发布日期:2015-10-09 17:38 来源: 标签: 考试认证 思科认证 CCNA认证教程 配置IP访问列表
本章节我们将学习怎样配置标准IP访问列表及扩展IP访问列表,并使用命名IP访问列表,希望对大家有所帮助。
配置标准IP访问列表 

•  为访问列表条目设置参数 
•  IP标准访问列表使用1-99 
•  缺省通配符掩码=0.0.0.0 
• no access-list access-list-number命令删除整个访问列表 
• remark选项允许你为访问列表添加一个陈述 

• 在一个接口上应用访问列表 
• 设置输入型和输出型检测方式 
• 缺省 = outbound 
• no ip access-group access-list-number命令从接口删除访问列表 

标准IP访问列表的例子1

 

•  只允许我的网络 

标准IP访问列表的例子2 

• 拒绝一个指定主机。

标准IP访问列表的例子3 


• 拒绝一个指定子网。  

配置扩展IP访问列表

 

• 为访问列表条目设置参数 


• 在接口上应用访问列表 

扩展访问列表例子1


• 拒绝接口E0输出方向来自子网172.16.4.0到子网172.16.3.0的FTP服务。 

• 允许所有其它流量。 

扩展访问列表例子2 


• 拒绝接口E0输出方向来自子网172.16.4.0的Telnet服务。 

• 允许所有其它流量。 

使用命名IP访问列表 


• 字母数字组成的命名串必须是唯一的。 


• 允许或者拒绝的陈述不需要编号。 

• “no”删除来自命名访问列表指定的检测条目。 


• 在接口上应用命名访问列表。 

过滤一台路由器的VTY访问 


• 5个vty端口 (0到4)。 

• 过滤可以访问到路由器vty端口的地址。 

• 过滤从路由器输出的vty访问。 

如何控制VTY访问

 

• 设置一个IP地址过滤的标准访问列表陈述。 

• 在线路配置模式使用access-class命令执行过滤。 

• 在每一个vty设置同样的限制。 

VTY命令 


• 进入一个vty或者vty排列配置模式 


• 在访问列表中限制通过vty连接输入或者输出的地址 

VTY访问例子 


•  只允许网络192.168.1.0/24中的主机连接路由器的vty 

访问列表配置原则 
• 访问列表陈述的排列顺序至关重要。 
      – 推荐:使用PC上的一个文本编辑器创建访问列表陈述,然后剪切和粘贴到路由器上。 
      – 上下紧密的处理方式是很重要的。 
      – 最精确的检测陈述放置在第一位。 
• 陈述的重新排序或删除 
      – 使用no access-list number命令删除整个访问列表。 
      – 例外:命名访问列表允许单独陈述的删除。 
• 隐含的deny all适用于不能匹配任何访问列表陈述的数据包。 
      – 除非访问列表以一个外在的permit any陈述结束。
IP访问列表放置在哪里 

• 扩展访问列表的放置尽量靠近源设备。 
• 标准访问列表的放置尽量靠近目的设备。 

检验访问列表 


显示访问列表陈述 





相关评论

专题信息
    CCNA全称是Cisco Certified Network Associate,翻译过来就是思科认证网络工程师,而Cisco(思科)公司是全球最大的网络设备公司,据IT认证考试资源网介绍CCNA是Cisco认证证书体系中的初级技术证书。获得CCNA认证标志着具备安装、配置、运行中型路由和交换网络,并进行故障排除的能力,CCNA属于Cisco的售后工程师认证,主要涉及网络协议的基础以及Cisco路由器交换机的基本配置。