问几个ACL的问题

wangbin2010jy · 发表于 2019-1-24 16:28:35

1、对于某些ACL的条目，可以permit 和deny交叉用吗？系统会不会先执行deny

-----PCA (192.168.1.2)------(1.1)--Route----(2.1)---------PCB (192.168.2.2)------
以上的图假采用RACL的方式，做标准的ACL，怎么让PCA ping不通PCB ，PCB可以ping 的通PCA。还是必须要用扩展ACL的方式做ICMP的类型方式？

谢谢大神的回答

Necui · 发表于 2019-1-24 16:28:36

本帖最后由 Necui 于 2019-1-24 19:31 编辑

ACL是按顺序执行的，只要匹配到合适的规则就停止，和permit、deny的顺序没关系；
可以在Router上192.168.1.1接口使用扩展ACL来限制PCA ping PCB；
标准的只能匹配ip地址，除了ping包外其它的数据也会被过滤，不能满足你的要求；
ACL命令：
#icmp request的type为8
access-list 100 deny icmp host 192.168.1.2 host 192.168.2.2 8
access-list 100 permit ip any any
然后在192.168.1.1接口上调用：
ip access-group 100 in

ackca · 发表于 2019-1-24 16:36:49

标准的应该不行，我没想到办法，扩展的虽然可以，但感觉你的问题没有什么实际意义

小乔 · 发表于 2019-1-24 16:55:06

本帖最后由小乔于 2019-1-24 16:57 编辑

默认每条ACL都是有序号第一条是10 第二条是20 ..... 是以序号的先后的顺序执行不是管允许还是拒绝标准的ACL 满足不了你的要求 ping是有个回包过程标准只能做禁止访问没法弄

h19 · 发表于 2019-1-24 18:06:57

ping包有echo和echo-reply两种，想要让一个通一个不通，把其中一个的echo-repy包deny即可

f1662 · 发表于 2019-1-24 19:36:18

zou8412 · 发表于 2019-1-27 16:15:11

有一种acl叫做自反acl

wangbin2010jy · 发表于 2019-1-31 10:51:55

谢谢各位了

Eric_tor · 发表于 2019-3-3 22:56:00

Thanks.

nuwjazz · 发表于 2019-3-28 01:59:01

thanks

账号		自动登录	找回密码
密码			论坛注册

[求助] 问几个ACL的问题

最佳答案

客服中心

投诉建议