标准ACL的问题，急！！！

一己之见

配置标准acl，在PT里面，是按照配置先后顺序列出了条目，编号10 下面就是编号20。

但是在gns3里面，后配置的条目，跳到了最上面，图中是gns3中路由器的acl列表，可以看到第一条是编号20，第二条是编号10。



感觉两个模拟器存在差异，导致相同的配置有两个不同的结果。。。
按书本上讲的应该像PT里面一样，按照配置的先后顺序，从上至下，匹配了就不执行下一条了。
还是说在标准ACL中，条目会自动排序？

cy0516

运行中会按照sequence number就是前面那个10,20的顺序来执行

独钓寒江

楼主，你配置有错误啊，你要是先配编号10的那条deny，然后配置20的那个permit，你确定能配上吗？除非你先配置permit的，你deny包含了permit那条，先匹配deny那个，你permit就没用了，acl默认拒绝，所以你的acl是有错误的，一条流量也不允许

erxing

排序不同可能是因为模拟器的识别机制不同。因为你deny的那条反掩码计算包含了 192.168.1.1 所以模拟器识别理所当然的把子网小的放上面了 。因为你配置有误，正常来讲一般都是小的放上面  由上而下执行  不管是按序号和顺序都不会有问题。你重写一条 把小的放第一条 再试一试吧  估计就不会有问题了

erxing

排序不同可能是因为模拟器的识别机制不同。因为你deny的那条反掩码计算包含了 192.168.1.1 所以模拟器识别理所当然的把子网小的放上面了 。因为你配置有误，正常来讲一般都是小的放上面  由上而下执行  不管是按序号和顺序都不会有问题。你重写一条 把小的放第一条 再试一试吧  估计就不会有问题了

Rockyw

我觉得这跟模拟器无关，是IOS的问题。

一己之见

cy0516 发表于 2016-8-25 06:27
运行中会按照sequence number就是前面那个10,20的顺序来执行

首先谢谢你的回复。
运行中是按照第一条从上至下的，也就是先序号20那条，192.168.1.1这个主机是可以通过的，而我配置时的顺序是第一条就deny掉了所有192.168.1.0段。
在PT里面没问题，第一条deny掉了所有1.0段，后面那句等于废话了。
GNS3中，标准ACL和标准命名都试过，都有这个问题。

一己之见

独钓寒江 发表于 2016-8-25 09:03
楼主，你配置有错误啊，你要是先配编号10的那条deny，然后配置20的那个permit，你确定能配上吗？除非你先配 ...

首先谢谢你的回复。
按照相同的顺序配置的ACL，在GNS3中，我确定能配上，因为序号20那条放到首位了。
在PT中，第一条就拒绝了所有1.0，是配不上的。
所以这里的优先级把我给搞混了。

一己之见

erxing 发表于 2016-8-25 09:27
排序不同可能是因为模拟器的识别机制不同。因为你deny的那条反掩码计算包含了 192.168.1.1 所以模拟器识别 ...

谢谢回复！
这是一道题目，问的是192.168.1.1最后能ping通对端嘛，目测不能，pt中不能，gns3中是能p通的。
按照您说可能识别机制不同的话，那我这个ios12.4版本就是要把理论推翻了，第二条配置直接加塞到第一条配置的上面了。

异度小生

1553301593