第十章用访问列表初步管理-IP流量PPT课件.ppt

1999,Cisco Systems,Inc.10-1第十章第十章用访问列表初步管理用访问列表初步管理 IP流量流量 1999,Cisco Systems,IICND10-2本章目标本章目标本章目标本章目标通过本章的学习，您应该掌握以下内容通过本章的学习，您应该掌握以下内容：识别识别 IP 访问列表的主要作用和工作流程访问列表的主要作用和工作流程配置标准的配置标准的 IP 访问列表访问列表利用访问列表控制虚拟会话的建立利用访问列表控制虚拟会话的建立配置扩展的配置扩展的 IP 访问列表访问列表查看查看 IP 访问列表访问列表 1999,Cisco Systems,IICND10-3管理网络中逐步增长的管理网络中逐步增长的 IP 数据数据为什么要使用访问列表为什么要使用访问列表为什么要使用访问列表为什么要使用访问列表 1999,Cisco Systems,IICND10-4172.16.0.0172.17.0.0Internet管理网络中逐步增长的管理网络中逐步增长的 IP 数据数据当数据通过路由器时进行过滤当数据通过路由器时进行过滤为什么要使用访问列表为什么要使用访问列表为什么要使用访问列表为什么要使用访问列表 1999,Cisco Systems,IICND10-5访问列表的应用访问列表的应用允许、拒绝数据包通过路由器允许、拒绝数据包通过路由器允许、拒绝允许、拒绝Telnet会话的建立会话的建立没有设置访问列表时，所有的数据包都会在网络上传输没有设置访问列表时，所有的数据包都会在网络上传输虚拟会话虚拟会话(IP)端口上的数据传输端口上的数据传输 1999,Cisco Systems,IICND10-6QueueList优先级判断优先级判断访问列表的其它应用访问列表的其它应用访问列表的其它应用访问列表的其它应用基于数据包检测的特殊数据通讯应用基于数据包检测的特殊数据通讯应用 1999,Cisco Systems,IICND10-7QueueList优先级判断优先级判断访问列表的其它应用访问列表的其它应用访问列表的其它应用访问列表的其它应用按需拨号按需拨号基于数据包检测的特殊数据通讯应用基于数据包检测的特殊数据通讯应用 1999,Cisco Systems,IICND10-8访问列表的其它应用访问列表的其它应用路由表过滤路由表过滤RoutingTableQueueList优先级判断优先级判断按需拨号按需拨号基于数据包检测的特殊数据通讯应用基于数据包检测的特殊数据通讯应用 1999,Cisco Systems,IICND10-9 标准标准检查源地址检查源地址通常允许、拒绝的是完整的协议通常允许、拒绝的是完整的协议OutgoingPacketE0S0IncomingPacketAccess List ProcessesPermit?Source什么是访问列表什么是访问列表什么是访问列表什么是访问列表 1999,Cisco Systems,IICND10-10 标准标准检查源地址检查源地址通常允许、拒绝的是完整的协议通常允许、拒绝的是完整的协议扩展扩展检查源地址和目的地址检查源地址和目的地址通常允许、拒绝的是某个特定的协议通常允许、拒绝的是某个特定的协议OutgoingPacketE0S0IncomingPacketAccess List ProcessesPermit?Sourceand DestinationProtocol什么是访问列表什么是访问列表什么是访问列表什么是访问列表 1999,Cisco Systems,IICND10-11 标准标准检查源地址检查源地址通常允许、拒绝的是完整的协议通常允许、拒绝的是完整的协议扩展扩展检查源地址和目的地址检查源地址和目的地址通常允许、拒绝的是某个特定的协议通常允许、拒绝的是某个特定的协议进方向和出方向进方向和出方向 OutgoingPacketE0S0IncomingPacketAccess List ProcessesPermit?Sourceand DestinationProtocol什么是访问列表什么是访问列表什么是访问列表什么是访问列表 1999,Cisco Systems,IICND10-12InboundInterfacePacketsNYPacket Discard BucketChooseInterfaceNAccessList?RoutingTable Entry?YOutbound InterfacesPacketS0出端口方向上的访问列表出端口方向上的访问列表出端口方向上的访问列表出端口方向上的访问列表 1999,Cisco Systems,IICND10-13Outbound InterfacesPacketNYPacket Discard BucketChooseInterfaceRoutingTable Entry?NPacketTestAccess ListStatementsPermit?Y出端口方向上的访问列表出端口方向上的访问列表出端口方向上的访问列表出端口方向上的访问列表AccessList?YS0E0InboundInterfacePackets 1999,Cisco Systems,IICND10-14Notify Sender出端口方向上的访问列表出端口方向上的访问列表出端口方向上的访问列表出端口方向上的访问列表If no access list statement matches then discard the packet NYPacket Discard BucketChooseInterfaceRoutingTable Entry?NYTestAccess ListStatementsPermit?YAccessList?Discard PacketNOutbound