ACL控制icmp数据包问题分析(ACL挂法IN,OUT分析)
原创
©著作权归作者所有:来自51CTO博客作者yeyefox000的原创作品,谢绝转载,否则将追究法律责任
ACL控制icmp数据包问题分析(ACL挂法IN,OUT分析)
需求:A、B、C直连 A,C分别写默认路由指出口 需要在B上E0口IN方向写ACL101,使得A能PING通C,C不能PING通A
初始步骤:如图搭拓扑,A上写默认路由指E0口,C上写默认路由指E1口
现分析ACL的写法:
写法一:
Access-list 101 deny icmp any any
echo-reply
Access-list 101 permit ip any any
写法二:
Access-list 102 deny icmp
20.1.1 .0 0.0.0.255 10.1.1.0 0.0.0.255 echo
Access-list 102 permit ip any any
实验结果:写法一能实现需求,写法二不满足需求
写法一:C PING A 现象“…..”
写法二:挂在E0口IN方向
“!!!!!”
写法二: 挂在E0口OUT方向“U.U.U”
结果分析:ACL是基于接口而言的IN和OUT方向,而不是单纯的对于路由器来说。可见,在写法二中,虽然ICMP数据是从C流向A,对于路由器来说是IN方向,但这个只能对Router_B的E1口来说,对B的E0口来说,C到A还是OUT方向。
所以ACL的IN、OUT是针对进入接口和流出接口的数据而言,而不是对大概念的路由器本身而言。
附:扩展ACL里,echo关键词禁止ping包通过,
echo-reply不是禁止ping包返回,而是禁止反向ping包经过!
下一篇:CISCO平台PING命令
提问和评论都可以,用心的回复会被更多人看到
评论
发布评论
相关文章
-
CISCO ACL拒绝WWW
模拟实验环境:在CISCO 路由器上 允许一个网段在某一个时间段访问WEB服务!ACL怎样写
CISCO ACL 交换路由 休闲 WWW