发布日期:2015-10-09 17:03 来源: 标签: 考试认证 思科认证 CCNA认证教程 识别访问列表类型
本章节我们将学习为什么使用访问列表?了解并掌握访问列表(包括配置识别访问列表、访问列表类型、访问列表在其他方面的应用等),希望对大家有所帮助。

为什么使用访问列表

 

• 当网络访问增长时管理IP通信量 

• 当数据包通过路由器传输时进行过滤 

应用访问列表

 

• 允许(Permit)或者拒绝(Deny)数据包通过路由器。 

• 允许(Permit)或者拒绝(Deny)VTY访问。 

• 没有访问列表,网络上的所有数据包都可以被传输。

访问列表在其它方面的应用

 

•  基于包过滤技术处理特殊流量  

访问列表的类型 

• 标准(Standard) 
  • 检查源地址 
  • 通常允许或者拒绝完整的协议组 
• 扩展(Extended) 
  • 检查源和目标地址 
  • 通常允许或者拒绝详细的协议 

如何识别访问列表 


• 标准IP访问列表(1-99)检查所有IP数据包的源地址。 

• 扩展IP访问列表(100-199)检查源和目标地址,详细的TCP/IP协议和目标端口。 

• 扩展IP访问列表(2000-2699)(expanded range). 

• 检查其它网络协议使用另外的访问列表编号。 

使用标准访问列表检查数据包 


使用扩展访问列表检查数据包 


输出型ACL操作过程

 

• 如果没有访问列表规则可以匹配,那么丢弃这个数据包。 

检查一个访问列表:Deny或者Permit 


通配符掩码(Wildcard Bits):如何检查相应的地址位

 

• 0 意味着检查相应的地址位。 

• 1 意味着忽略相应的地址位。 

通配符掩码匹配一个详细的IP地址 
•  检查这个地址所有的位(match all)。 
    •  检查一个IP主机地址,例子:

• 例子里,172.30.16.29 0.0.0.0检查这个地址所有的位 
• 在IP地址前输入关键字host可以缩写通配符掩码 (host 172.30.16.29) 

使用通配符掩码匹配任意的IP地址 
•  检查条件,忽略这个地址所有的位(match any)。 
     •  一个IP主机地址,例子:

•  接受任意的地址:any 
•  使用关键字any缩写。 

使用通配符掩码匹配IP子网 
•  检查IP子网172.30.16.0/24-172.30.31.0/24。 
•  地址和通配符掩码:172.30.16.0  0.0.15.255 


访问列表配置指导 

• 访问列表号指出哪些协议是被过滤的。 

• 每一个接口,每一个协议,每一个方向只允许一个访问列表。 

• 访问列表陈述控制检测的顺序。 

• 大部分限制性的陈述尽量放置在列表的顶部。 

• 访问列表的末尾隐含的一个deny any的陈述。每一个列表需要至少一个permit的陈述。 

• 创建访问列表后将它们应用于接口。 

• 访问列表过滤通过路由器的流量,但它们不过滤路由器创建的流量

访问列表命令概述 

步骤 1: 为访问列表的检测陈述设置参数。

 

步骤 2: 在一个接口使用指定的访问列表 

•  标准IP访问列表 (1-99) 

•  扩展IP访问列表 (100-199) 

•  标准IP访问列表 (1300-1999) (扩展排列) 

•  扩展IP访问列表 (2000-2699) (扩展排列) 

相关评论

专题信息
    CCNA全称是Cisco Certified Network Associate,翻译过来就是思科认证网络工程师,而Cisco(思科)公司是全球最大的网络设备公司,据IT认证考试资源网介绍CCNA是Cisco认证证书体系中的初级技术证书。获得CCNA认证标志着具备安装、配置、运行中型路由和交换网络,并进行故障排除的能力,CCNA属于Cisco的售后工程师认证,主要涉及网络协议的基础以及Cisco路由器交换机的基本配置。