ACL配完,接口也应用了,为啥不生效啊?
- 1关注
- 0收藏,586浏览
问题描述:
配置如下,在g0/0接口上接了个电脑10.10.2.1/24,acl已配好,接口下也应用该acl了,但是还是能ping通g0/1接口下的pc10.10.20.1/24
组网及组网描述:
dis cu
#
version 7.1.064, Release 0427P22
#
sysname H3C
#
system-working-mode standard
xbar load-single
password-recovery enable
lpu-type f-series
#
vlan 1
#
interface Serial1/0
#
interface Serial2/0
#
interface Serial3/0
#
interface Serial4/0
#
interface NULL0
#
interface GigabitEthernet0/0
port link-mode route
combo enable copper
ip address 10.10.2.254 255.255.255.0
packet-filter 2000 inbound
#
interface GigabitEthernet0/1
port link-mode route
combo enable copper
ip address 10.10.20.254 255.255.255.0
#
interface GigabitEthernet0/2
port link-mode route
combo enable copper
#
interface GigabitEthernet5/0
port link-mode route
combo enable copper
#
interface GigabitEthernet5/1
port link-mode route
combo enable copper
#
interface GigabitEthernet6/0
port link-mode route
combo enable copper
#
interface GigabitEthernet6/1
port link-mode route
combo enable copper
#
scheduler logfile size 16
#
line class aux
user-role network-operator
#
line class console
user-role network-admin
#
line class tty
user-role network-operator
#
line class vty
user-role network-operator
#
line aux 0
user-role network-operator
#
line con 0
user-role network-admin
#
line vty 0 63
user-role network-operator
#
acl basic 2000
rule 0 deny source 10.10.2.0 0.0.0.255
#
domain system
#
domain default enable system
#
role name level-0
description Predefined level-0 role
#
role name level-1
description Predefined level-1 role
#
role name level-2
description Predefined level-2 role
#
role name level-3
description Predefined level-3 role
#
role name level-4
description Predefined level-4 role
#
role name level-5
description Predefined level-5 role
#
role name level-6
description Predefined level-6 role
#
role name level-7
description Predefined level-7 role
#
role name level-8
description Predefined level-8 role
#
role name level-9
description Predefined level-9 role
#
role name level-10
description Predefined level-10 role
#
role name level-11
description Predefined level-11 role
#
role name level-12
description Predefined level-12 role
#
role name level-13
description Predefined level-13 role
#
role name level-14
description Predefined level-14 role
#
user-group system
#
return
- 2025-05-13提问
- 举报
-
(0)
最佳答案
根据你的配置和分析,问题可能出在ACL的类型和应用方向上。以下是分步解决方案:
1. **检查当前ACL配置**
当前的ACL 2000是基本ACL(basic),仅根据源地址过滤。规则`rule 0 deny source 10.10.2.0 0.0.0.255`正确拒绝了来自该网段的流量。但基本ACL无法指定目的地址,导致无法精确控制跨网段访问。
2. **改用扩展ACL实现精确控制**
创建扩展ACL(advanced),同时匹配源和目的地址:
```bash
acl advanced 3000
rule 0 deny ip source 10.10.2.0 0.0.0.255 destination 10.10.20.0 0.0.0.255
```
3. **将扩展ACL应用到接口入方向**
在G0/0接口入方向应用新ACL:
```bash
interface GigabitEthernet0/0
packet-filter 3000 inbound
```
4. **验证ACL应用和匹配情况**
执行以下命令查看ACL匹配统计:
```bash
display packet-filter interface GigabitEthernet0/0 inbound
display acl 3000
```
如果匹配次数增加,说明配置生效。
5. **检查是否存在其他放行规则**
确保没有其他ACL或策略允许该流量通过。例如,默认的ACL规则可能允许未匹配的流量。
6. **确认接口工作模式**
确认接口G0/0和G0/1均为路由模式(已配置`port link-mode route`),确保三层路由功能正常。
**最终配置调整示例:**
```bash
# 删除原有基本ACL(可选)
undo acl basic 2000
# 创建扩展ACL
acl advanced 3000
rule 0 deny ip source 10.10.2.0 0.0.0.255 destination 10.10.20.0 0.0.0.255
# 应用ACL到G0/0入方向
interface GigabitEthernet0/0
packet-filter 3000 inbound
```
**验证步骤:**
- 从10.10.2.1 ping 10.10.20.1,应显示请求超时。
- 在交换机上使用`display acl 3000`查看规则匹配次数,确认deny规则生效。
通过使用扩展ACL精确控制源和目的地址,确保跨网段的ICMP请求被正确拦截。
- 2025-05-13回答
- 评论(0)
- 举报
-
(0)
你换成outbound试试
acl 2000这个规则有问题。你需要新增一条规则,放行其他的。rule permit ip。因为ACL默认最后一条规则是deny。你的2000下2个deny。说明是拒绝所有。
- 2025-05-13回答
- 评论(0)
- 举报
-
(0)
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论