1、第 27讲扩展访问控制列表主讲:史宝会教学目标Q扩展访问控制列表的作用Q扩展访问控制列表与标准访问列表的区别Q扩展访问控制列表的应用及配置Q应用扩展 ACL控制和管理通信流量2标准访问列表的特点SourceAddressSegment(for example, TCP header)DataPacket(IP header)Frame Header(for example, HDLC)Deny PermitUseaccesslist statements1-99 只能通过源进行通信量的控制3扩展访问控制列表的特点DestinationAddressSourceAddressProtocolPo
2、rtNumberSegment(for example, TCP header)DataPacket(IP header)Frame Header(for example, HDLC)Useaccesslist statements1-99 or 100-199 to test thepacket Deny PermitQ扩展访问列表可以多种方式进行通信量的控制4在路由器上过滤 vty五个虚拟通道 (0 到 4)路由器的 vty端口可以过滤数据在路由器上执行 vty访问的控制0 1 2 3 4Virtual ports (vty 0 through 4)Physical port e0 (Te
3、lnet)Console port (direct connect)console e05如何控制 vty访问0 1 2 3 4Virtual ports (vty 0 through 4)Physical port (e0) (Telnet)使用标准访问列表语句用 access-class 命令应用访问列表在所有 vty通道上设置相同的限制条件Router#e06虚拟通道的配置指明 vty通道的范围在访问列表里指明方向Q access-class access-list-number in|outQ line vty#vty# | vty-rangeRouter(config)#Router(config-line)#7虚拟通道访问举例只允许网络 192.89.55.0 内的主机连接路由器的 vty 通道Q access-list 12 permit 192.89.55.0 0.0.0.255Q !Q line vty 0 4Q access-class 12 inControlling Inbound Access8标准访问列表和扩展访问列表比较标准 扩展基于源地址 基于源地址和目标地址允许和拒绝完整的TCP/IP协议指定 TCP/IP的特定协议和端口号编号范围 100 到 199.编号范围 1 到 99扩展访问列表的工作流程10
