IP访问控制列表

　　另一个应注意的问题是路由器不对由自身产生的IP进行过滤，在实验时应由其他的设备发包进行测试。

　　(2)配置标准IP访问控制列表1时，定义了除30.1.1.0/24网段外的所有网段都被接受。

　　(3)在R2路由器S0接口的进入方向引用了访问控制列表1,目的是过滤来自30.1.1.0/24网段的数据包，允许其他所有网段的数据包通过。

　　在接口上引用访问控制列表时，使用in或out子命令。这里的in和out是指以路由器本身为参考点，数据包是进入 (in)还是离开(out)路由器。

　　(4)show ip access-list命令列出了所定义的访问控制列表的情况，可以看到"permit any"一行有2个匹配包的报告，表示已经有2个匹配此行条件的数据包被S0接口接收。

　　(5)show ip int sO命令列出的信息中加阴影的2行是关于访问控制列表引用情况的信息，表明在进入路由器的方向(而)引用了访问控制列表1。

　　(6)接下来用clear access-list counters指令清空了访问控制列表的计数器。以便观察实验结果。所谓清空计数器，就是把访问控制列表各行的匹配数清空。

　　再次使用show ip access-list命令查看显示了我们想得到的结果。

　　(7)使用ping和扩展的ping命令测试访问控制列表1的定义和引用情况，结果为:

　　从20.1.1.3发往10.1.1.1的IP包被R2接收和路由;

　　从30.1.1.3发往10.1.1.1的IP包被R2过滤掉。

　　测试结果符合访问控制列表的设置。

　　(8)再次查看访问控制列表的匹配情况，可以看到，在访问控制列表1中，2条语句各有5个相匹配的包，即5个ICMP Echo包。

　　第2部分:配置和引用扩展IP访问控制列表

　　接下来是有关扩展IP访问控制列表的实验。

　　配置清单10-2列出了在R2路由器上配置和引用扩展IP访问控制列表的操作。