InterfacesPacketPacketS0E0InboundInterfacePackets 1999,Cisco Systems,IICND10-15访问列表的测试：允许和拒绝访问列表的测试：允许和拒绝访问列表的测试：允许和拒绝访问列表的测试：允许和拒绝Packets to interfacesin the access groupPacket Discard BucketYInterface(s)DestinationDenyDenyYMatchFirstTest?Permit 1999,Cisco Systems,IICND10-16访问列表的测试：允许和拒绝访问列表的测试：允许和拒绝访问列表的测试：允许和拒绝访问列表的测试：允许和拒绝Packets to Interface(s)in the Access GroupPacket Discard BucketYInterface(s)DestinationDenyDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?YY 1999,Cisco Systems,IICND10-17访问列表的测试：允许和拒绝访问列表的测试：允许和拒绝访问列表的测试：允许和拒绝访问列表的测试：允许和拒绝Packets to Interface(s)in the Access GroupPacket Discard BucketYInterface(s)DestinationDenyDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?DenyMatchLastTest?YYNYYPermit 1999,Cisco Systems,IICND10-18访问列表的测试：允许和拒绝访问列表的测试：允许和拒绝访问列表的测试：允许和拒绝访问列表的测试：允许和拒绝Packets to Interface(s)in the Access GroupPacket Discard BucketYInterface(s)DestinationDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?DenyMatchLastTest?YYNYYPermitImplicit DenyIf no matchdeny allDenyN 1999,Cisco Systems,IICND10-19访问列表配置指南访问列表配置指南访问列表配置指南访问列表配置指南访问列表的编号指明了使用何种协议的访问列表访问列表的编号指明了使用何种协议的访问列表每个端口、每个方向、每条协议只能对应于一条访问每个端口、每个方向、每条协议只能对应于一条访问列表列表访问列表的内容决定了数据的控制顺序访问列表的内容决定了数据的控制顺序 具有严格限制条件的语句应放在访问列表所有语句的具有严格限制条件的语句应放在访问列表所有语句的最上面最上面在访问列表的最后有一条隐含声明：在访问列表的最后有一条隐含声明：deny any每一每一条正确的访问列表都至少应该有一条允许语句条正确的访问列表都至少应该有一条允许语句先创建访问列表，然后应用到端口上先创建访问列表，然后应用到端口上访问列表不能过滤由路由器自己产生的数据访问列表不能过滤由路由器自己产生的数据 1999,Cisco Systems,IICND10-20访问列表设置命令访问列表设置命令Step 1:设置访问列表测试语句的参数设置访问列表测试语句的参数access-list access-list-number permit|deny test conditions Router(config)#1999,Cisco Systems,IICND10-21Step 1:设置访问列表测试语句的参数设置访问列表测试语句的参数Router(config)#Step 2:在端口上应用访问列表在端口上应用访问列表 protocol access-group access-list-number in|out Router(config-if)#访问列表设置命令访问列表设置命令IP 访问列表的标号为访问列表的标号为 1-99 和和 100-199access-list access-list-number permit|deny test conditions 1999,Cisco Systems,IICND10-22如何识别访问列表如何识别访问列表如何识别访问列表如何识别访问列表编号范围编号范围访问列表类型访问列表类型IP 1-99Standard标准访问列表标准访问列表(1 to 99)检查检查 IP 数据包的源地址数据包的源地址 1999,Cisco Systems,IICND10-23编号范围编号范围访问列表类型访问列表类型如何识别访问列表如何识别访问列表如何识别访问列表如何识别访问列表IP 1-99100-199StandardExtended标准访问列表标准访问列表(1 to 99)检查检查 IP 数据包的源地址数据包的源地址扩展访问列表扩展访问列表(100 to 199)检查源地址和目的地址、具体的检查源地址和目的地址、具体的 TCP/IP 协议和目的协议和目的端口端口 1999,Cisco Systems,IICND10-24编号范围编号范围IP 1-99100-199Name(Cisco IOS 11.2 and later)800-899900-9991000-1099Name(Cisco IOS 11.2.F and later)StandardExtendedSAP filtersNamedStandardExtendedNamed访问列表类型访问列表类型IPX如何识别访问列表如何识别访问列表如何识别访问列表如何识别访问列表标准访问列表标准访问列表(1 to 99)检查检查 IP 