菜鸟请教acl的问题

cocokiki · 发表于 2015-3-10 09:48:06

最近在看大神的ccna教学视频，讲到acl的时候留了一道思考题，如下：

试着在模拟器上做了这个实验，发现a真的能ping通b，但不知道为什么，因为acl表里已经禁止a的访问了啊！请教论坛里的各位前辈，麻烦指点一下，谢谢

Jeff. · 发表于 2015-3-11 10:44:21

2个问题：
1，你测试的时候IP是怎么样的？a代表什么，b代表什么？
2，你是哪里ping哪里？

cocokiki · 发表于 2015-3-11 16:54:47

Jeff. 发表于 2015-3-11 10:44
2个问题：
1，你测试的时候IP是怎么样的？a代表什么，b代表什么？
2，你是哪里ping哪里？

a的IP：192.168.1.1 b的IP：192.168.2.200a去ping b，可以通的，但是按照acl列表顺序，比对第一条发现是192.168.1.0网段的数据，就应该丢弃的啊，可不知道为什么还是通的

张宏鹏 · 发表于 2015-3-13 16:11:04

同问！！！

Jeff. · 发表于 2015-3-13 16:57:00

cocokiki 发表于 2015-3-11 16:54
a的IP：192.168.1.1 b的IP：192.168.2.200a去ping b，可以通的，但是按照acl列表顺序，比对第一条发现是1 ...

OK,
这个涉及到内部查找的问题，

在你这种acl的设置情况下，路由器在查找内部的表的时候，会先匹配掩码最大的，

比如你这里permit 192.168.1.0 0.0.0.255 ，其实就是/24的掩码

而permit 192.168.1.1，掩码是主机掩码/32

所以，结果就是匹配到permit 192.168.1.1

————————————————————————
你这种设置ACL也是一种思维，就是先deny所有，然后只允许192.168.1.1的主机。

但是，我一般的习惯就是直接permit 192.168.1.1 就行了。这样的效果和你配置的ACL效果是一样的，

理解起来也是比较好理解的。

cocokiki · 发表于 2015-3-14 09:27:52

Jeff. 发表于 2015-3-13 16:57
OK,
这个涉及到内部查找的问题，

谢谢，我知道啦

liliang801002 · 发表于 2024-11-30 18:06:06

学习一下学习一下

账号		自动登录	找回密码
密码			立即注册

[已解决] 菜鸟请教acl的问题

本帖子中包含更多资源