我很困惑,因为我可以从 192.168.1.10 ssh 进入这个路由器,但不能从 192.168.30.3(根据 acl 6)。没有接口提到任何这些访问列表,所以我假设这些是全局访问列表并应用于所有接口是否正确?
如果是这样,顺序是什么?
列表中是否有多个拒绝使某些规则无用或最后一个拒绝任何规则?
如果我创建一个 access-list 3 permit any ,是否允许我从 192.168.0.0 网络中的任何地方通过 ssh 进入该路由器?
如果我为其中一个接口指定特定的 ACL,会发生什么情况?其余规则是否仍然适用?
以下是 show access-list 的净化输出:
Standard IP access list 5
10 permit 144.1.1.1 (10000 matches)
20 permit 155.1.1.1 (10000 matches)
40 deny any (100000 matches)
Standard IP access list 6
10 permit 192.168.0.0, wildcard bits 0.0.255.255 (100000 matches)
20 deny any (10 matches)
Standard IP access list 7
10 permit 192.168.1.0, wildcard bits 0.0.0.255
Extended IP access list 122
10 permit ip host 5.5.5.5 any
20 permit ip host 6.6.6.6 any
70 deny ip any any log (1000 matches)
Extended IP access list snooplion1_acl
10 permit ip 4.2.1.0 0.0.0.7 10.1.1.0 0.0.0.255 log (1000 matches)
20 permit ip 4.2.1.0 0.0.0.7 10.1.2.0 0.0.0.255 log
Extended IP access list snooplion2_acl
10 permit ip host 4.2.1.2 host 4.4.1.1 log (100000 matches)
20 permit ip host 4.2.1.3 host 4.4.1.1 log (100000 matches)
Extended IP access list snooplion3_acl
10 permit ip 4.2.1.0 0.0.0.7 host 4.4.4.4 log (100000 matches)
Extended IP access list snooplion4_acl
10 permit ip 4.2.1.0 0.0.0.7 192.168.2.0 0.0.0.255 log (100000 matches)
20 permit ip 4.2.1.0 0.0.0.7 192.168.3.0 0.0.0.255 log (100000 matches)
Extended IP access list snooplion5_acl
10 permit ip 4.2.1.0 0.0.0.7 4.3.3.80 0.0.0.15 log
Extended IP access list snooplion6_acl
10 permit ip 4.2.1.0 0.0.0.7 4.3.3.80 0.0.0.15 log (10 matches)
如果没有接口(或 vty)提到这些 ACL,则它们不会被应用。在 IOS 中没有全局应用的 ACL 这样的东西——特别是考虑到 ACL 在不同的上下文中可能意味着非常不同的东西(即路由映射、QoS 和数据包过滤都可以使用相同的结构)。