是否需要在扩展 ACL 中提供通配符掩码?
比如我想阻止192.168.5.2访问192.168.7.2,可以写如下命令吗?
access-list 107 deny 192.168.5.2 192.168.7.2
acess-list 107 permit any any
int fa 0/0
ip access-group in
在扩展 ACL 中提供通配符掩码
网络工程
思科
ACL
2021-07-14 00:01:24
2个回答
ACL 使用通配符。你需要使用例如
ip access-list 107 deny ip 192.168.5.2/32 192.168.7.2/32
的/32相当于0.0.0.0通配符=没有通配符比特。另外,您也可以使用host指标,所以192.168.5.2/32,192.168.5.2 0.0.0.0和host 192.168.5.2都是相同的。any等效于0.0.0.0 255.255.255.255= 所有通配符位 = 任何 IP 地址。
此外,您应该考虑对 ACL 条目进行编号以简化未来的扩展,例如
ip access-list extended 107
10 deny ip 192.168.5.2/32 192.168.7.2/32
9999 permit any any
end
你错了。
正确的语法是:
access-list 107 deny ip 192.168.5.2 0.0.0.0 host 192.168.7.2
access-list 107 permit ip any any
int fa 0/0
ip access-group 107 in
0.0.0.0是255.255.255.255单个主机 (/32)的 ACL 通配符。0.0.0.255是 ACL 通配符,255.255.255.0它是整个 /24 子网。