CCNA2010 IP访问控制列表ACL.ppt

用访问列表初步管理 IP流量 为什么要使用访问列表 访问列表的应用 什么是访问列表 出端口方向上的访问列表 访问列表的测试：允许和拒绝 访问列表设置命令 如何识别访问列表 通配符掩码指明特定的主机 通配符：如何检查相应的地址位 通配符掩码指明所有主机 通配符掩码和IP子网的对应 标准IP访问列表的配置 标准访问列表举例 1 标准访问列表举例 2 标准访问列表举例 3 标准和扩展访问列表比较 扩展 IP 访问列表的配置 扩展访问列表应用举例 1 扩展访问列表应用举例 2 访问列表配置指南 访问列表的编号指明了使用何种协议的访问列表 每个端口、每个方向、每条协议只能对应于一条访问列表 访问列表的内容决定了数据的控制顺序 将限制条件严格的语句放在访问列表的最上面 在访问列表的最后有一条隐含声明：deny any－每一条正确的访问列表都至少应该有一条允许语句 先创建访问列表，然后应用到端口上 访问列表不能过滤由路由器自己产生的数据 使用 no access-list number 命令删除完整的访问列表 标准acl和扩展acl删除时，不能删除单独一个条目 acl中把具体的条目放在前面 一张acl表至少有一条permit语句 访问列表的放置原则 查看访问列表 IP标准访问列表的一般配置 为什么我们禁止后，要加 access-list 1 permit any ？ ?在标准或扩展IP或IPX的每个访问表的末尾，总有一个隐含的deny all。也就是说报文与语句不匹配，则此隐含命令将禁止该报文。 思考：我应该如何做呢？ 本章结束 Slide 2 of 2 Purpose: Emphasize: Layer 2—Adds the general form of the interface command. This links the previously specified interface to a group that will handle its packet for the protocol in the manner specified by the global access list statements. It can help student understanding to learn a generalized command as a simplified template common to most access list processes. However, the details for specific access lists vary widely. As you present the global access list command material that follows in this chapter, return to the template term “test conditions” if it helps your students associate variations to the general elements of this model. Emphasize that “test conditions” is an abstraction for this course. Use this abstraction as a generalization to assist teaching and learning. The words “test conditions” are not a Cisco IOS argument or parameter. Cisco IOS software also offers many variations for the second interface command. As you present these variations, refer your students to the template term “access group” and emphasize how each variation performs a link of the access list test conditions met and the interfaces that packets can use as a result. Slide 1 of 2 Purpose: Emphasize: Introduce the wildcard bit process. Tell students the wildcard bit matching process is differe