2022年配置访问控制列表 .pdf-淘文阁

资源描述

《2022年配置访问控制列表 .pdf》由会员分享，可在线阅读，更多相关《2022年配置访问控制列表 .pdf（15页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、第10章配置访问控制列表访问控制列表是CCNA 考试所重点考察的对象之一，同时也是在实际的网络环境中经常要用到的安全控制技术。本章从实验角度老研究访问控制列表，主要包括标准IP 访问控制列表、扩展 IP 访问控制列表、命名的IP 访问控制列表、标准IPX 访问控制列表和扩展IPX 访问控制列表。10.1访问控制列表概述访问控制列表从概念上来讲并不复杂，负责的是对它的配置和使用，许多初学者往往在使用访问控制列表时出现错误。标准 IP 访问控制列表一个标准IP 访问控制列表匹配IP 包中的源地址或源地址中的一部分，可对匹配的包采取拒绝或允许两个操作。编号范围是从1 到 99 的访问控制列表是标准

2、IP 访问控制列表。扩展 IP 访问控制列表扩展 IP 访问控制列表比标准IP 访问控制列表具有更多的匹配项，包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP 优先级等。编号范围是从100 到 199 的访问控制列表是扩展IP 访问控制列表。命名的 IP 访问控制列表所谓命名的IP 访问控制列表是以列表名代替列表编号来定义IP 访问控制列表，同样包括标准和扩展两种列表，定义过滤的语句与编号方式中相似。标准 IPX 访问控制列表标准 IPX 访问控制列表的编号范围撒800899，它检查 IPX 源网络号和目的网络号，同样可以检查源地址和目的地址的节点号部分。扩展 IPX 访问

3、控制列表扩展 IPX 访问控制列表在标准IPX 访问控制列表的基础上，增加了对IPX 报头中以下几噶字段对价差，它们是协议类型、源Socket、目标Socket。扩展IPX 访问控制列表的编号范围 900 999。命名的 IPX 访问控制列表与命名的IP 访问控制列表一样，命名的IPX 访问控制列表是使用列表名取代列表编号，从而方便定义和引用列表，同样有标准和扩展之分。10.2实验 1：IP 访问控制列表本实验对IP 访问控制列表进行配置和监测，包括标准、扩展和命名的IP 访问控制列表。1. 实验目的通过本实验，读者可以掌握以下技能：配置标准IP 访问控制列表；配置扩展IP 访问控制列表；配

4、置命名的标准IP 访问控制列表；配置命名的扩展IP 访问控制列表；在网络接口上引用IP 访问控制列表；名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 15 页 - - - - - - - - - 在 VTY 上引用 IP 访问控制列表；查看和监测IP 访问控制列表。2. 设备需求本实验需要以下设备：Cisco 路由器 3 台，分别命名为R1、R2 和 R3.要求具有1 个以太网接口，R2具有 1 个以太网接口和1 个串行接口， R3 具有 1 个串行接口；1 条交叉线序的

5、双绞线，或2 条正常线序双绞线和1 个 Hub；1 条 DCE 电缆和 1 条 DTE 电缆，或 1 条 DCE 转 DTE 电缆；1 台终端服务器，如Cisco2509 路由器，及用于反向Telnet 的相应电缆；1 台带有超级终端程序的PC 机，以及 Console 电缆及转接器。3. 拓扑结构及配置说明本实验拓扑结构如图10-1 所示， R1 的 E0 接口与 R2 的 E0 接口通过以太网连接起来，R2 的 S0 接口与 R3 的 S0 接口通过串行电缆连接起来。各路由器相关接口的IP 地址分配如图10-1 中的标注。图 10-1 实验 1 网络拓扑结构4. 实验配置及监测结果首先配置

6、各路由器，并且通过路由选择协议的配置实现了整个拓扑的IP 连通性，在此基础上进行IP 访问控制列表的配置和监测。在 R1 上设置 enable口令为 cisco, VTY 口令为 cisco1,用于 Telnet 测试。以上配置在以前章节中已进行过实验，在本实验中不再给出配置清单。我们主要在R2 路由器上配置访问控制列表，R1 和 R3 用于测试目的。第 1 部分：配置和引用标准IP 访问控制列表配置清单 10-1 列出了在 R2 路由器上配置和引用标准IP 访问控制列表的操作。配置清单 10-1 配置和引用标准IP 访问控制列表R2#conf t Enter configuration c

