我很困惑,因为我可以从 192.168.1.10 ssh 进入此路由器,但不能从 192.168.30.3 ssh 进入(根据 acl 6)。没有接口提到任何这些访问列表,所以我假设这些是全局访问列表,应用于所有接口,是否正确?
如果是,按照什么顺序?
列表中是否存在几条拒绝规则,导致某些规则无效,或者最后一条拒绝规则是否有效?
如果我创建访问列表 3 允许任何内容,是否允许我从 192.168.0.0 网络中的任何位置通过 ssh 进入该路由器?
如果我为其中一个接口指定了特定的 ACL,会发生什么情况?其余规则仍然适用吗?
以下是 show access-list 的净化输出:
Standard IP access list 5
10 permit 144.1.1.1 (10000 matches)
20 permit 155.1.1.1 (10000 matches)
40 deny any (100000 matches)
Standard IP access list 6
10 permit 192.168.0.0, wildcard bits 0.0.255.255 (100000 matches)
20 deny any (10 matches)
Standard IP access list 7
10 permit 192.168.1.0, wildcard bits 0.0.0.255
Extended IP access list 122
10 permit ip host 5.5.5.5 any
20 permit ip host 6.6.6.6 any
70 deny ip any any log (1000 matches)
Extended IP access list snooplion1_acl
10 permit ip 4.2.1.0 0.0.0.7 10.1.1.0 0.0.0.255 log (1000 matches)
20 permit ip 4.2.1.0 0.0.0.7 10.1.2.0 0.0.0.255 log
Extended IP access list snooplion2_acl
10 permit ip host 4.2.1.2 host 4.4.1.1 log (100000 matches)
20 permit ip host 4.2.1.3 host 4.4.1.1 log (100000 matches)
Extended IP access list snooplion3_acl
10 permit ip 4.2.1.0 0.0.0.7 host 4.4.4.4 log (100000 matches)
Extended IP access list snooplion4_acl
10 permit ip 4.2.1.0 0.0.0.7 192.168.2.0 0.0.0.255 log (100000 matches)
20 permit ip 4.2.1.0 0.0.0.7 192.168.3.0 0.0.0.255 log (100000 matches)
Extended IP access list snooplion5_acl
10 permit ip 4.2.1.0 0.0.0.7 4.3.3.80 0.0.0.15 log
Extended IP access list snooplion6_acl
10 permit ip 4.2.1.0 0.0.0.7 4.3.3.80 0.0.0.15 log (10 matches)
答案1
如果没有接口(或 vty)提及这些 ACL,则不会应用它们。IOS 中不存在全局应用的 ACL - 尤其是考虑到 ACL 在不同的上下文中可能具有截然不同的含义(即路由映射、QoS 和数据包过滤都可以使用相同的结构)。