ACL 疑问

ikm98 · 发表于 2011-5-20 10:33:19

本帖最后由 ikm98 于 2011-5-20 11:22 编辑

要求：192.168.1.0 网段，其他网段不能ping该网段，不能远程到该网段电脑，其中管理员IP地址可以，（管理员IP为：192.168.3.10，3.11，3.12）写了以下ACL，应用在VLAN1，下文的ACL 是否有问题？？

有几个疑问想问下
1.ACL默认有条deny * any any 他是拒绝什么流量，比如我前边写的是允许ICMP，是否后边默认就是deny icmp any any
是否会拒绝TCP协议？？
2.如果在最后不增加 permit IP any any ，是否会拒绝其他TCP协议流量？？
access-list 100 permit icmp 192.168.1 0.0.0.255 host 192.168.3.10
access-list 100 permit icmp 192.168.1.0 0.0.0.255 host 192.168.3.11
access-list 100 permit icmp 192.168.1.0 0.0.0.255 host 192.168.3.12
access-list 100 permit tcp 192.168.1.0 0.0.0.255 host 192.168.3.10 eq 3389
access-list 100 permit tcp 192.168.1.0 0.0.0.255 host 192.168.3.11 eq 3389
access-list 100 permit tcp 192.168.1.0 0.0.0.255 host 192.168.3.12 eq 3389
access-list 100 deny icmp 192.168.1.0 0.0.0.255 any
access-list 100 deny tcp 192.168.1.0 0.0.0.255 any eq 3389
access-list 100 permit ip any any
interface vlan 1
ip access-group 100 in

fulltimes · 发表于 2011-5-20 11:12:52

如果是扩展ACL 最后默认的是 deny ip any any 最后会拒绝所有流量的访问
ACL是根据你所配置的从上往下进行匹配的，如果前面都没有匹配允许的AC，最后被拒绝

ikm98 · 发表于 2011-5-20 11:23:57

回复 fulltimes 的帖子

那我以上的ACL 是否有问题？

be_moved · 发表于 2011-5-22 16:20:50

后面写了permit ip any any那其他的流量就会通过了

账号		自动登录	找回密码
密码			论坛注册

[已解决] ACL 疑问

客服中心

投诉建议