7、ommands, one per line. End with CNTL/Z. R2(config)#access-list 1 deny 30.1.1.0 0.0.0.255 R2(config)#access-list 1 permit any R2(config)#int s1/0 R2(config-if)#ip access-group 1 in R2(config-if)#Z R1 R2 R3 L0 30.1.1.3/24 10.1.1.1/24 10.1.1.2/24 E0 E0 20.1.1.2/24 20.1.1.3/24 S1/0 S1/0 名师资料总结 - - -精品资料

8、欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 15 页 - - - - - - - - - R2# 00:08:35: %SYS-5-CONFIG_I: Configured from console by console R2#sh ip access-list 1 Standard IP access list 1 deny 30.1.1.0, wildcard bits 0.0.0.255 check=2 permit any (2 matches) R2#sh ip int s1/0 Seri

9、al1/0 is up, line protocol is up Internet address is 20.1.1.2/24 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is 1 Proxy ARP is enable

10、d Security level is default (输入省略 ) R2# R2#clear access-list counters R2#sh ip access-l 1 Standard IP access list 1 deny 30.1.1.0, wildcard bits 0.0.0.255 permit any R2# Term_Server#3 Resuming connection 3 to R3 R3#ping 10.1.1.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.1.1

11、.1, timeout is 2 seconds: ! Success rate is 100 percent (5/5), round-trip min/avg/max = 16/20/24 ms R3#ping Protocol ip: Target IP address: 10.1.1.1 Repeat count 5: Datagram size 100: Timeout in seconds 2: Extended commands n: y 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - -

12、 - - - 第 3 页，共 15 页 - - - - - - - - - Source address or interface: 30.1.1.3 Type of service 0: Set DF bit in IP header? no: Validate reply data? no: Data pattern 0 xABCD: Loose, Strict, Record, Timestamp, Verbosenone: Sweep range of sizes n: Type escape sequence to abort. Sending 5, 100-byte ICMP Ec

13、hos to 10.1.1.1, timeout is 2 seconds: Packet sent with a source address of 30.1.1.3 U.U.U Success rate is 0 percent (0/5) R3#Z Term_Server#2 Resuming connection 2 to R2 R2#sh ip access-l 1 Standard IP access list 1 deny 30.1.1.0, wildcard bits 0.0.0.255 (5 matches) permit any (5 matches) （ 1）在定义访问控

14、制列表时，要特殊注意语句输入的先后顺序，因为路由器在执行该列表时的顺序是自上而下的。另一个应注意的问题是路由器不对由自身产生的IP 包进行过滤，在实验时应由其他的设备发包进行测试。（ 2）配置标准IP 访问控制列表1 时，定义了除30.1.1.0/24 网段外的所有网段都被接受。（ 3）在 R2 路由器 S0 接口的进入方向引用了访问控制列表1，目的是过滤来自30.1.1.0/24 网段的数据包，允许其他所有网段的数据包通过。在接口上引用访问控制列表时。使用in 或 out 子命令。这里的in 和 out 是指以路由器本身为参考点，数据包是进入（in）还是离开 (out)路由器。（ 4）S

15、how ip access-list 命令列出了所定义的访问控制列表的情况，可以看到“permit any”一行有 2 个匹配包的报告，表示已经有2 个匹配此行条件的数据包被S0 接口接收。（ 5）Show ip int s0 命令列出的信息中加阴影的2 行是关于访问控制列表引用情况的信息，表明在进入路由器的方向（in ）引用了访问控制列表1。（ 6）接下来用clear access-list counters 指令清空了访问控制列表的计数器，以便观察实验结果。所以清空计数器，就是把访问控制列表各行的匹配数清空。再次使用show ip access-list 命令查看显示了我们想得到的结果

16、。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 15 页 - - - - - - - - - （7）使用 ping 和扩展的ping 命令测试访问控制列表1 的定义和引用清空，结果为：从 20.1.1.3 发往 10.1.1.1 的 IP 包被 R2 接收和路由；从 30.1.1.3 发往 10.1.1.1 的 IP 包被 R2 过滤掉。测试结果符合访问控制列表的设置。（8）再次查看访问控制列表的匹配情况，可以看到，在访问控制列表1 中， 2条语句各有5 个相匹配的包，