数据包的源地址数据包的源地址扩展访问列表扩展访问列表(100 to 199)检查源地址和目的地址、具体的检查源地址和目的地址、具体的 TCP/IP 协议和目的协议和目的端口端口其它访问列表编号范围表示不同协议的访问列表其它访问列表编号范围表示不同协议的访问列表 1999,Cisco Systems,IICND10-25SourceAddressSegment(for example,TCP header)DataPacket(IP header)Frame Header(for example,HDLC)DenyPermit Useaccess list statements1-99 用标准访问列表测试数据用标准访问列表测试数据用标准访问列表测试数据用标准访问列表测试数据 1999,Cisco Systems,IICND10-26DestinationAddressSourceAddressProtocolPortNumberSegment(for example,TCP header)DataPacket(IP header)Frame Header(for example,HDLC)Useaccess list statements1-99 or 100-199 to test thepacket DenyPermitAn Example from a TCP/IP Packet用扩展访问列表测试数据用扩展访问列表测试数据用扩展访问列表测试数据用扩展访问列表测试数据 1999,Cisco Systems,IICND10-270 表示检查与之对应的地址位的值表示检查与之对应的地址位的值1表示忽略与之对应的地址位的值表示忽略与之对应的地址位的值do not check address(ignore bits in octet)=001111111286432168421=00000000=00001111=11111100=11111111Octet bit position and address value for bitignore last 6 address bitscheck all address bits(match all)ignore last 4 address bitscheck last 2 address bitsExamples通配符：如何检查相应的地址位通配符：如何检查相应的地址位通配符：如何检查相应的地址位通配符：如何检查相应的地址位 1999,Cisco Systems,IICND10-28例如例如 172.30.16.29 0.0.0.0 检查所有的地址位检查所有的地址位 可以简写为可以简写为 host(host 172.30.16.29)Test conditions:Check all the address bits(match all)172.30.16.290.0.0.0(checks all bits)An IP host address,for example:Wildcard mask:通配符掩码指明特定的主机通配符掩码指明特定的主机通配符掩码指明特定的主机通配符掩码指明特定的主机 1999,Cisco Systems,IICND10-29所有主机所有主机:0.0.0.0 255.255.255.255可以用可以用 any 简写简写Test conditions:Ignore all the address bits(match any)0.0.0.0 255.255.255.255(ignore all)Any IP addressWildcard mask:通配符掩码指明所有主机通配符掩码指明所有主机通配符掩码指明所有主机通配符掩码指明所有主机 1999,Cisco Systems,IICND10-30Check for IP subnets 172.30.16.0/24 to 172.30.31.0/24Network Network .host 172.30.16172.30.16.00 00 00 01 10000Wildcard mask:0 0 0 0 1 1 1 1|0 0 0 1 0 0 0 0 =16 0 0 0 1 0 0 0 1 =17 0 0 0 1 0 0 1 0 =18:0 0 0 1 1 1 1 1 =31Address and wildcard mask:172.30.16.0 0.0.15.255通配符掩码和通配符掩码和通配符掩码和通配符掩码和IPIP子网的子网的子网的子网的对应对应对应对应 1999,Cisco Systems,I10-31配置标准的配置标准的配置标准的配置标准的 IP IP 访问列表访问列表访问列表访问列表 1999,Cisco Systems,IICND10-32标准标准标准标准IPIP访问列表的配置访问列表的配置访问列表的配置访问列表的配置access-list access-list-number permit|deny source maskRouter(config)#为访问列表设置参数为访问列表设置参数IP 标准访问列表编号标准访问列表编号 1 到到 99缺省的通配符掩码缺省的通配符掩码=0.0.0.0“no access-list access-list-number”命令删除访问列表命令删除访问列表 1999,Cisco Systems,IICND10-33access-list access-list-number permit|deny source maskRouter(config)#在端口上应用访问列表在端口上应用访问列表指明是进方向还是出方向指明是进方向还是出方向缺省缺省=出方向出方向“no ip access-group access-list-number”命令在端口上删除访问列表命令在端口上删除访问列表Router(config-if)#ip