subnet . Ask the students what will happen if the access list is placed as an input access list on E1 instead. Host 3 will be blocked from going out to the non- cloud, as well as to subnet . Note: The red arrows represent the access list is applied as an outbound access list. Layer 2 of 2 Emphasize: All hosts on subnet are blocked from going out on E0 to subnet . Note: The red arrows represent the access list is applied as an outbound access list. Layer 2 of 2 Purpose: Layer 2—Adds the access-group command for