我很困惑,因为我可以从192.168.1.10 ssh到这个路由器,但不是从192.168.30.3(按照acl 6)。 没有界面提到这些访问列表中的任何一个,所以我是否正确地假设这些是全局访问列表,适用于所有接口?
如果是这样,按什么顺序?
列表中有几个否定的规定使得某些规则无用或者一个最终否认任何规则?
如果我做一个访问列表3允许任何,这将允许我从192.168.0.0networking中的任何地方ssh进入这个路由器?
如果我为其中一个接口指定了特定的ACL,会发生什么情况? 其余的规则是否仍然适用?
以下是show access-list的清理输出:
Standard IP access list 5 10 permit 144.1.1.1 (10000 matches) 20 permit 155.1.1.1 (10000 matches) 40 deny any (100000 matches) Standard IP access list 6 10 permit 192.168.0.0, wildcard bits 0.0.255.255 (100000 matches) 20 deny any (10 matches) Standard IP access list 7 10 permit 192.168.1.0, wildcard bits 0.0.0.255 Extended IP access list 122 10 permit ip host 5.5.5.5 any 20 permit ip host 6.6.6.6 any 70 deny ip any any log (1000 matches) Extended IP access list snooplion1_acl 10 permit ip 4.2.1.0 0.0.0.7 10.1.1.0 0.0.0.255 log (1000 matches) 20 permit ip 4.2.1.0 0.0.0.7 10.1.2.0 0.0.0.255 log Extended IP access list snooplion2_acl 10 permit ip host 4.2.1.2 host 4.4.1.1 log (100000 matches) 20 permit ip host 4.2.1.3 host 4.4.1.1 log (100000 matches) Extended IP access list snooplion3_acl 10 permit ip 4.2.1.0 0.0.0.7 host 4.4.4.4 log (100000 matches) Extended IP access list snooplion4_acl 10 permit ip 4.2.1.0 0.0.0.7 192.168.2.0 0.0.0.255 log (100000 matches) 20 permit ip 4.2.1.0 0.0.0.7 192.168.3.0 0.0.0.255 log (100000 matches) Extended IP access list snooplion5_acl 10 permit ip 4.2.1.0 0.0.0.7 4.3.3.80 0.0.0.15 log Extended IP access list snooplion6_acl 10 permit ip 4.2.1.0 0.0.0.7 4.3.3.80 0.0.0.15 log (10 matches) 如果没有接口(或vty)提到这些ACL,那么它们不适用。 在IOS中没有全局应用的ACL,尤其是考虑到ACL在不同的环境下可能意味着完全不同的东西(即路由映射,QoS和包过滤都可以使用相同的结构)。