我是一名 CCNA 学生,在实验室期间,我发现对于传入的扩展 ACL 上的某些规则,使用类似的规则permit tcp any any eq (protocol)可以正常工作,而在其他规则上我需要使用格式permit tcp any eq (protocol) any.
只是想知道有什么区别?
“permit tcp any any eq telnet”和“permit tcp any eq telnet any”有什么区别?
网络工程
思科
思科-ios
ACL
2021-07-21 03:20:45
1个回答
permit tcp any any eq <protocol-port>
允许具有目标TCP 端口 == 协议端口的任何流量
permit tcp any eq <protocol-port> any
允许具有源TCP 端口 == 协议端口的任何流量
例子
ACL 倾向于为客户端-服务器连接的服务器端使用固定端口。通常,客户端连接到服务器上的一个众所周知的端口;当您发布到 Stack Exchange 时,您的网络浏览器(客户端)通过 TCP 端口 80 连接到 Stack Exchange 服务器。
POS1/0 Gi0/0
+-----------+
Internet -----| Router |----- Webserver (listening on TCP/80)
+-----------+
所以假设 Stack Exchange 将这些 ACL 应用到上面的路由器,他们可以在他们的 POS1/0 接口上使用这个入站;因为到Stack Exchange 网络服务器的流量将转到 TCP/80
ip access-list extended WEB_in
permit tcp any any eq 80
deny ip any any log
他们可以在 POS1/0 上应用这个出站,因为离开Stack Exchange 网络服务器的流量将来自 TCP/80
ip access-list extended WEB_out
permit tcp any eq 80 any
deny ip any any log
在此示例中,请记住,将 ACL 应用于“any eq 80”并不是非常有用;通常,您会将其限制为要向 Internet 公开 TCP 80 的特定 IP 地址。