ACL配置中如果通配符写成了掩码是不是就失效了

曼索

因为忘记了ACL中通配符写成掩码会造成什么情况，所以做了一个测试。
在pt模拟器上测试了一下，写了一条ACL
access-list 115 permit ip 192.168.1.0 255.255.255.0 any
然后 sh 出来的是
access-list 115 permit ip 0.0.0.0 255.255.255.0 any
然后把115加到端口in上之后来ping端口，不通。
之后再在下面写上一条
access-list 115 permit ip any any
再ping，通了。
这样是不是表示当通配符写成了掩码之后，该条配置被认为错误，会失效
这样115实际上就只有一条deny ip any any，所以造成不通

Ethack

曼索 发表于 2016-7-29 13:16
理解了，谢谢。那有没有通配符最后一位不能写0的规定呢。测试结果应该是那条ACL失效了才对的吧。

通配符中的0代表完全匹配，192.168.1.0 255.255.255.0这样其实就是前面24位任意，最后8位要为0，这样代表xxx.xxx.xxx.0为源IP，一般情况下不会有这样的源IP，所以跳到第二条隐藏的deny ip any any，所以就都ping不通，你加上那样允许的，自然就可以了

小乔

不是
通配符和掩码的格式是一样的  
255.255.255.0   你觉得这是掩码  其实也可是用通配符 所以系统不会认为这是错误

曼索

小乔 发表于 2016-7-29 11:38
不是
通配符和掩码的格式是一样的  
255.255.255.0   你觉得这是掩码  其实也可是用通配符 所以系统不 ...

理解了，谢谢。那有没有通配符最后一位不能写0的规定呢。测试结果应该是那条ACL失效了才对的吧。

曼索

Ethack 发表于 2016-7-29 16:15
通配符中的0代表完全匹配，192.168.1.0 255.255.255.0这样其实就是前面24位任意，最后8位要为0，这样代表 ...

啊，看懂了，感谢。。