17、即5 个 ICMP Echo 包。第 2 部分：配置和引用扩展IP 访问控制列表接下来是有关扩展IP 访问控制列表的实验。配置清单 10-2 列出了在 R2 路由器上配置和引用扩展IP 访问控制列表的操作。配置清单 10-2 配置和引用扩展IP 访问控制列表R2#conf t Enter configuration commands, one per line. End with CNTL/Z. R2(config)#$ 101 deny icmp 20.1.1.0 0.0.0.255 10.1.1.0 0.0.0.255 echo R2(config)#access-list 101 per

18、mit ip any any R2(config)#int fa0/0 R2(config-if)#ip access-group 101 out R2(config-if)#int s1/0 R2(config-if)#no ip access-g 1 in R2(config-if)#Z R2# R2#sh ip access-list Standard IP access list 1 deny 30.1.1.0, wildcard bits 0.0.0.255 (8 matches) check=20 permit any (20 matches) Extended IP access

19、 list 101 deny icmp 20.1.1.0 0.0.0.255 10.1.1.0 0.0.0.255 echo permit ip any any R2# Term_Server#3 Resuming connection 3 to R3 R3#ping 10.1.1.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds: U.U.U Success rate is 0 percent (0/5) R3#telnet 10.1.1.1 Tr

20、ying 10.1.1.1 . Open 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 15 页 - - - - - - - - - User Access Verification Password: (键入 cisco1) R1en Password: (键入 cisco) R1#exit Connection to 10.1.1.1 closed by foreign host R3# Term_Server#2 Resuming connection 2 to

21、R2 R2#sh ip access-list 101 Extended IP access list 101 deny icmp 20.1.1.0 0.0.0.255 10.1.1.0 0.0.0.255 echo (8 matches) permit ip any any (40 matches) R2# （1）首先定义了一个扩展的IP 访问控制列表101。列表的第 1 包拒绝从 20.1.1.0/24 网段发往 10.1.1.0/24 网段的 ICMP Echo 包，即希望从 20.1.1.0/24 网段到 10.1.1.0/24 网段的 ping 失败。列表的第 2 句允许所有的源地址

22、到所有的目的地址的IP 包的发送。（2）在 R2 的 E0 接口出路由器的方向上引用访问控制列表101；同时把S0 接口对于访问控制列表1 的引用删除。（3）在 R3 路由器上使用ping 命令测试，可以看到报告目标把可达。同样的 R3 路由器上， telnet 到 R1，结果是成功。以上结果表明访问控制列表101 的定义和执行是成功的。从 R3 到 R1，ping 把通，但能够实现telnet，这正是我们想要的结果。（4）Show ip access-list 101 命令报告了IP 包与访问控制列表101 中各行的匹配情况。第 3 部分：配置和引用命名的IP 访问控制列表命名的IP 访问控

23、制列表提高了访问控制列表定义和使用上的方便性，并且允许定义更多数量的访问控制列表。配置清单 10-3记录了在 R2 路由器上配置和引用命名的IP 访问控制列表的操作。我们把第 1 部分和第 2 部分中第标准和扩展IP 访问控制列表用命名列表的方式重新进行定义，比例规进行引用。相关的测试与这两部分中的相同，不再列出测试结果。配置清单 10-3 配置和引用命名的IP 访问控制列表R2#conf t Enter configuration commands, one per line. End with CNTL/Z. R2(config)#ip access-list st 名师资料总结 - -

24、-精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 15 页 - - - - - - - - - R2(config)#ip access-list standard Test1 R2(config-std-nacl)#deny 30.1.1.0 0.0.0.255 R2(config-std-nacl)#permit any R2(config-std-nacl)#exit R2(config)#int s1/0 R2(config-if)#ip access-group Test1 in R2

25、(config-if)#exit R2(config)# R2(config)#ip access-list extended Test2 R2(config-ext-nacl)#deny icmp 20.1.1.0 0.0.0.255 10.1.1.0 0.0.0.255 echo R2(config-ext-nacl)#permit ip any any R2(config-ext-nacl)#exit R2(config)#int fa0/0 R2(config-if)#ip access-group Test2 out R2(config-if)#Z R2# 00:35:40: %SY

