ACL 问题

ztbit · 发表于 2017-1-21 22:04:00

如下3条规则：
  10 permit tcp host 192.168.10.1 host 172.16.1.1 eq telnet
  20 deny tcp any host 172.16.1.1eq telnet
  30 pemit any any
  ACL只在同一个接口的同一个方向

对于  192.168.10.1 和 192.168.10.2去telnet 172.16.1.1 是什么结果？
当192.168.10.1去telnet 172.16.1.1时，被ACL中的10 permit了还要不要去执行ACL中的 20进行判断？
当192.168.10.2去telnet 172.16.1.1时，判断顺序是什么?

Rockyw · 发表于 2017-1-21 22:04:01

1、.1能，.2不能 2、有一条匹配就不需要再去比对余下的规则 3、10不匹配，比对下面的20，20匹配就不需要比对下面的30了。

Q9966 · 发表于 2017-1-21 23:54:16

在访问列表中连续地检查规则
对于192.168.10.1 telnet到172.16.1.1，第10行匹配，所以动作是permit; 一次如果有一行是匹配，则检查终止
对于192.168.10.2 telnet到172.16.1.1，在第10行没有匹配，但在第20行匹配; 所以动作是deny; 一次如果有一行是匹配，则检查终止

24K · 发表于 2017-1-23 16:14:02

ACL 从上往下依次匹配

lijiajun123456 · 发表于 2017-1-23 21:43:11

就像c语言中的if语句

lijiajun123456 · 发表于 2017-1-23 21:43:23

就像c语言中的if语句

babyboy99 · 发表于 2017-2-7 10:47:31

按ACL序号从上到下检查，如果能符合正常通过的ACL则从这条ACL停止，如果还不能让数据正常通过则继续向下到最后。

babyboy99 · 发表于 2017-2-7 10:47:39

按ACL序号从上到下检查，如果能符合正常通过的ACL则从这条ACL停止，如果还不能让数据正常通过则继续向下到最后。

babyboy99 · 发表于 2017-2-7 11:43:02

按ACL序号从上到下检查，如果能符合正常通过的ACL则从这条ACL停止，如果还不能让数据正常通过则继续向下到最后。
1.192.168.10.1和192.168.10.2都是telnet 172.16.1.1，因为192.168.10.1符合序号10，192.168.10.2符合序号30。
2.因为192.168.10.1去telnet 172.16.1.1并能正常通过，则在此停止！不需要再向下判断。
3.192.168.10.2去telnet 172.16.1.1，从上向下判断，先序号10，不通，再序号20，不通，再序号30，通，停止判断。如果此ACL没有序号30，则直接丢掉此数据包！

skylake · 发表于 2017-2-27 13:09:33

看你在哪个机器上写。 acl写在接口下就是access group 对本地起源的出去流不起作用。所以第一条如果你写在10.1上等于没写，你写了deny也照样可以通。而且你这 acl放在接口下的话是一种结果，放在routemap里又是一个结果。看你放在那里了.

skylake · 发表于 2017-2-27 13:09:42

看你在哪个机器上写。 acl写在接口下就是access group 对本地起源的出去流不起作用。所以第一条如果你写在10.1上等于没写，你写了deny也照样可以通。而且你这 acl放在接口下的话是一种结果，放在routemap里又是一个结果。看你放在那里了.

账号		自动登录	找回密码
密码			论坛注册

[求助] ACL 问题

最佳答案

客服中心

投诉建议