免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
论坛 IT运维 网络技术 acl的使用疑问?
最近访问板块 发新帖
查看: 2920 | 回复: 2
打印 上一主题 下一主题

acl的使用疑问? [复制链接]

dhm007

论坛徽章:
0
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2014-07-15 17:10 |只看该作者 |倒序浏览
本帖最后由 dhm007 于 2014-07-17 10:58 编辑

大概配置
nat address-group 1 193.267.101.5 193.267.101.5

acl number 3000
description ithis
rule 5 deny ip source 10.1.1.10 0
rule 10 deny ip source 10.1.1.102 0
rule 15 deny ip source 10.1.1.101 0
rule 20 permit ip

acl number 3018
rule 5 permit ip source 10.1.1.10 0
rule 10 permit ip source 10.1.1.102 0
rule 15 permit ip source 10.1.1.101 0

interface GigabitEthernet0/0/1
description ithis
ip address 193.267.101.2 255.255.255.248
undo negotiation auto
nat static global 193.267.101.5 inside 10.1.1.10 netmask 255.255.255.255
nat outbound 3018 address-group 1
nat outbound 3000

几个ip的网络访问都正常,但如果在ge0/0/1的两行nat调换顺序,改为
nat outbound 3000
nat outbound 3018 address-group 1

则几个ip的网络访问都不正常了,是否说明在acl 3000时就把源地址10.1.1.10/101/102都过滤掉了,不会在用到acl 3018。
dhm007

论坛徽章:
0
2 [报告]
发表于 2014-07-16 10:22 |只看该作者
如果用以下nat顺序,设一个10.1.1.166,从顺序来讲,先用acl3018过滤,不符合条件,再用到了acl3000,允许上网。
nat outbound 3018 address-group 1
nat outbound 3000
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
dhm007

论坛徽章:
0
3 [报告]
发表于 2014-07-16 10:25 |只看该作者
对于ip 10.1.1.10/101/102,哪个acl先用,此后的acl就不再起作用了?

实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP