我要写个ACL,排除其中的一个地址应该怎么写??
比如拒绝10.254.0.0/16到10.0.0.0/8是下面这条ACL,但是我想允许10.62.9.1这个IP,ACL应该怎么写?
rule 60000 deny ip source 10.254.0.0 0.0.7.255 destination 10.0.0.0 0.255.255.255
(0)
允许访问10.62.9.1这个IP如下,去访问其他放在源就行
rule 5 permit ip source 10.254.0.0 0.0.7.255 destination 10.62.9.1 0.0.0.0
rule 60000 deny ip source 10.254.0.0 0.0.7.255 destination 10.0.0.0 0.255.255.255
(0)
暂无评论
# 创建高级ACL(示例编号3000)
acl advanced 3000
description "Deny_10.254/16-to-10/8_except_10.62.9.1"
# 步骤1:先放行例外地址(必须放在拒绝规则前)
rule 10 permit ip source 10.62.9.1 0 destination 10.0.0.0 0.255.255.255
# 步骤2:拒绝目标网段(原拒绝规则)
rule 60000 deny ip source 10.254.0.0 0.0.255.255 destination 10.0.0.0 0.255.255.255 # 修正反掩码为0.0.255.255
# 步骤3:允许其他所有通信
rule 65534 permit ip # 避免阻断非目标流量
规则优先级
ACL 按规则号从小到大执行(不是按配置顺序)。必须将例外规则(rule 10
)放在拒绝规则(rule 60000
)之前,否则拒绝规则会先生效。
反掩码修正
您原规则 source 10.254.0.0 0.0.7.255
实际匹配 10.254.0.0/21
而非 /16
:
✅ 正确 /16
反掩码:0.0.255.255
🔄 换算公式:反掩码 = 255.255.255.255 - 子网掩码
例外地址精确匹配
source 10.62.9.1 0
中的 0
表示:
32位精确匹配该IP(等效于 host 10.62.9.1
)
如需匹配整个网段,改为例如 10.62.9.0 0.0.0.255
规则顺序错位
# 错误示例:拒绝规则在前
rule 60000 deny ip source 10.254.0.0 0.0.255.255 destination 10.0.0.0 0.255.255.255
rule 10 permit ip source 10.62.9.1 0 destination 10.0.0.0 0.255.255.255 # 此条永不生效!
未添加允许规则
如缺少 rule 65534 permit ip
会导致:
所有不匹配前两条规则的流量被隐式拒绝 (implicit deny
)
可能意外阻断其他业务流量
ACL应用方向错误
# 正确应用示例(在目标接口入方向):
interface GigabitEthernet 1/0/10
packet-filter 3000 inbound # 应用ACL
# 查看ACL配置
display acl 3000
# 检查匹配计数(重点观察rule 10和rule 60000的匹配次数)
display packet-filter statistics interface GigabitEthernet 1/0/10 inbound
# 实时调试(测试后立即关闭)
debugging ip packet acl 3000
terminal monitor
sys
acl advanced 3000
rule 10 permit ip source 10.62.9.1 0 destination 10.0.0.0 0.255.255.255
rule 60000 deny ip source 10.254.0.0 0.0.255.255 destination 10.0.0.0 0.255.255.255
rule 65534 permit ip
#
interface GigabitEthernet 1/0/10
packet-filter 3000 inbound
return
📌 扩展建议:若需要排除多个IP,可设置地址组提高效率:
ip address-set PERMIT_LIST type object address 0 10.62.9.1 mask 32 address 1 10.63.5.22 mask 32 acl advanced 3000 rule 10 permit ip source address-set PERMIT_LIST destination 10.0.0.0 0.255.255.255
(0)
暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论