首先你要明确一点,访问控制列表的掩码可以不连续, 也就是说访问控制列表为了达到精确匹配,因此可以不连续,下面我们来做这个题目:
我们把192.168.1.0的最后一位写成2进制为00000000,如果要为奇数,只需要最后一位置1即可!也就是说00000001,0的部分可以随便变动,1的部分不能变!这样形成的数肯定是奇数,所以我们可以这样匹配,192.168.1.1 255.255.255.1,那么访问控制列表就很容易写出了!
Router(config)#access-list 1 permit 192.168.1.1 255.255.255.1
由于默认跟随了一句deny any,所以就用一句,放行奇数IP就可以了!然后在接口下应用就OK了!
回答完毕!
1.可以
2。是的
3.是的
可以将配置文件贴上来,如果不方便可以讲配置文件发送到我邮箱里。wlcol@126.com
我是H3C(华为)代理商工程师,可以帮你看看。
因为使用ACL的时候,是要根据具体情况来定义源和目的的acl,和在接口的in方向还是out方向应用都是有说道的。
#########################
看了你的图片。我初步判断为acl问题与mac地址学习问题。
1.mac地址学习功能。在连接pc的端口下,不能配置成0,学习不到任何mac地址。此时交换机端口mac地址表项里没有对应的信息。交
换无法转发数据,也不建议将此值调的太小。连接到其他交换机的端口如trunk口一定要将此值调的很大,最好不限制。因为交换机
会维护整个网络里所有的mac与端口对应表项。如果你将TRUNK限制小了从此端口上来的对端所有pc机mac地址到达限制数就不学习了
。也就没有表项。没有对应表项,二层就不可能通信,就更别说三层了。
建议将连接pc的端口设置成10,连接其他交换机的端口(trunk)不做限制。要把此功能关闭。注意,对于trunk口两边的交换要设置
成一样。
使用dis mac-address 和 dis arp all查看mac地址与端口的对应关系,就知道那个端口是否学习上来了mac地址。没有学习上来地址
就肯定不能通信。
2.acl问题。你设置的acl3001有很大的问题。华为的acl是从最大的rule开始匹配的,也就是说先执行rule22 在往上执行rule。因为
有版本的问题,有的交换如果在最后设置了deny在往上的话permit是不好用的,你的rule22在你lan内就相当于了全部deny。S7502我
没有设置过这样的应用。所有说全都deny掉还是不清楚。我建议你这样配置。
把permit换成deny 而acl最后不做permit全部允许规则。
例:
在一个access端口下。它属于vlan21.只允许访问本网段,而不允许访问vlan25。
acl num 3021
rule 1 deny ip sou 192.168.21.0 0.0.0.255 de 192.168.25.0 0.0.0.255
在端口下
qos
pack ip in acl 3021
一定要在in方向,in方向是从此端口流入的数据,在acl里就是source。如果是ou方向在acl里就de目的地址。
还有就是你说的领导单向访问问题。
这个是没有办法实现的,也很不现实。从数据的角度上来看,数据包是双向的这样才能建立起一个连接,tcp或者udp的。只有去的数
据,在经过端口的时候被acl规则里的deny掉回来的数据。这个连接是建立不起来的。也就无法通信。
说个最简单的例子。我在vlan21里pingvlan25的地址,我把arp请求到mac地址的那部分省略掉。ping是使用icmp报文。首先发送一个
icmp请求报文。经过交换的是三层路由请求到了对方pc,对方pc返回了一个icmp报文,在经过连接他的端口时被acl规则deny掉了。
而我一直也没有收到对方的icmp返回报文,经过计时器时间,确认丢失。返回Request timed out.
如此连最基础的icmp报文都不通,就别说tcp、udp报文了。
所以单向访问是不可行的。
如果还有什么问题可以直接发邮件给我。
内容全部来源于网络收集,如有侵权,请联系网站删除:QQ:24596024