如果访问列表未更改,向网络添加新系统是否会突然阻止对 Internet 的访问?

网络工程 思科 转变 ACL
2021-07-27 09:20:27

跟进此问答

阅读有关 IP 访问列表的文档以了解其工作原理,并将其包含或排除作为某些系统突然无法再访问 Internet 的可能原因。

如果访问列表如下所示:

access-list acl_permit permit ip 10.10.10.0 0.0.0.7
access-list acl_deny deny ip any any

这意味着:

10.10.10.0
10.10.10.1
10.10.10.2
10.10.10.3
10.10.10.4
10.10.10.5
10.10.10.6
10.10.10.7

能够访问互联网,如:

2^0=1
2^1=2
2^2=4 +
    7

如果访问列表没有改变,随后又创建了四个系统并分配了以下 IP:

10.10.10.8
10.10.10.9
10.10.10.10
10.10.10.11

这是否意味着这些系统将无法访问互联网?

新系统是否有可能10.10.10.10与例如竞争,10.10.10.4以便后者无法再访问互联网而第一个可以?

或者7至少应该将掩码从增加到15以便新系统 ( 10.10.10.8 - 11) 可以访问互联网?

1个回答

根据您在上面的访问列表中指定的通配符掩码(仅允许 10.10.10.0-10.0.0.7 中的 ip 地址将被隐式拒绝),是的,您需要将通配符掩码从 7 更改为 15将允许新添加的系统与互联网进行通信。否则,它们会被 ACL 的隐式拒绝规则拒绝,并且新连接的系统不会与阻止其连接到 Internet 的旧系统竞争。

我想补充的另一件事是访问列表需要具有相同的名称。在上面的例子中,我想你想把它应用到同一个界面,对吗?

所以在那种情况下

access-list acl_permit permit ip 10.10.10.0 0.0.0.7 any
access-list acl_permit deny ip any any

希望这对您有所帮助并回答您的疑问...谢谢

参考http://www.cisco.com/c/en/us/td/docs/ios/12_2/security/configuration/guide/fsecur_c/scfacls.html

其它你可能感兴趣的问题
上一篇2 个 dhcp 服务器,一个池 下一篇Wireshark 显示 HTTP 请求的 SSDP 协议,而不是 TCP 协议