ACL配完,接口也應用了,為啥不生效啊?
- 1關注
- 0收藏,253瀏覽
問題描述:
配置如下,在g0/0接口上接了個電腦10.10.2.1/24,acl已配好,接口下也應用該acl了,但是還是能ping通g0/1接口下的pc10.10.20.1/24
組網及組網描述:
dis cu
#
version 7.1.064, Release 0427P22
#
sysname H3C
#
system-working-mode standard
xbar load-single
password-recovery enable
lpu-type f-series
#
vlan 1
#
interface Serial1/0
#
interface Serial2/0
#
interface Serial3/0
#
interface Serial4/0
#
interface NULL0
#
interface GigabitEthernet0/0
port link-mode route
combo enable copper
ip address 10.10.2.254 255.255.255.0
packet-filter 2000 inbound
#
interface GigabitEthernet0/1
port link-mode route
combo enable copper
ip address 10.10.20.254 255.255.255.0
#
interface GigabitEthernet0/2
port link-mode route
combo enable copper
#
interface GigabitEthernet5/0
port link-mode route
combo enable copper
#
interface GigabitEthernet5/1
port link-mode route
combo enable copper
#
interface GigabitEthernet6/0
port link-mode route
combo enable copper
#
interface GigabitEthernet6/1
port link-mode route
combo enable copper
#
scheduler logfile size 16
#
line class aux
user-role network-operator
#
line class console
user-role network-admin
#
line class tty
user-role network-operator
#
line class vty
user-role network-operator
#
line aux 0
user-role network-operator
#
line con 0
user-role network-admin
#
line vty 0 63
user-role network-operator
#
acl basic 2000
rule 0 deny source 10.10.2.0 0.0.0.255
#
domain system
#
domain default enable system
#
role name level-0
description Predefined level-0 role
#
role name level-1
description Predefined level-1 role
#
role name level-2
description Predefined level-2 role
#
role name level-3
description Predefined level-3 role
#
role name level-4
description Predefined level-4 role
#
role name level-5
description Predefined level-5 role
#
role name level-6
description Predefined level-6 role
#
role name level-7
description Predefined level-7 role
#
role name level-8
description Predefined level-8 role
#
role name level-9
description Predefined level-9 role
#
role name level-10
description Predefined level-10 role
#
role name level-11
description Predefined level-11 role
#
role name level-12
description Predefined level-12 role
#
role name level-13
description Predefined level-13 role
#
role name level-14
description Predefined level-14 role
#
user-group system
#
return
- 2025-05-13提問
- 舉報
-
(0)
根據你的配置和分析,問題可能出在ACL的類型和應用方向上。以下是分步解決方案:
1. **檢查當前ACL配置**
當前的ACL 2000是基本ACL(basic),僅根據源地址過濾。規則`rule 0 deny source 10.10.2.0 0.0.0.255`正確拒絕了來自該網段的流量。但基本ACL無法指定目的地址,導致無法精確控製跨網段訪問。
2. **改用擴展ACL實現精確控製**
創建擴展ACL(advanced),同時匹配源和目的地址:
```bash
acl advanced 3000
rule 0 deny ip source 10.10.2.0 0.0.0.255 destination 10.10.20.0 0.0.0.255
```
3. **將擴展ACL應用到接口入方向**
在G0/0接口入方向應用新ACL:
```bash
interface GigabitEthernet0/0
packet-filter 3000 inbound
```
4. **驗證ACL應用和匹配情況**
執行以下命令查看ACL匹配統計:
```bash
display packet-filter interface GigabitEthernet0/0 inbound
display acl 3000
```
如果匹配次數增加,說明配置生效。
5. **檢查是否存在其他放行規則**
確保沒有其他ACL或策略允許該流量通過。例如,默認的ACL規則可能允許未匹配的流量。
6. **確認接口工作模式**
確認接口G0/0和G0/1均為路由模式(已配置`port link-mode route`),確保三層路由功能正常。
**最終配置調整示例:**
```bash
# 刪除原有基本ACL(可選)
undo acl basic 2000
# 創建擴展ACL
acl advanced 3000
rule 0 deny ip source 10.10.2.0 0.0.0.255 destination 10.10.20.0 0.0.0.255
# 應用ACL到G0/0入方向
interface GigabitEthernet0/0
packet-filter 3000 inbound
```
**驗證步驟:**
- 從10.10.2.1 ping 10.10.20.1,應顯示請求超時。
- 在交換機上使用`display acl 3000`查看規則匹配次數,確認deny規則生效。
通過使用擴展ACL精確控製源和目的地址,確保跨網段的ICMP請求被正確攔截。
- 2025-05-13回答
- 評論(0)
- 舉報
-
(0)
暫無評論
你換成outbound試試
acl 2000這個規則有問題。你需要新增一條規則,放行其他的。rule permit ip。因為ACL默認最後一條規則是deny。你的2000下2個deny。說明是拒絕所有。
- 2025-05-13回答
- 評論(0)
- 舉報
-
(0)
暫無評論
編輯答案
親~登錄後才可以操作哦!
確定你的郵箱還未認證,請認證郵箱或綁定手機後進行當前操作
舉報
×
侵犯我的權益
×
侵犯了我企業的權益
×
- 1. 您舉報的內容是什麼?(請在郵件中列出您舉報的內容和鏈接地址)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
- 3. 是哪家企業?(營業執照,單位登記證明等證件)
- 4. 您與該企業的關係是?(您是企業法人或被授權人,需提供企業委托授權書)
抄襲了我的內容
×
原文鏈接或出處
誹謗我
×
- 1. 您舉報的內容以及侵犯了您什麼權益?(請在郵件中列出您舉報的內容、鏈接地址,並給出簡短的說明)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
對根叔社區有害的內容
×
不規範轉載
×
舉報說明
暫無評論