第十章用访问列表初步管理IP流量本章目标管理网络中逐步增长的IP数据
172.16.0.0访问列表的应用QueueListQueueList访问列表的其它应用InboundInterface
Packets
NotifySender访问列表的测试：允许和拒绝访问列表的测试：允许和拒绝访问列表的测试：允许和拒绝访问列表的测试：允许和拒绝访问列表配置指南访问列表设置命令Step1:设置访问列表测试语句的参数如何识别访问列表号编号范围编号范围Source
AddressDestination
Address0表示检查与之对应的地址位的值
1表示忽略与之对应的地址位的值例如172.30.16.290.0.0.0检查所有的地址位
可以简写为host(host172.30.16.29)所有主机:0.0.0.0255.255.255.255
可以用any简写
CheckforIPsubnets172.30.16.0/24to172.30.31.0/24©1999,CiscoSystems,Inc.标准IP访问列表的配置access-listaccess-list-number{permit|deny}source[mask]172.16.3.0PermitmynetworkonlyDenyaspecifichost标准访问列表举例2access-list1deny172.16.4.130.0.0.0
access-list1permit0.0.0.0255.255.255.255
(implicitdenyall)
(access-list1deny0.0.0.0255.255.255.255)

interfaceethernet0
ipaccess-group1outDenyaspecificsubnetaccess-list1deny172.16.4.00.0.0.255
access-list1permitany
(implicitdenyall)(access-list1deny0.0.0.0255.255.255.255)

interfaceethernet0
ipaccess-group1out©1999,CiscoSystems,Inc.在路由器上过滤vty如何控制vty访问虚拟通道的配置虚拟通道访问举例©1999,CiscoSystems,Inc.标准访问列表和扩展访问列表比较扩展IP访问列表的配置Router(config-if)#ipaccess-groupaccess-list-number{in|out}拒绝子网172.16.4.0的数据使用路由器e0口ftp到子网172.16.3.0
允许其它数据拒绝子网172.16.4.0的数据使用路由器e0口ftp到子网172.16.3.0
允许其它数据access-list101denytcp172.16.4.00.0.0.255172.16.3.00.0.0.255eq21
access-list101denytcp172.16.4.00.0.0.255172.16.3.00.0.0.255eq20
access-list101permitipanyany
(implicitdenyall)
(access-list101denyip0.0.0.0255.255.255.2550.0.0.0255.255.255.255)

interfaceethernet0
ipaccess-group101out拒绝子网172.16.4.0内的主机使用路由器的E0端口建立Telnet会话
允许其它数据拒绝子网172.16.4.0内的主机使用路由器的E0端口建立Telnet会话
允许其它数据access-list101denytcp172.16.4.00.0.0.255anyeq23
access-list101permitipanyany
(implicitdenyall)

interfaceethernet0
ipaccess-group101out使用名称访问列表使用名称访问列表Router(config)#ipaccess-list{standard|extended}name访问列表配置准则将扩展访问列表置于离源设备较近的位置
将标准访问列表置于离目的设备较近的位置wg_ro_a#showipinte0
Ethernet0isup,lineprotocolisup
Internetaddressis10.1.1.11/24
Broadcastaddressis255.255.255.255
Addressdeterminedbysetupcommand
MTUis1500bytes
Helperaddressisnotset
Directedbroadcastforwa