下面提到的配置如何进行 ACL 查找?

网络工程 思科 acl
2022-02-20 06:06:41

当我在 cisco 7600 机器的接口上配置以下 ACL 时会发生什么?

access-list TEST
 10 deny ip any any
 20 permit ip any any

基本上,当我 ping 直接连接的 IP 到这个接口时,我观察到的只是硬件计数器增加了许可规则,而数据包被软件丢弃了?

我知道这样的访问列表没有任何意义,但是在这种情况下如何处理数据包呢?

设想 :

[R1](g4/1)-------------------------(g4/1)[R2]

在 R2 int g4/1 上配置的访问列表测试用于进入流量。

从 R2 ping 到 R1 接口 4/1,您会得到以下观察结果:

R2#show tcam interface g4/1 acl in ip mod 4

* Global Defaults shared

Entries from Bank 0

Entries from Bank 1

deny ip any any    
permit ip any any(5 matches)

R2# show ip access-list TEST

Extended IP access list TEST
10 deny ip any any (5 matches)
20 permit ip any any
1个回答

如果您在第一行中拒绝,则10 deny ip any any所有包裹都将符合此规则并且将被路由器拒绝,因此第二条规则20 permit ip any any将永远不会与包裹相遇。一言以蔽之,任何包都不会在此界面上通过。我不明白为什么要拒​​绝所有 ip (tcp/udp) 包。

deny any any顺便说一句:所有 ACL在所有规则的末尾都有一个隐含的......

其它你可能感兴趣的问题
上一篇ISP 分配的路由器和 IP 范围 - 在后面添加防火墙 下一篇Cisco SG300 和 Cisco ISR 2921 之间的连接是交叉连接的好选择吗?