cocokiki 发表于 2015-3-10 09:48:06

菜鸟请教acl的问题

最近在看大神的ccna教学视频,讲到acl的时候留了一道思考题,如下:


试着在模拟器上做了这个实验,发现a真的能ping通b,但不知道为什么,因为acl表里已经禁止a的访问了啊!请教论坛里的各位前辈,麻烦指点一下,谢谢

Jeff. 发表于 2015-3-11 10:44:21

2个问题:
1,你测试的时候IP是怎么样的?a代表什么,b代表什么?
2,你是哪里ping哪里?

cocokiki 发表于 2015-3-11 16:54:47

Jeff. 发表于 2015-3-11 10:44
2个问题:
1,你测试的时候IP是怎么样的?a代表什么,b代表什么?
2,你是哪里ping哪里?

a的IP:192.168.1.1 b的IP:192.168.2.200a去ping b,可以通的,但是按照acl列表顺序,比对第一条发现是192.168.1.0网段的数据,就应该丢弃的啊,可不知道为什么还是通的



张宏鹏 发表于 2015-3-13 16:11:04

同问!!!

Jeff. 发表于 2015-3-13 16:57:00

cocokiki 发表于 2015-3-11 16:54
a的IP:192.168.1.1 b的IP:192.168.2.200a去ping b,可以通的,但是按照acl列表顺序,比对第一条发现是1 ...

OK,
这个涉及到内部查找的问题,

在你这种acl的设置情况下,路由器在查找内部的表的时候,会先匹配掩码最大的,

比如你这里permit 192.168.1.0 0.0.0.255 ,其实就是/24的掩码

而permit 192.168.1.1,掩码是主机掩码/32

所以,结果就是匹配到permit 192.168.1.1

————————————————————————
你这种设置ACL也是一种思维,就是先deny所有,然后只允许192.168.1.1的主机。

但是,我一般的习惯就是直接permit 192.168.1.1 就行了。这样的效果和你配置的ACL效果是一样的,

理解起来也是比较好理解的。








cocokiki 发表于 2015-3-14 09:27:52

Jeff. 发表于 2015-3-13 16:57
OK,
这个涉及到内部查找的问题,



谢谢,我知道啦

liliang801002 发表于 2024-11-30 18:06:06

学习一下学习一下
页: [1]
查看完整版本: 菜鸟请教acl的问题