用访问列表初步管理IP流量上机知识分享.pptVIP

用访问列表初步管理 IP流量;本章目标;管理网络中逐步增长的 IP 数据 ;;QueueList;QueueList;访问列表的其它应用; ; ; ;InboundInterface Packets ;;Notify Sender;访问列表的测试：允许和拒绝;访问列表的测试：允许和拒绝;访问列表的测试：允许和拒绝;访问列表的测试：允许和拒绝;访问列表配置指南;访问列表设置命令;Step 1:设置访问列表测试语句的参数;如何识别访问列表;编号范围;编号范围;Source(只检查源地址） Address;Destination Address;0 表示检查与之对应的地址位的值 1表示忽略与之对应的地址位的值;例如 9 检查所有的地址位 可以简写为 host (host 9)：检查所有位，即是指定特定主机地址。;所有主机: 55 可以用 any 简写 any等价 55; Check for IP subnets /24 to /24;? 1999, Cisco Systems, Inc. ;标准IP访问列表的配置;access-list access-list-number {permit|deny} source [mask];;Permit my network only;Deny a specific host;标准访问列表举例 2;access-list 1 deny 3 access-list 1 permit 55 (implicit deny all) (access-list 1 deny 55) interface ethernet 0 ip access-group 1 out;Deny a specific subnet;access-list 1 deny 55 access-list 1 permit any (implicit deny all)(access-list 1 deny 55) interface ethernet 0 ip access-group 1 out;? 1999, Cisco Systems, Inc. ;标准访问列表和扩展访问列表比较;扩展 IP 访问列表的配置;Router(config-if)# ip access-group access-list-number { in | out };拒绝子网 的数据使用路由器e0口ftp到子网 允许其它数据p170 常见端口号表;拒绝子网 的数据使用路由器e0口ftp到子网 允许其它数据;access-list 101 deny tcp 55 55 eq 21 access-list 101 deny tcp 55 55 eq 20 access-list 101 permit ip any any (implicit deny all) (access-list 101 deny ip 55 55) interface ethernet 0 ip access-group 101 out;拒绝子网 内的主机使用路由器的 E0 端口建立Telnet会话 允许其它数据;拒绝子网 内的主机使用路由器的 E0 端口建立Telnet会话 允许其它数据;access-list 101 deny tcp 55 any eq 23 access-list 101 permit ip any any (implicit deny all) interface ethernet 0 ip access-group 101 out;使用名称访问列表（命名访问列表）;使用名称访问列表;Router(config)# ip access-list { standard | extended } name;Router(config)# ip access-list standard exam1;访问列表配置准则;将扩展访问列表置于离源设备较近的位置（可减少网络流量） 将标准访问列表置于离目的设备较近的位置（因为标准访问列表只检查源地址）;wg_ro_a#show ip int e0 Ethernet0 is up, line protocol is up Internet address is 1/24 Broadcast address is 55 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is d