ACL调用接口方向

攻城鸦

xuewuzhijing729 发表于 2013-9-27 03:17

                               
登录/注册后可看大图

同理就是说
list101 中的10无效 20有效 也是因为源地址端口随机访问对吧，
得出结论：

“list101 中的10无效 20有效 也是因为源地址端口随机”
你的这句话单独来看其实没有问题，发起流量的源端口确实是随机端口，但是在这题中就显得有问题了。

这题是允许左边网段到右边网段的ssh或者telnet的流量，那么左边网段首先发起流量，源端口肯定是随机端口，这一点毋庸置疑。但是当左边ssh或者telnet流量抵达右边网段的时候，右边网段需要返回流量，返回流量的源端口就应该是之前左边访问右边的目的端口，也就是ssh/telnet的端口。

因此“list101 中的10无效 20有效 也是因为源地址端口随机”这句话放在这道题就有问题，应该是10有效，20无效。

xuewuzhijing729

攻城鸦 发表于 2013-9-27 09:07

                               
登录/注册后可看大图

“list101 中的10无效 20有效 也是因为源地址端口随机”
你的这句话单独来看其实没有问题，发起流量的源 ...

哦！是不是我老是盯住配置语法语句了，而脱离实验环境了！总之我脑袋死机了！转不过来了！您说的那个意思我懂了，但是我的疑问是ep放在中间有这种配置语句打法么？
就是说根据实验环境要就左边访问右边的ssh和telnet的流量，由于访问端口为随机端口的原理所以list100
中的10有效，右边的ssh端口接到访问，它（ssh端口）返回信息，所以通过F0/1时候条件符合，list101中的10有效，即可通过。
同理list100中的20无效，因为访问端口是随机的，所以被拒绝。
假设list100中的20有效（配置对了），左边访问右边telnet流量时候，是由右边telnet端口返回左边的信息，返回信息通过F0/1端口时候不符合条件所以被拒绝，所以list101中的20无效！是这样的理解吧！
但是我理解的时候老是觉得配置语法有问题就是想问eq放在中间对不对，能这样配置么？

攻城鸦

“但是我理解的时候老是觉得配置语法有问题就是想问eq放在中间对不对，能这样配置么？”

语法可以这么看：

10 permit tcp 172.16.16.0 0.0.0.15 host 172.16.48.63 eq 22

10：是序列号，这个没问题吧
permit：这个是执行动作，应该也没问题吧
tcp：这个是匹配的协议
172.16.16.0 0.0.0.15：这句完整的是172.16.16.0 0.0.0.15 eq any，后面其实隐藏了eq any
host 172.16.48.63 eq 23：这句不用解释了吧

关键在那个隐藏的eq any，能看懂的话，应该就能理解了

攻城鸦

xuewuzhijing729 发表于 2013-9-27 14:34

                               
登录/注册后可看大图

哦！是不是我老是盯住配置语法语句了，而脱离实验环境了！总之我脑袋死机了！转不过来了！您说的那个意思 ...

“但是我理解的时候老是觉得配置语法有问题就是想问eq放在中间对不对，能这样配置么？”

语法可以这么看：

10 permit tcp 172.16.16.0 0.0.0.15 host 172.16.48.63 eq 22

10：是序列号，这个没问题吧
permit：这个是执行动作，应该也没问题吧
tcp：这个是匹配的协议
172.16.16.0 0.0.0.15：这句完整的是172.16.16.0 0.0.0.15 eq any，后面其实隐藏了eq any
host 172.16.48.63 eq 23：这句不用解释了吧

关键在那个隐藏的eq any，能看懂的话，应该就能理解了

xuewuzhijing729

攻城鸦 发表于 2013-9-27 14:52

                               
登录/注册后可看大图

“但是我理解的时候老是觉得配置语法有问题就是想问eq放在中间对不对，能这样配置么？”

语法可以这么 ...

10 permit tcp 172.16.16.0 0.0.0.15 host 172.16.48.63 eq 22
我明白了
也就是
序列号 permit/deny 协议 i源地址地址 反转掩码 （eq any） 目的地址 翻转掩码 （eq any）
这个是完整配置语法吧（可能我是自学的，自己查资料没人教有误区吧）
谢谢了！回头有问题还得多请教您（话说我要是学到pn这些就好理解了吧）

攻城鸦

xuewuzhijing729 发表于 2013-9-27 16:34

                               
登录/注册后可看大图

10 permit tcp 172.16.16.0 0.0.0.15 host 172.16.48.63 eq 22
我明白了
也就是

嗯语法没错了。
不过那个叫通配符，wildcard，只是俗称反掩码而已，建议还是用“通配符”这个名称吧。
以后常交流。

djq1012249469

Peter_Mys

攻城鸦 发表于 2013-8-13 22:30
ACL100中：
10 permit tcp 172.16.16.0 0.0.0.15 host 172.16.48.63 eq 22
这一条语句是说，允许【源ip地 ...

谢谢，我也明白了。多谢！

saiterlz