访问列表管理IP流量172.16.0.0访问列表的应用访问列表的其它应用编号范围Source AddressDestination AddressInboundInterface Packets NotifySender访问列表的测试：允许和拒绝访问列表的测试：允许和拒绝访问列表的测试：允许和拒绝访问列表的测试：允许和拒绝访问列表配置指南访问列表设置命令Step1:设置访问列表测试语句的参数0表示检查与之对应的地址位的值 1表示忽略与之对应的地址位的值例如172.30.16.290.0.0.0检查所有的地址位 可以简写为host(host172.30.16.29)所有主机:0.0.0.0255.255.255.255 可以用any简写 CheckforIPsubnets172.30.16.0/24to172.30.31.0/24标准IP访问列表的配置access-listaccess-list-number{permit|deny}source[mask]172.16.3.0PermitmynetworkonlyDenyaspecifichost标准访问列表举例2access-list1deny172.16.4.130.0.0.0 access-list1permit0.0.0.0255.255.255.255 (implicitdenyall) (access-list1deny0.0.0.0255.255.255.255) interfaceethernet0 ipaccess-group1outDenyaspecificsubnetaccess-list1deny172.16.4.00.0.0.255 access-list1permitany (implicitdenyall)(access-list1deny0.0.0.0255.255.255.255) interfaceethernet0 ipaccess-group1out在路由器上过滤vty如何控制vty访问虚拟通道的配置虚拟通道访问举例标准访问列表和扩展访问列表比较扩展IP访问列表的配置Router(config-if)#ipaccess-groupaccess-list-number{in|out}拒绝子网172.16.4.0的数据使用路由器e0口ftp到子网172.16.3.0 允许其它数据拒绝子网172.16.4.0的数据使用路由器e0口ftp到子网172.16.3.0 允许其它数据access-list101denytcp172.16.4.00.0.0.255172.16.3.00.0.0.255eq21 access-list101denytcp172.16.4.00.0.0.255172.16.3.00.0.0.255eq20 access-list101permitipanyany (implicitdenyall) (access-list101denyip0.0.0.0255.255.255.2550.0.0.0255.255.255.255) interfaceethernet0 ipaccess-group101out拒绝子网172.16.4.0内的主机使用路由器的E0端口建立Telnet会话 允许其它数据拒绝子网172.16.4.0内的主机使用路由器的E0端口建立Telnet会话 允许其它数据access-list101denytcp172.16.4.00.0.0.255anyeq23 access-list101permitipanyany (implicitdenyall) interfaceethernet0 ipaccess-group101out将扩展访问列表置于离源设备较近的位置 将标准访问列表置于离目的设备较近的位置wg_ro_a#showipinte0 Ethernet0isup,lineprotocolisup Internetaddressis10.1.1.11/24 Broadcastaddressis255.255.255.255 Addressdeterminedbysetupcommand MTUis1500bytes Helperaddressisnotset Directedbroadcastforwardingisdisabled Outgoingaccesslistisnotset Inboundaccesslistis1 ProxyARPisenabled Securitylevelisdefault Splithorizonisenabled ICMPredirectsarealwayssent ICMPunreachablesarealwayssent ICMPmaskrepliesa