如何允许 Cisco access-list 命令中的行为?

网络工程 思科 路由 思科-ios 安全 ACL
2021-07-18 11:47:08

如果允许网络上的主机通过源主机路由器上的 ACL 访问不同网络上的另一台主机,是否会自动拒绝与源主机位于同一网络上的其他主机?

如果您需要 100% 可以回答的事情,这是一种情况:

有两个网络和三个主机:

网络 A - 172.50.2.0/27:

172.50.2.13 (hostA, PC)
172.50.2.14 (hostB, PC)

网络 B - 172.40.2.0/27:

172.40.2.21 (hostC, webserver)

如果主机 A 想要连接到主机 C,但以下 ACL 放置在主机 A 和 B 连接到其交换机的路由器接口上:

100 permit tcp host 172.50.2.14 host 172.40.2.21 eq www

尝试连接到 hostC 网络服务器时,hostA 是否会自动拒绝,因为只允许使用 hostB?或者它是否被允许,因为整个网络没有被拒绝,即使没有给 hostA 一个明确的许可条目?

另外,如果我要添加:

100 permit ip any any

到 ACL 的末尾,hostA 是否仍然无法连接到网络服务器?

1个回答

如果没有语句匹配,Cisco 访问列表具有隐式拒绝。

因此,如果流量与访问列表的任何规则都不匹配,则会被阻止(即数据包被丢弃)。

编辑:
带有“permit ip any any”的规则显然会匹配任何流量,并且 ACL 不会阻止任何没有被先前声明明确拒绝的内容。

另请注意,ACL 评估在匹配的第一条规则处停止。然后应用与此规则关联的操作,并且根本不评估以下规则。

其它你可能感兴趣的问题
上一篇在 pcap 跟踪上运行 tshark 时,如何过滤掉特定的 MAC 地址? 下一篇Twinax 电缆的用途是什么,它与用于连接不同设备和类似设备的直通和交叉电缆有何不同?