S7506核心交换机
- 0关注
- 0收藏,265浏览
问题描述:
我要写个ACL,排除其中的一个地址应该怎么写??
比如拒绝10.254.0.0/16到10.0.0.0/8是下面这条ACL,但是我想允许10.62.9.1这个IP,ACL应该怎么写?
rule 60000 deny ip source 10.254.0.0 0.0.7.255 destination 10.0.0.0 0.255.255.255
- 2025-08-15提问
- 举报
-
(0)
最佳答案
修正后的 ACL 规则配置
# 创建高级ACL(示例编号3000)
acl advanced 3000
description "Deny_10.254/16-to-10/8_except_10.62.9.1"
# 步骤1:先放行例外地址(必须放在拒绝规则前)
rule 10 permit ip source 10.62.9.1 0 destination 10.0.0.0 0.255.255.255
# 步骤2:拒绝目标网段(原拒绝规则)
rule 60000 deny ip source 10.254.0.0 0.0.255.255 destination 10.0.0.0 0.255.255.255 # 修正反掩码为0.0.255.255
# 步骤3:允许其他所有通信
rule 65534 permit ip # 避免阻断非目标流量
# 创建高级ACL(示例编号3000)
acl advanced 3000
description "Deny_10.254/16-to-10/8_except_10.62.9.1"
# 步骤1:先放行例外地址(必须放在拒绝规则前)
rule 10 permit ip source 10.62.9.1 0 destination 10.0.0.0 0.255.255.255
# 步骤2:拒绝目标网段(原拒绝规则)
rule 60000 deny ip source 10.254.0.0 0.0.255.255 destination 10.0.0.0 0.255.255.255 # 修正反掩码为0.0.255.255
# 步骤3:允许其他所有通信
rule 65534 permit ip # 避免阻断非目标流量🔍 关键解释:
- 1.
规则优先级
ACL 按规则号从小到大执行(不是按配置顺序)。必须将例外规则(rule 10)放在拒绝规则(rule 60000)之前,否则拒绝规则会先生效。
- 2.
反掩码修正
您原规则 source 10.254.0.0 0.0.7.255实际匹配 10.254.0.0/21而非 /16:
- •
✅ 正确 /16反掩码:0.0.255.255
- •
🔄 换算公式:反掩码 = 255.255.255.255 - 子网掩码
- 3.
例外地址精确匹配
source 10.62.9.1 0中的 0 表示:
- •
32位精确匹配该IP(等效于 host 10.62.9.1)
- •
如需匹配整个网段,改为例如 10.62.9.0 0.0.0.255
- 1.
规则优先级
ACL 按规则号从小到大执行(不是按配置顺序)。必须将例外规则(
rule 10)放在拒绝规则(rule 60000)之前,否则拒绝规则会先生效。 - 2.
反掩码修正
您原规则
source 10.254.0.0 0.0.7.255实际匹配10.254.0.0/21而非/16:- •
✅ 正确
/16反掩码:0.0.255.255 - •
🔄 换算公式:
反掩码 = 255.255.255.255 - 子网掩码
- •
- 3.
例外地址精确匹配
source 10.62.9.1 0中的 0 表示:- •
32位精确匹配该IP(等效于
host 10.62.9.1) - •
如需匹配整个网段,改为例如
10.62.9.0 0.0.0.255
- •
⚠️ 常见错误排查:
- 1.
规则顺序错位
# 错误示例:拒绝规则在前
rule 60000 deny ip source 10.254.0.0 0.0.255.255 destination 10.0.0.0 0.255.255.255
rule 10 permit ip source 10.62.9.1 0 destination 10.0.0.0 0.255.255.255 # 此条永不生效! - 2.
未添加允许规则
如缺少 rule 65534 permit ip会导致:
- •
所有不匹配前两条规则的流量被隐式拒绝 (implicit deny)
- •
可能意外阻断其他业务流量
- 3.
ACL应用方向错误
# 正确应用示例(在目标接口入方向):
interface GigabitEthernet 1/0/10
packet-filter 3000 inbound # 应用ACL
- 1.
规则顺序错位
# 错误示例:拒绝规则在前 rule 60000 deny ip source 10.254.0.0 0.0.255.255 destination 10.0.0.0 0.255.255.255 rule 10 permit ip source 10.62.9.1 0 destination 10.0.0.0 0.255.255.255 # 此条永不生效! - 2.
未添加允许规则
如缺少
rule 65534 permit ip会导致:- •
所有不匹配前两条规则的流量被隐式拒绝 (
implicit deny) - •
可能意外阻断其他业务流量
- •
- 3.
ACL应用方向错误
# 正确应用示例(在目标接口入方向): interface GigabitEthernet 1/0/10 packet-filter 3000 inbound # 应用ACL
🔧 验证命令:
# 查看ACL配置
display acl 3000
# 检查匹配计数(重点观察rule 10和rule 60000的匹配次数)
display packet-filter statistics interface GigabitEthernet 1/0/10 inbound
# 实时调试(测试后立即关闭)
debugging ip packet acl 3000
terminal monitor
# 查看ACL配置
display acl 3000
# 检查匹配计数(重点观察rule 10和rule 60000的匹配次数)
display packet-filter statistics interface GigabitEthernet 1/0/10 inbound
# 实时调试(测试后立即关闭)
debugging ip packet acl 3000
terminal monitor💡 完整配置示例:
sys
acl advanced 3000
rule 10 permit ip source 10.62.9.1 0 destination 10.0.0.0 0.255.255.255
rule 60000 deny ip source 10.254.0.0 0.0.255.255 destination 10.0.0.0 0.255.255.255
rule 65534 permit ip
#
interface GigabitEthernet 1/0/10
packet-filter 3000 inbound
return📌 扩展建议:若需要排除多个IP,可设置地址组提高效率:
ip address-set PERMIT_LIST type object
address 0 10.62.9.1 mask 32
address 1 10.63.5.22 mask 32
acl advanced 3000
rule 10 permit ip source address-set PERMIT_LIST destination 10.0.0.0 0.255.255.255
sys
acl advanced 3000
rule 10 permit ip source 10.62.9.1 0 destination 10.0.0.0 0.255.255.255
rule 60000 deny ip source 10.254.0.0 0.0.255.255 destination 10.0.0.0 0.255.255.255
rule 65534 permit ip
#
interface GigabitEthernet 1/0/10
packet-filter 3000 inbound
return📌 扩展建议:若需要排除多个IP,可设置地址组提高效率:
ip address-set PERMIT_LIST type object address 0 10.62.9.1 mask 32 address 1 10.63.5.22 mask 32 acl advanced 3000 rule 10 permit ip source address-set PERMIT_LIST destination 10.0.0.0 0.255.255.255
- 2025-08-15回答
- 评论(0)
- 举报
-
(0)
允许访问10.62.9.1这个IP如下,去访问其他放在源就行
rule 5 permit ip source 10.254.0.0 0.0.7.255 destination 10.62.9.1 0.0.0.0
rule 60000 deny ip source 10.254.0.0 0.0.7.255 destination 10.0.0.0 0.255.255.255
- 2025-08-15回答
- 评论(0)
- 举报
-
(0)
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论