26、S-5-CONFIG_I: Configured from console by console R2#sh ip access-l Standard IP access list Test1 deny 30.1.1.0, wildcard bits 0.0.0.255 check=8 permit any (8 matches) Extended IP access list Test2 deny icmp 20.1.1.0 0.0.0.255 10.1.1.0 0.0.0.255 echo permit ip any any R2# （ 1）配置命名的标准IP 访问控制列表时；首先使用ip

27、 access-list standard Test1命名创建1 个名为 Test1 的标准 IP 访问控制列表，同时进入到标准访问控制列表配置模式。（ 2）在标准访问控制列表配置模式下，按正确的顺序输入定义过滤的语句。在本实验中，输入了2 句，即 deny 30.1.1.0 0.0.0.255 和 permit any。标准访问控制列表的定义即告完成。（ 3）在接口上引用命名的IP 访问控制列表时与引用编号的列表时一样，所不同的是在原来应输入编号的位置上输入访问控制列表名。（ 4）定义命名的扩展IP 访问控制列表的操作与定义命名的标准IP 访问控制列表相似。（ 5）Show ip acce

28、ss-list 命令列出了我们所定义的两个命名IP 访问控制列表。第 4 部分：使用访问控制列表限制telnet 访问下面的实验配置R1 路由器，使它允许来自20.1.1.0/24 网段的 telnet，而不允许来自其他网段的telnet。首先把 R2 路由器上S0 和 E0 接口上引用访问控制列表的配置清除，然后开始本部分的实验。配置清单10-4 记录了相应的访问控制列表配置、引用和测试情况。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 15 页 - - - - -

29、- - - - 配置清单 10-4 使用 IP 访问控制列表限制telnet 访问R1#conf t Enter configuration commands, one per line. End with CNTL/Z. R1(config)#access-list 2 permit 20.1.1.0 0.0.0.255 R1(config)#access-list 2 deny any R1(config)#line vty 0 4 R1(config-line)#access-class 2 in R1(config-line)#Z R1# Term_Server#2 Resuming

30、connection 2 to R2 R2#telnet 10.1.1.1 Trying 10.1.1.1 . % Connection refused by remote host R2# Term_Server#3 Resuming connection 3 to R3 R3#telnet 10.1.1.1 Trying 10.1.1.1 . Open User Access Verification Password: R1exit Connection to 10.1.1.1 closed by foreign host R3# Term_Server#1 Resuming conne

31、ction 1 to R1 R1#sh ip access-l Standard IP access list 2 permit 20.1.1.0, wildcard bits 0.0.0.255 (2 matches) deny any (1 match) R1# （1）首先在 R1 路由器上定义1 个标准 IP 访问控制列表2，它允许 20.1.1.0/24 网段，禁止其他的所有网段。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 15 页 - - - - - - -

32、 - - 此处的第 2 句，即禁止所有IP 的语句可以不写，因为访问控制列表默认的在最后禁止所有IP 地址。加入了这句本应不写的语句的目的是在查看匹配情况时显示与此匹配的 IP 包的数量，否则只显示匹配第1 个语句的 IP 包的数量。（ 2）命名 access-class 2 in 在 VTY 线路上引用了访问控制列表2，目的是允许20.1.1.0/24 网段对 R1 的 telnet，禁止其他所有IP 地址对 R1 的 telnet。（ 3）切换到 R2 路由器，从地址10.1.1.2 telnet 10.1.1.1，结果是不成功的。（ 4）切换到 R3 路由器，从地址20.1.1.3 t

33、elnet 10.1.1.1，结果是不成功的。可见对 R1 的访问控制列表和引用的配置完全正确。（ 5）查看 IP 访问控制列表，结果列出了两种条件下IP 包的匹配情况。10.3实验 2：IPX 访问控制列表本实验对IPX 访问控制列表进行配置和监测，包括标准和扩展IPX 访问控制列表以及命名的标准和扩展IPX 访问控制列表等。1. 实验目的通过本实验，读者可以掌握以下技能：配置标准IPX 访问控制列表；配置扩展IPX 访问控制列表；配置命名的IPX 访问控制列表；在网络接口上引用IPX 访问控制列表；查看和监测IPX 访问控制列表。2. 设备需求本实验需要以下设备：Cisco 路由器 3