access-group access-list-number in|out 为访问列表设置参数为访问列表设置参数IP 标准访问列表编号标准访问列表编号 1 到到 99缺省的通配符掩码缺省的通配符掩码=0.0.0.0“no access-list access-list-number”命令删除访问列表命令删除访问列表标准标准标准标准IPIP访问列表的配置访问列表的配置访问列表的配置访问列表的配置 1999,Cisco Systems,IICND10-34172.16.3.0172.16.4.0172.16.4.13E0S0E1Non-172.16.0.0标准访问列表举例标准访问列表举例标准访问列表举例标准访问列表举例 1 1access-list 1 permit 172.16.0.0 0.0.255.255(implicit deny all-not visible in the list)(access-list 1 deny 0.0.0.0 255.255.255.255)1999,Cisco Systems,IICND10-35Permit my network onlyaccess-list 1 permit 172.16.0.0 0.0.255.255(implicit deny all-not visible in the list)(access-list 1 deny 0.0.0.0 255.255.255.255)interface ethernet 0ip access-group 1 outinterface ethernet 1ip access-group 1 out172.16.3.0172.16.4.0172.16.4.13E0S0E1Non-172.16.0.0标准访问列表举例标准访问列表举例标准访问列表举例标准访问列表举例 1 1 1999,Cisco Systems,IICND10-36Deny a specific host标准访问列表举例标准访问列表举例标准访问列表举例标准访问列表举例 2 2172.16.3.0172.16.4.0172.16.4.13E0S0E1Non-172.16.0.0access-list 1 deny 172.16.4.13 0.0.0.0 1999,Cisco Systems,IICND10-37标准访问列表举例标准访问列表举例标准访问列表举例标准访问列表举例 2 2172.16.3.0172.16.4.0172.16.4.13E0S0E1Non-172.16.0.0Deny a specific hostaccess-list 1 deny 172.16.4.13 0.0.0.0 access-list 1 permit 0.0.0.0 255.255.255.255(implicit deny all)(access-list 1 deny 0.0.0.0 255.255.255.255)1999,Cisco Systems,IICND10-38access-list 1 deny 172.16.4.13 0.0.0.0 access-list 1 permit 0.0.0.0 255.255.255.255(implicit deny all)(access-list 1 deny 0.0.0.0 255.255.255.255)interface ethernet 0ip access-group 1 out标准访问列表举例标准访问列表举例标准访问列表举例标准访问列表举例 2 2172.16.3.0172.16.4.0172.16.4.13E0S0E1Non-172.16.0.0Deny a specific host 1999,Cisco Systems,IICND10-39Deny a specific subnet标准访问列表举例标准访问列表举例标准访问列表举例标准访问列表举例 3 3172.16.3.0172.16.4.0172.16.4.13E0S0E1Non-172.16.0.0access-list 1 deny 172.16.4.0 0.0.0.255access-list 1 permit any(implicit deny all)(access-list 1 deny 0.0.0.0 255.255.255.255)1999,Cisco Systems,IICND10-40access-list 1 deny 172.16.4.0 0.0.0.255access-list 1 permit any(implicit deny all)(access-list 1 deny 0.0.0.0 255.255.255.255)interface ethernet 0ip access-group 1 out标准访问列表举例标准访问列表举例标准访问列表举例标准访问列表举例 3 3172.16.3.0172.16.4.0172.16.4.13E0S0E1Non-172.16.0.0Deny a specific subnet 1999,Cisco Systems,I10-41用访问列表控制用访问列表控制用访问列表控制用访问列表控制vtyvty访问访问访问访问 1999,Cisco Systems,IICND10-42在路由器上过滤在路由器上过滤在路由器上过滤在路由器上过滤vtyvty五个虚拟通道五个虚拟通道(0 到到 4)路由器的路由器的vty端口可以过滤数据端口可以过滤数据在路由器上执行在路由器上执行vty访问的控制访问的控制01 234Virtual ports(vty 0 through 4)Physical port e0(Telnet)Console port(direct connect)consolee0 