这是我的访问列表,尚未应用于任何接口。
Extended IP access list REMOTE_DESKTOP_DENY
10 deny tcp any eq 3389 host 10.0.0.2 eq 3389
Extended IP access list REMOTE_DESKTOP_PEMIT
10 permit tcp host 123.xxx.xxx.xxx eq 3389 host 10.0.0.2 eq 3389
我有两个问题,1. 同一接口是否存在冲突?2. 如何向允许主机的 REMOTE_DESKTOP_PEMIT 添加一个 IP?
谢谢!
答案1
在一个给定方向上,一个接口只能应用一个 ACL。如果您希望同时应用这两项策略,请将它们放在同一个 ACL 中。
如果你只是向 ACL 添加一条规则 - 例如
ip access-list extended REMOTE_DESKTOP_DENY permit ip tcp host bla.bla.bla.bla ...... 那么该条目将显示索引 20。如果您想插入 10 到 20 之间的条目,您可以手动指定索引号(即
15 permit tcp ....)。不要忘记这些 ACL 末尾有一个隐式拒绝 - 这意味着任何未明确允许的流量都将被丢弃。好的做法是添加一个条目,要么明确拒绝所有流量 - 即
deny ip any any(可能包括日志语句),要么允许未被拒绝的流量(permit ip any any)。不要忘记,如果您想在两个方向上应用 ACL,则需要考虑返回流量。还有其他流量类型,从有用到关键 - 例如,ICMP 不可达经常被错误地阻止,这可能会破坏 MTU 发现之类的功能。
这个文件适用于旧版本的 IOS,但其仍然适用。