UC知道acl访问控制列表题目
来源:百度知道 编辑:UC知道 时间:2024/05/16 13:42:46
1.为什么标准ACL的设置位置要尽可能地靠近网络目的端?
2.根据下图配置以下ACL:
(1) F1/0和F1/1端口只允许来自于网络172.16.0.0的数据报被转发,其余的将被阻止。
(2) F1/0端口不允许来自于特定地址172.16.4.13的数据流,其它的数据流将被转发。
(3) F1/0端口不允许来自于特定子网172.16.4.0的数据,而转发其它的数据。
2.根据下图配置以下ACL:
(1) F1/0和F1/1端口只允许来自于网络172.16.0.0的数据报被转发,其余的将被阻止。
(2) F1/0端口不允许来自于特定地址172.16.4.13的数据流,其它的数据流将被转发。
(3) F1/0端口不允许来自于特定子网172.16.4.0的数据,而转发其它的数据。
1.标准的ACL只查看源地址来决定允许和拒绝。
以下图为例。你不允许172.16.3.0/24访问172.16.4.13/24,但可以访问其他网段。access-list 1 deny 172.16.4.0 0.0.0.255
access-list 1 permit any
如果你把这个访问列表用在了f1/0上,当数据到达f1/0后会检查控制列表,发现这个网段被拒绝了,那么路由直接丢弃数据包。这样172.16.3.0/24将不能访问任何网段。所以要用到离目的近的接口上。f1/1数据到达接口后,只会丢弃来自172.16.3.0/24的包!
2.
(1)access-list 1 permit 172.16.0.0 0.0.255.255
interface f1/0
access-group 1 out
interface f1/1
access-group 1 out
(2)access-list 1 deny host 172.16.4.13
access-list 1 permit any
interface f1/0
access-group 1 out
(3)access-list 1 deny 172.16.4.0 0.0.0.255
access-list 1 permit any
interface f1/0
access-group 1 out