设为首页收藏本站订阅本站

雏鹰部落

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
查看: 770|回复: 5

[已解决] 菜鸟请教acl的问题

[复制链接]
发表于 2015-3-10 09:48:06 | 显示全部楼层 |阅读模式
最近在看大神的ccna教学视频,讲到acl的时候留了一道思考题,如下:


试着在模拟器上做了这个实验,发现a真的能ping通b,但不知道为什么,因为acl表里已经禁止a的访问了啊!请教论坛里的各位前辈,麻烦指点一下,谢谢

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
发表于 2015-3-11 10:44:21 | 显示全部楼层
2个问题:
1,你测试的时候IP是怎么样的?a代表什么,b代表什么?
2,你是哪里ping哪里?
 楼主| 发表于 2015-3-11 16:54:47 | 显示全部楼层
Jeff. 发表于 2015-3-11 10:44
2个问题:
1,你测试的时候IP是怎么样的?a代表什么,b代表什么?
2,你是哪里ping哪里?

a的IP:192.168.1.1 b的IP:192.168.2.200a去ping b,可以通的,但是按照acl列表顺序,比对第一条发现是192.168.1.0网段的数据,就应该丢弃的啊,可不知道为什么还是通的



发表于 2015-3-13 16:11:04 | 显示全部楼层
同问!!!
回复

使用道具 举报

发表于 2015-3-13 16:57:00 | 显示全部楼层
cocokiki 发表于 2015-3-11 16:54
a的IP:192.168.1.1 b的IP:192.168.2.200a去ping b,可以通的,但是按照acl列表顺序,比对第一条发现是1 ...

OK,
这个涉及到内部查找的问题,

在你这种acl的设置情况下,路由器在查找内部的表的时候,会先匹配掩码最大的,

比如你这里permit 192.168.1.0 0.0.0.255 ,其实就是/24的掩码

而permit 192.168.1.1,掩码是主机掩码/32

所以,结果就是匹配到permit 192.168.1.1

————————————————————————
你这种设置ACL也是一种思维,就是先deny所有,然后只允许192.168.1.1的主机。

但是,我一般的习惯就是直接permit 192.168.1.1 就行了。这样的效果和你配置的ACL效果是一样的,

理解起来也是比较好理解的。








 楼主| 发表于 2015-3-14 09:27:52 | 显示全部楼层
Jeff. 发表于 2015-3-13 16:57
OK,
这个涉及到内部查找的问题,

谢谢,我知道啦
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|小黑屋|网络工程师论坛 ( 沪ICP备09076391 )  

GMT+8, 2019-8-23 21:30 , Processed in 0.061417 second(s), 22 queries , Gzip On.

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表