1999,Cisco Systems,IICND10-43如何控制如何控制如何控制如何控制vtyvty访问访问访问访问01 234Virtual ports(vty 0 through 4)Physical port(e0)(Telnet)使用标准访问列表语句使用标准访问列表语句用用 access-class 命令应用访问列表命令应用访问列表在所有在所有vty通道上设置相同的限制条件通道上设置相同的限制条件Router#e0 1999,Cisco Systems,IICND10-44虚拟通道的配置虚拟通道的配置虚拟通道的配置虚拟通道的配置指明指明vty通道的范围通道的范围在访问列表里指明方向在访问列表里指明方向access-class access-list-number in|outline vty#vty#|vty-rangeRouter(config)#Router(config-line)#1999,Cisco Systems,IICND10-45虚拟通道访问举例虚拟通道访问举例虚拟通道访问举例虚拟通道访问举例只允许网络只允许网络192.89.55.0 内的主机连接路由器的内的主机连接路由器的 vty 通道通道access-list 12 permit 192.89.55.0 0.0.0.255!line vty 0 4 access-class 12 inControlling Inbound Access 1999,Cisco Systems,I10-46扩展扩展扩展扩展 IP IP 访问列表的配置访问列表的配置访问列表的配置访问列表的配置 1999,Cisco Systems,IICND10-47标准访问列表和扩展访问列表标准访问列表和扩展访问列表标准访问列表和扩展访问列表标准访问列表和扩展访问列表比较比较比较比较标准标准扩展扩展基于源地址基于源地址基于源地址和目标地址基于源地址和目标地址允许和拒绝完整的允许和拒绝完整的TCP/IP协议协议指定指定TCP/IP的特定协议的特定协议和端口号和端口号编号范围编号范围 100 到到 199.编号范围编号范围 1 到到 99 1999,Cisco Systems,IICND10-48扩展扩展扩展扩展 IP IP 访问列表的配置访问列表的配置访问列表的配置访问列表的配置Router(config)#设置访问列表的参数设置访问列表的参数access-list access-list-number permit|deny protocol source source-wildcard operator port destination destination-wildcard operator port established log 1999,Cisco Systems,IICND10-49Router(config-if)#ip access-group access-list-number in|out 扩展扩展扩展扩展 IP IP 访问列表的配置访问列表的配置访问列表的配置访问列表的配置在端口上应用访问列表在端口上应用访问列表设置访问列表的参数设置访问列表的参数Router(config)#access-list access-list-number permit|deny protocol source source-wildcard operator port destination destination-wildcard operator port established log 1999,Cisco Systems,IICND10-50拒绝子网拒绝子网172.16.4.0 的数据使用路由器的数据使用路由器e0口口ftp到子网到子网172.16.3.0 允许其它数据允许其它数据172.16.3.0172.16.4.0172.16.4.13E0S0E1Non-172.16.0.0扩展访问列表应用举例扩展访问列表应用举例扩展访问列表应用举例扩展访问列表应用举例 1 1access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20 1999,Cisco Systems,IICND10-51拒绝子网拒绝子网172.16.4.0 的数据使用路由器的数据使用路由器e0口口ftp到子网到子网172.16.3.0 允许其它数据允许其它数据扩展访问列表应用举例扩展访问列表应用举例扩展访问列表应用举例扩展访问列表应用举例 1 1172.16.3.0172.16.4.0172.16.4.13E0S0E1Non-172.16.0.0access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20access-list 101 permit ip any any(implicit deny all)(access-list 101 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255)1999,Cisco Systems,IICND10-52access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20access-list 101 permit ip any any(implicit deny all)(access-list 101 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255)interface ethernet 0ip access-group 101 out拒绝子网拒绝子网172.16.4.0 的数据使用路由器的数据使用路由器e0口口ftp到子网到子网172.16.3.0 