• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

S7506核心交换机

2025-08-15提问
  • 0关注
  • 0收藏,179浏览
# # 零段
粉丝:0人 关注:0人

问题描述:

我要写个ACL,排除其中的一个地址应该怎么写??

比如拒绝10.254.0.0/16到10.0.0.0/8是下面这条ACL,但是我想允许10.62.9.1这个IP,ACL应该怎么写?

rule 60000 deny ip source 10.254.0.0 0.0.7.255 destination 10.0.0.0 0.255.255.255

4 个回答
粉丝:101人 关注:1人

前面加一条permit不就行了

暂无评论

粉丝:116人 关注:9人

rule  100 permit ip source ***

暂无评论

粉丝:3人 关注:0人

允许访问10.62.9.1这个IP如下,去访问其他放在源就行

rule 5 permit ip source 10.254.0.0 0.0.7.255 destination 10.62.9.1  0.0.0.0

rule 60000 deny ip source 10.254.0.0 0.0.7.255 destination 10.0.0.0 0.255.255.255

暂无评论

粉丝:8人 关注:0人

修正后的 ACL 规则配置

# 创建高级ACL(示例编号3000) acl advanced 3000 description "Deny_10.254/16-to-10/8_except_10.62.9.1" # 步骤1:先放行例外地址(必须放在拒绝规则前) rule 10 permit ip source 10.62.9.1 0 destination 10.0.0.0 0.255.255.255 # 步骤2:拒绝目标网段(原拒绝规则) rule 60000 deny ip source 10.254.0.0 0.0.255.255 destination 10.0.0.0 0.255.255.255 # 修正反掩码为0.0.255.255 # 步骤3:允许其他所有通信 rule 65534 permit ip # 避免阻断非目标流量

🔍 关键解释:

  1. 1.

    ​规则优先级​

    ACL 按​​规则号从小到大执行​​(不是按配置顺序)。必须将例外规则(rule 10)放在拒绝规则(rule 60000)之前,否则拒绝规则会先生效。

  2. 2.

    ​反掩码修正​

    您原规则 source 10.254.0.0 0.0.7.255实际匹配 10.254.0.0/21而非 /16

    • ✅ 正确 /16反掩码:​0.0.255.255

    • 🔄 换算公式:反掩码 = 255.255.255.255 - 子网掩码

  3. 3.

    ​例外地址精确匹配​

    source 10.62.9.1 0中的 ​0​ 表示:

    • 32位精确匹配该IP(等效于 host 10.62.9.1

    • 如需匹配整个网段,改为例如 10.62.9.0 0.0.0.255

⚠️ 常见错误排查:

  1. 1.

    ​规则顺序错位​

    # 错误示例:拒绝规则在前 rule 60000 deny ip source 10.254.0.0 0.0.255.255 destination 10.0.0.0 0.255.255.255 rule 10 permit ip source 10.62.9.1 0 destination 10.0.0.0 0.255.255.255 # 此条永不生效!
  2. 2.

    ​未添加允许规则​

    如缺少 rule 65534 permit ip会导致:

    • 所有不匹配前两条规则的流量被​​隐式拒绝​​ (implicit deny)

    • 可能意外阻断其他业务流量

  3. 3.

    ​ACL应用方向错误​

    # 正确应用示例(在目标接口入方向): interface GigabitEthernet 1/0/10 packet-filter 3000 inbound # 应用ACL

🔧 验证命令:

# 查看ACL配置 display acl 3000 # 检查匹配计数(重点观察rule 10和rule 60000的匹配次数) display packet-filter statistics interface GigabitEthernet 1/0/10 inbound # 实时调试(测试后立即关闭) debugging ip packet acl 3000 terminal monitor

💡 完整配置示例:

sys acl advanced 3000 rule 10 permit ip source 10.62.9.1 0 destination 10.0.0.0 0.255.255.255 rule 60000 deny ip source 10.254.0.0 0.0.255.255 destination 10.0.0.0 0.255.255.255 rule 65534 permit ip # interface GigabitEthernet 1/0/10 packet-filter 3000 inbound return

📌 ​​扩展建议​​:若需要排除多个IP,可设置​​地址组​​提高效率:

ip address-set PERMIT_LIST type object address 0 10.62.9.1 mask 32 address 1 10.63.5.22 mask 32 acl advanced 3000 rule 10 permit ip source address-set PERMIT_LIST destination 10.0.0.0 0.255.255.255
DeepSeek R1新升级
生成一个表白爱心动画
养生贴士
食物油腻怎样降低钠摄入
失眠研究所
失眠严重如何入睡
帮我绘图
赛博春樱少女
从图片到文字
动物园之行


暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明