34、台，分别命名为R1、R2 和 R3。要求具有1 个以太网接口， R2具有 1 个以太网接口和1 个串行接口，R3 具有 1 个串行接口。要求所有路由器的 IOS 软件均为Desktop 以上版本；1 条交叉线序的双绞线，或2 条正常线序双绞线和1 个 Hub；1 条 DCE 电缆和 1 条 DTE 电缆，或1 条 DCE 转 DTE 电缆；1 台终端服务器，如Cisco2509 路由器，及用于反向Telnet 的相应电缆；1 台带有超级终端程序的PC 机，以及 Console 电缆及转接器。3. 拓扑结果及配置说明本实验拓扑结果如图10-2 所示， R1 的 E0 接口与 R2 的 E0 接口

35、通过以太网连接起来，R2 与 R3 的 E0 接口通过串行电缆连接起来。拓扑中各网段的IPX 网络地址如图10-2 中的标注。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 15 页 - - - - - - - - - 图 10-2 实验 2 网络拓扑结构4. 实验配置及监测结果首先在各路由器上完成IPX 协议的基本配置，实现 IPX 协议的全网连通性，在此基础上进行 IPX 访问控制列表的配置和监测。以上配置在以前章节中已进行过类似的实验，在本实验中不再给出配置清单。为

36、实验操作的方便，现将实验中各路由器有关接口的IPX 地址列出：R1：E0，12.0000.0c76.f736; R2：E0，12.0000.0c8e.cdd2; S0, 23.000.0c8e.cdd2 R3：S0，23.0000.0c31.a81b；L0, AA.0000.0c31.a81b 。不同的路由器会有不同的MAC 地址，所以在读者自己的拓扑环境中，会看到与此不同的 IPX 地址。我们主要在R2 路由器上配置IPX 访问控制列表，R1 和 R3 用于测试目的。第 1 部分：配置和引用标准IPX 访问控制列表配置清单10-5 列出了在 R2 路由器上配置和引用标准IPX 访问控制列表

37、第操作。配置清单10-5 配置和引用标准IPX 访问控制列表R2#conf t Enter configuration commands, one per line. End with CNTL/Z. R2(config)#access-l 801 deny 12 R2(config)#access-l 801 permit -1 R2(config)#int s1/0 R2(config-if)#ipx access-group 801 out R2(config-if)#Z R2# R2#sh ipx access-l IPX standard access lit 801 deny 12

38、 permit FFFFFFFF R2#sh ipx int s1/0 Serial1/0 is up,line date interval is 60 seconds IPX type 20 propagation packet forwarding is disabled Incoming access list is not set Outgoing access list is 801 IPX helper access list is not set (输入省略 ) R2# Term_Server#1 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - -

39、- - - - - - - - 名师精心整理 - - - - - - - 第 10 页，共 15 页 - - - - - - - - - Resuming connection 1 to R1 R1#ping ipx AA.0000.0C31.A81B Type escape sequence to abort. Sending 5, 100-byte IPX Novell Echos to AA.0000.0C31.A81B, timeout is 2 seconds: . Success rate is 0 percent (0/5) R1#conf t Enter configurati

40、on commands, one per line. End with CNTL/Z. R1(config)#int fa0/0 R1(config-if)#ipx netw 102 R1(config-if)# Term_Server#2 Resuming connection 2 to R2 R2#conf t Enter configuration commands, one per line. End with CNTL/Z. R2(config)#int fa0/0 R2(config-if)#ipx netw 102 R2(config-if)#Z R2# Term_Server#

41、1 Resuming connection 1 to R1 R1# 11:42:23: %SYS-5-CONFIG_I:Configured from console by console R1#ping ipx AA.0000.0c31.a81b Type escape sequence to abort Sending 5,100-byte IPX Novell Echoes to AA.0000.0c31.a81b,timeout is 2 seconds: ! Success rate is 100 percent (5/5),round-trip min/avg/max = 32/3

