Yo Yo Asked: 2020-12-01 04:52:24 +0800 CST2020-12-01 04:52:24 +0800 CST 2020-12-01 04:52:24 +0800 CST ACL 中的“ip”是什么意思? 772 我看到了一个 ACLs 命令,它是: 拒绝 ip 10.0.0.0 0.255.255.255 任何 我很困惑这个“ip”是指 IP 地址还是“TCP/IP”流量?此命令是否意味着它将丢弃不是源地址为 10.0.0.0 且通配符掩码为 0.255.255.255 的 IP 流量的任何数据包? 谢谢你。 access-control-list 2 个回答 Voted Best Answer Tommiie 2020-12-01T07:34:59+08:002020-12-01T07:34:59+08:00 Think 看起来像是来自 Cisco 路由器或交换机的 ACL。让我们分解一下: denyvs.permit是当规则的其余部分匹配时要采取的操作。在这种情况下,您希望阻止或丢弃匹配的数据包。 ip表示所有 IP 数据包。这包括 TCP、UDP、GRE、IPsec... 但是,它不包括例如 IS-IS 数据包,因为它们不使用 IP。 10.0.0.0 0.255.255.255是由网络地址 ( 10.0.0.0) 和通配符掩码 ( 0.255.255.255) 组成的源地址范围。将通配符掩码视为子网掩码的倒数。实际上,这意味着数据包的源 IP 地址位于 10.0.0.0/8 网络中。 any指示目标 IP 地址:这里有任何内容,因此不检查。 例如,要允许从 10.1.0.0/16 到 203.0.113.80 的 HTTP (TCP/80) 流量,您将获得以下规则: permit tcp 10.1.0.0 0.0.255.255 203.0.113.80 0.0.0.0 80 Barnabas Busa 2020-12-01T05:09:55+08:002020-12-01T05:09:55+08:00 IP 确实代表 IP 地址范围。范围是使用您定义的网络 + 您设置的通配符定义的。 在您的情况下,它将介于 10.0.0.0 到 10.255.255.255 之间。 因此,它将丢弃具有上述定义范围之间的源 IP 地址的所有网络流量。 需要声明 IP,因为以前可能会过滤不同类型的网络流量。现在虽然大多数流量被认为是IP流量。它只是作为要过滤的流量类型的传统指标保留在那里。 ACL 是“防火墙”的非常低级的实现。他们查看网络数据包的标头信息并根据定义的规则进行匹配。
Think 看起来像是来自 Cisco 路由器或交换机的 ACL。让我们分解一下:
denyvs.permit是当规则的其余部分匹配时要采取的操作。在这种情况下,您希望阻止或丢弃匹配的数据包。ip表示所有 IP 数据包。这包括 TCP、UDP、GRE、IPsec... 但是,它不包括例如 IS-IS 数据包,因为它们不使用 IP。10.0.0.0 0.255.255.255是由网络地址 (10.0.0.0) 和通配符掩码 (0.255.255.255) 组成的源地址范围。将通配符掩码视为子网掩码的倒数。实际上,这意味着数据包的源 IP 地址位于 10.0.0.0/8 网络中。any指示目标 IP 地址:这里有任何内容,因此不检查。例如,要允许从 10.1.0.0/16 到 203.0.113.80 的 HTTP (TCP/80) 流量,您将获得以下规则:
IP 确实代表 IP 地址范围。范围是使用您定义的网络 + 您设置的通配符定义的。
在您的情况下,它将介于 10.0.0.0 到 10.255.255.255 之间。
因此,它将丢弃具有上述定义范围之间的源 IP 地址的所有网络流量。
需要声明 IP,因为以前可能会过滤不同类型的网络流量。现在虽然大多数流量被认为是IP流量。它只是作为要过滤的流量类型的传统指标保留在那里。
ACL 是“防火墙”的非常低级的实现。他们查看网络数据包的标头信息并根据定义的规则进行匹配。