我想问一个关于acl的问题

wangbin2010jy

我刚才做了个实验。用标准ACL先做了一个，如图：在R3上作为R4 R6（路由模拟PC）做出口路由。标准ACL我在R1（模拟server)做，access-list 1 deny host 192.168.2.254  access-list 1 permit any(禁止254源地址访问，其他放行）然后做到telnet 虚拟服务端接口上#access-class 1 in。然后我再实验了下扩展ACL规则，把刚才的标准ACL删除，这次我把扩展ACL做在R3上access-list 101 deny tcp host 192.168.2.254 host 192.168.4.2 eq 23 access-list 101 permit tcp any any 。从这里我发现一个问题 ，标准ACL必须要加入到接口上规则上才能执行，在扩展ACL中貌似就做了两条规则没有假如到接口中，就生效了啊，为什么？求告诉解答下，谢谢！

小锤锤

楼主好的！！
acl 不管是标准还是扩展的 出不出效果 最终还是 看在哪里调用的
比如 楼主你说的 就有在 物理接口的调用 也有在虚拟接口 vty的调用
ACL还可以在很多高级策略中调用 router-map  class-map crypto-map等等。。。。
重点还是弄清楚在哪调用 需求是什么

Rockyw

本来两种ACL的设定语法就不同

daye

wangbin2010jy

小锤锤 发表于 2015-10-26 14:53
楼主好的！！
acl 不管是标准还是扩展的 出不出效果 最终还是 看在哪里调用的
比如 楼主你说的 就有在 物 ...

你好，我就在全局下用access-list 101 deny tcp host 192.168.2.254 host 192.168.4.2 eq 23 access-list 101 permit tcp any any  就生效了，没有在接口或者其他地方进行调用。谢谢

小锤锤

楼主确定  那能否把配置贴出来