求个东西，数据包进入接口执行的顺序的相关资料 New

明天¤晴天℃

如果是ACL和路由的顺序 要看ACL应用在哪个方向 如果是入向ACL 那么先ACL再路由；如果是出向ACL 那么是先路由在ACL；
如果是ACL和NAT的顺序 也要看方向，上网流量是先ACL再NAT
从公网过来的是先NAT 再ACL；

明天¤晴天℃

有分ACL和路由结合还有ACL和NAT结合两种情况：
1.如果是ACL和路由结合的顺序 要看ACL应用在哪个方向 如果是入向ACL 那么先ACL再路由；如果是出向ACL 那么是先路由在ACL
2.如果是ACL和NAT结合的顺序 也要看方向，上网流量是先ACL再NAT  从公网过来的是先NAT 再ACL

这个是大概流程吧 不知道是不是你想要的 我已经晕了

Jeff.

回复 8 # tiq 的帖子

一定要记住，不是所有的ACL都是用来通过，丢弃的~
就像你做NAT的时候，如果是deny的话，代表的是不NAT的流量，并不是丢弃的流量~
ACL可以用来做访问控制，也可以用来做流量的匹配~ 他和其他的技术，比如QoS，Route-map都可以结合~
如果你理解了ACL的话，那么请理解prefix-list也是一样的道理~哈哈
希望LZ理解其中的含义~
ACL是个强大的东西~

Jeff.

回复 9 # magic_os 的帖子

如果你做了NAT和VPN，那么你需要把感兴趣的流量用ACL deny掉~
不然IPSec会认为你这个流量被NAT过了，也就是被修改过了，
那么他认为是不安全的~所以就丢弃了，也就不进行VPN的操作了，

所以你在做NAT的时候需要明确的deny掉需要被IPSec保护的流量也就是感兴趣的流量，哈哈~
慢慢理解~
哈哈
嘿嘿
呵呵
......

tiq

哈哈，谢谢JEFF的耐心解答，DENY不一定是丢弃的意思，明白了！！

magic_os

回复 14 # Jeff. 的帖子

难怪上次有个试验用NAT的时候是在那个NAT调用的ACL中先Deny了VPN的所有流量..当时他解释是，这个Deny的范围是要用作隧道VPN 所以不用NAT...现在再看Jeff.大哥的回答似乎..似乎...很微妙的理解了...

非常感谢~！

看来俺还得继续努力才是~！

---------------------------------------------------------------------
从现在起..做一个更加努力的人..每天看书试验学习英语..
从现在起..做一个幸福的人..学会感恩..学会帮助他人..
从现在起,..和每一个亲人通信告诉他们我努力的学习是为了能够更好的服务于社会..用知识让世界变得更美好..
那幸福的闪电告诉我的..我将告诉每一个人..给每一个路由每一个交换机取一个有意义的名字...
陌生人, 我也为你祝福 愿你有一个灿烂的前程 愿你有情人终成眷属 愿你在尘世获得幸福
....
而我只愿面朝大海, 春暖花开..
啊门...
哦米拖佛...

magic_os

冷....场了么....

Jeff.

顶起~
必须的
加油`

ygs520

在NAT中，如果是inside---outside的话，是先路由后NAT，相反是NAT后路由
在VPN中的话，是先查路由后在匹配感兴趣流量的。