我正在尝试验证构建一个用于管理 Cisco ACL 命令的工具。
我正在使用 aclcheck 语法验证器(我没有思科设备)并使用以下命令进行检查
access-list 101 permit udp host 192.10.05.233 EQ 80 host 225.193.43.235 EQ 80
我之前的问题帮助我纠正了工具中的错误,但据我研究,这个命令应该是正确的。源主机、源端口、目标主机和目标端口过滤器,对吗?
OBS:不要担心地址,它们只是假设的,我的工具只需要以正确的语法生成 cisco 命令。
问候,
答案1
语法有效,但是这个访问列表很少有用。您通常只想指定目标端口,因为请求将为每个连接使用随机源端口。试试这个:
访问列表 101 允许 udp 主机 192.168.10.05.233 主机 255.193.43.235 eq 80
这将允许与任何源端口和目标端口 80 进行连接。
如果你没有任何思科设备,如果你能得到一个 IOS 镜像,你可以用 GNS3 来模拟它http://www.gns3.net/
答案2
关于 ACL,我觉得奇怪的一点是 UDP/端口组合。端口 80 隐含地是 TCP 端口。如果我没记错的话,在考虑隐含拒绝任何流量后,此 ACL 的效果是所有 TCP 端口 80 流量都将被阻止。