42、3 40 ms R1# （1）与 IP 协议一样，路由器不对由自身的IPX 包进行过滤，在实验时应由其他的设备发包进行测试。（2）Access-1 801 deny 12 和 access-1 801 permit -1 两个语句定义了编号为801 的标准 IPX 访问控制列表，它允许除12 网段之外的所有IPX 地址。标准 IPX 访问控制列表的编号范围：800899。（3）在 R2 路由器 S0 接口的向外方向引用了IPX 访问控制列表801，目的是过滤来自12 网段的数据包，同时允许其他所有网段的数据包通过。（4）Show ipx access list 命令列出了所定义的IPX 访问控

43、制列表的情况。（5）Show ipx int s0 命令列出的信息中加阴影的2 行是关于 IPX 访问控制列表引用情况的信息，表明在离开路由器的方向引用了访问控制列表801。（6）从 R1 路由器上，使用 ping ipx AA.0000.0c31.a81b 测试以 12 网段的源地址向 AA 网段目的地址通信，测试结果是不通。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页，共 15 页 - - - - - - - - - （7）为测试的目的，更改R1 和 R2 路由器的

44、E0 接口 IPX 网络号为102。（8）再次从 R1 路由器上使用ping ipx AA .0000.0c31.a81b测试以 102 网段的源地址向 AA 网段的目的地址的通信，测试成功。第 2 部分：配置和引用扩展IPX 访问控制列表下面进行扩展IPX 访问控制列表的实验。配置清单10-6 列出了在R2 路由器上配置和引用配置扩展IPX 访问控制列表的操作。配置清单10-6 配置和引用扩展IPX 访问控制列表R2#conf t Enter configuration commands, one per line. End with CNTL/Z. R2(config)#access-l

45、901 permit any 102 AA R2(config)#access-l 901 deny any any R2(config)#int s1/0 R2(config-if)#ipx access-g 901 out R2(config-if)#Z R2#sh ipx access-l IPX standard access list 801 deny 12 permit FFFFFFFF IPX extended access list 901 permit any 102 AA deny any any R2#sh ipx int s1/0 Serial1/0 is up,lin

46、e protocol is up IPX address is 23.0000.0c8e.cdd2 up Delay of this IPX netword,in ticks is 6 throughput 0 link delay 0 IPXW AN processing not enabled on this interface. IPX SAP update interval is 60 seconds IPX type 20 propagation packet forwarding is disabled Incoming access list is not set Outgoin

47、g access list is 901 IPX helper access list is not set SAP GGS output filter list is not set （1）扩展 IPX 访问控制列表的编号范围：900999。定义 IPX 访问控制列表901 时，第 1 个语句表示允许所有IPX 系列协议从102 网段到AA 网段的通信；第2 个语句表示禁止从所有其他网段的IPX 协议的通信。（2）在 R2 路由器 S0 接口的离开路由器的方向上引用扩展IPX 访问控制列表901。（3）Show ipx access list 命令列出了刚刚定义的访问控制列表，即扩展IPX

48、访问控制列表901。（4）Show ipx int s0 命名列出的信息中加阴影的两行显示了S0接口对 IPX 访问控制名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页，共 15 页 - - - - - - - - - 列表的引用情况，可以看到在向外的方向引用了扩展IPX 访问控制列表901。第 3 部分：配置和引用命名的IPX 访问控制列表命名的 IPX 访问控制列表提高了IPX 访问控制列表定义和使用上的方便性，并且允许定义更多数量多IPX 访问控制列表。配置清单10-

49、7 给除了在 R2 路由器上配置和引用命名的IPX 访问控制列表的操作。把第 1 部分和第2 部分中第标准和扩展IPX 访问控制列表用命名列表的方式重新进行定义，并进行引用。配置清单10-7 配置和引用命名的IPX 访问控制列表R2#conf t Enter configuration commands, one per line. End with CNTL/Z. R2(config)#ipx access-list standard Test3 R2(config-ipx-std-nacl)#deny 12 R2(config-ipx-std-nacl)#permit -1 R2(conf

50、ig-ipx-std-nacl)#exit R2(config)#ipx access-list extended Test4 R2(config-ipx-std-nacl)#permit any 102 AA R2(config-ipx-std-nacl)#deny any any R2(config-ipx-std-nacl)#Z R2# R2#sh ipx access-l IPX standard access list 801 deny 12 permit FFFFFFFF IPX extended access list 901 permit any 102 AA deny any

展开阅读全文