|
|
 |
|
|
|
 |
|
HP : 0 / 258
MP : 50 / 3923
EXP : 34%
|
|
武林奇才
成员等级: 11
发表总数: 151
金币总数: 291
所属组别: 普通成员
注册日期: 2003/10/31
|
问题1:
在Cisco6509上建了以下存取列表.
access-list 111 permit tcp 172.16.10.0 255.255.255.0 any eq 21
access-list 111 permit tcp 172.16.10.0 255.255.255.0 any eq 23
access-list 111 permit tcp 172.16.18.0 255.255.255.0 any eq 21
access-list 111 permit tcp 172.16.18.0 255.255.255.0 any eq 23
access-list 111 deny tcp any 172.16.1.0 255.255.255.0 eq 21 log
access-list 111 deny tcp any 172.16.1.0 255.255.255.0 eq 23 log
access-list 111 permit ip any any
为什么我show access-list 111 。就变成以下样子了(源地址都变成0.0.0.0了):
Extended IP access list 111
permit tcp 0.0.0.0 255.255.255.0 any eq ftp
permit tcp 0.0.0.0 255.255.255.0 any eq telnet
deny tcp any 0.0.0.0 255.255.255.0 eq ftp log
deny tcp any 0.0.0.0 255.255.255.0 eq telnet log
permit ip any any
问题2:
同一个Vlan里可以加入多个access-list吗?
比如:
interface Vlan139
description ===> test
ip address 172.16.118.254 255.255.255.0
ip access-group 110 in
ip access-group 111 in
我加了好像加不进去。
|
|
|
|
| 2. Re:Access-list问题? |
  |
|
|
|
|
HP : 0 / 258
MP : 50 / 3923
EXP : 34%
|
|
武林奇才
成员等级: 11
发表总数: 151
金币总数: 291
所属组别: 普通成员
注册日期: 2003/10/31
|
不好意思,搞错了,第一个问题我忘了用反码。 |
|
|
|
| 3. Re:Access-list问题? |
|
|
 |
|
HP : 103 / 1033
MP : 956 / 16145
EXP : 33%
|
|
名动江湖
成员等级: 42
发表总数: 2868
金币总数: 1,178
所属组别: 核心成员
注册日期: 2003/09/4
|
ACL应该用wildcard mask的。 |
|
|
|
| 4. Re:Access-list问题? |
|
|
 |
|
HP : 0 / 63
MP : 7 / 776
EXP : 52%
|
|
初涉江湖
成员等级: 3
发表总数: 23
金币总数: 37
所属组别: 普通成员
注册日期: 2004/10/23
|
首先我暂不说你的acl的语法有错误。这点你也知道。用反掩码
好,问题一:你不觉得你的acl前后矛盾吗、。
access-list 111 permit tcp 172.16.10.0 0.0.0.255 any eq 21
access-list 111 permit tcp 172.16.10.0 0 0.0.0.255 any eq 23
access-list 111 permit tcp 172.16.18.0 0 0.0.0.255any eq 21
access-list 111 permit tcp 172.16.18.0 0 0.0.0.255 any eq 23
和最后一句
access-list 111 permit ip any any有矛盾啊
每组访问列表最后都有一句隐藏deny any any 换句话说就是说每句都必须有一个permit句
你想想,你这两句是不是有问题,也就是说你的access-list 111 permit ip any any是多余的。
不用了, |
|
|
|
| 5. Re:Access-list问题? |
|
|
 |
|
HP : 0 / 37
MP : 4 / 457
EXP : 50%
|
|
初涉江湖
成员等级: 2
发表总数: 14
金币总数: 24
所属组别: 普通成员
注册日期: 2004/11/9
|
楼上说的对 |
|
|
|
| 6. Re:Access-list问题? |
|
|
 |
|
HP : 0 / 5
MP : 1 / 70
EXP : 21%
|
|
新手上路
成员等级: 1
发表总数: 4
金币总数: 14
所属组别: 普通成员
注册日期: 2004/08/9
|
恩 想大哥哥门学习哟
|
|
|
|
| 7. Re:Access-list问题? |
|
|
 |
|
HP : 0 / 228
MP : 41 / 2833
EXP : 12%
|
|
江湖豪客
成员等级: 10
发表总数: 123
金币总数: 143
所属组别: 普通成员
注册日期: 2004/10/8
|
也许楼主建立这个acl只是为了监控相应的流量呢。
基本目的只是Deny那两句。ACL的语法却是没有任何问题。
3楼的不要轻易下结论哦
楼主的第二个问题貌似答案是不可以。如果想同时用上几个ACL的话,建议使用route-map 或者vlan-map
而且貌似6509某些版本中ACL直接应用在端口上貌似不能发挥作用,实验后发现只能使用vlan-map做控制。
具体要实际环境测试才知道了。
不知道有没有内部前辈做过此类测试,有具体详细的结果介绍的。 谢谢
CCIELAB考试讨论位子讨论QQ群 41800360 mail:swords@tom.com
花儿灿烂的开,
如不观,如不赏。
如不采,如不折,
花自凋零。
无奈伤春逝 |
|
|
1. Access-list问题?