允许其它数据允许其它数据扩展访问列表应用举例扩展访问列表应用举例扩展访问列表应用举例扩展访问列表应用举例 1 1172.16.3.0172.16.4.0172.16.4.13E0S0E1Non-172.16.0.0 1999,Cisco Systems,IICND10-53拒绝子网拒绝子网 172.16.4.0 内的主机使用路由器的内的主机使用路由器的 E0 端口建立端口建立Telnet会话会话允许其它数据允许其它数据扩展访问列表应用举例扩展访问列表应用举例扩展访问列表应用举例扩展访问列表应用举例 2 2172.16.3.0172.16.4.0172.16.4.13E0S0E1Non-172.16.0.0access-list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 23 1999,Cisco Systems,IICND10-54拒绝子网拒绝子网 172.16.4.0 内的主机使用路由器的内的主机使用路由器的 E0 端口建立端口建立Telnet会话会话允许其它数据允许其它数据扩展访问列表应用举例扩展访问列表应用举例扩展访问列表应用举例扩展访问列表应用举例 2 2172.16.3.0172.16.4.0172.16.4.13E0S0E1Non-172.16.0.0access-list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 23access-list 101 permit ip any any(implicit deny all)1999,Cisco Systems,IICND10-55access-list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 23access-list 101 permit ip any any(implicit deny all)interface ethernet 0ip access-group 101 out拒绝子网拒绝子网 172.16.4.0 内的主机使用路由器的内的主机使用路由器的 E0 端口建立端口建立Telnet会话会话允许其它数据允许其它数据扩展访问列表应用举例扩展访问列表应用举例扩展访问列表应用举例扩展访问列表应用举例 2 2172.16.3.0172.16.4.0172.16.4.13E0S0E1Non-172.16.0.0 1999,Cisco Systems,IICND10-56使用名称访问列表使用名称访问列表使用名称访问列表使用名称访问列表Router(config)#ip access-list standard|extended name适用于适用于IOS版本号为版本号为11.2以后以后所使用的名称必须一致所使用的名称必须一致 1999,Cisco Systems,IICND10-57使用名称访问列表使用名称访问列表使用名称访问列表使用名称访问列表Router(config)#ip access-list standard|extended name permit|deny ip access list test conditions permit|deny ip access list test conditions no permit|deny ip access list test conditions Router(config std-|ext-nacl)#适用于适用于IOS版本号为版本号为11.2以后以后所使用的名称必须一致所使用的名称必须一致允许和拒绝语句不需要访问列表编号允许和拒绝语句不需要访问列表编号“no”命令删除访问列表命令删除访问列表 1999,Cisco Systems,IICND10-58Router(config)#ip access-list standard|extended nameRouter(config std-|ext-nacl)#permit|deny ip access list test conditions permit|deny ip access list test conditions no permit|deny ip access list test conditions Router(config-if)#ip access-group name in|out 使用名称访问列表使用名称访问列表适用于适用于IOS版本号为版本号为11.2以后以后所使用的名称必须一致所使用的名称必须一致允许和拒绝语句不需要访问列表编号允许和拒绝语句不需要访问列表编号“no”命令删除访问列表命令删除访问列表在端口上应用访问列表在端口上应用访问列表 1999,Cisco Systems,IICND10-59访问列表配置准则访问列表配置准则访问列表配置准则访问列表配置准则访问列表中限制语句的位置是至关重要的访问列表中限制语句的位置是至关重要的将限制条件严格的语句放在访问列表的最上面将限制条件严格的语句放在访问列表的最上面使用使用 no access-list number 命令删除完整的访命令删除完整的访问列表问列表例外例外:名称访问列表可以删除单独的语句名称访问列表可以删除单独的语句隐含声明隐含声明 deny all在设置的访问列表中要有一句在设置的访问列表中要有一句 permit any 1999,Cisco Systems,IICND10-60将扩展访问列表置于离源设备较近的位置将扩展访问列表置于离源设备较近的位置将标准访问列表置于离目的设备较近的位置将标准访问列表置于离目的设备较近的位置E0E0E1S0To0S1S0S1E0E0B BA AC C访问列表的放置原则访问列表的放置原则访问列表的放置原则访问列表的放置原则推荐：推荐：D D 1999,Cisco Systems,I