ACL 实验文档.doc

ACL实验文档 1.关于ACL最后一位0的意义 实验目的：ACL访问控制列表最后的0到底是什么含义？ 实验环境：如上图，在R2的“S1/0”的“OUT”方向上做一条访问控制列表，从而控制该接口出方向的流量。“access-list 10 permit 12.1.1.0”和“access-list 10 permit 12.1.1.0 0.0.0.255” 实验现象：当在“S1/0”的“OUT”方向上绑定“access-list 10 permit 12.1.1.0”时，在R1和R3上都无法“ping”通对方。 当在“S1/0”的“OUT”方向上绑定“access-list 10 permit 12.1.1.0 0.0.0.255”时，在R1和R3上可以“ping”通对方。 实验结果：从实验中可以确定，在接口上对数据包进行过滤时，“access-list 10 permit 12.1.1.0”表示源为“12.1.1.0”这台主机所发送的数据包，而R1的地址为“12.1.1.1”，所以在R2的S1/0上“deny”所有经过的出方向的数据包。当绑定“access-list 10 permit 12.1.1.0 0.0.0.255”时，则表示源为“12.1.1.1-12.1.1.254”的所有主机发送的数据包，所以在R2的S1/0上“permit”所有经过的出方向的数据包。 实验环境：如上图，首先在R2上做一条ACL“access-list 10 permit [1.1.1.0|1.1.0.0|1.0.0.0]”然后在R2的“eigrp 1”进程中调用“distribute-list 10 in S1/1”，然后在R2上做“eigrp和ospf”的双向重分发。 实验现象：当在R2上做的ACL为 “access-list 10 permit 1.1.1.0”，这时在R3上只能看到“O E1 1.1.1.0 [110/164] via 23.1.1.2, Serial1/1”和“O E1 12.1.1.0 [110/164] via 23.1.1.2, Serial1/1”，这证明ACL在这里表示“1.1.1.0/24”这条路由而并非在接口上调用时所表示的主机地址。 当在R2上做的ACL为 “access-list 10 permit 1.1.0.0”，这时在R3上只能看到“O E1 1.1.0.0 [110/164] via 23.1.1.2, Serial1/1”和“O E1 12.1.1.0 [110/164] via 23.1.1.2, Serial1/1”，这证明ACL中最后两位都是0时，后一位是主机位而前一位是网络位，即该ACL表示“1.1.0.0/24”。 当在R2上做的ACL为 “access-list 10 permit 1.0.0.0”，这时在R3上只能看到“O E1 1.0.0.0 [110/164] via 23.1.1.2, Serial1/1”和“O E1 12.1.1.0 [110/164] via 23.1.1.2, Serial1/1”，这证明ACL中最后三位都是0时，后一位是主机位而前两位是网络位，即该ACL表示“1.0.0.0/24”。 实验结果：ACL“access-list 10 permit 1.1.1.0”存在着两种含义，如果该ACL在接口下被调用，则是对数据包进行过滤，这时该ACL表示源为“1.1.1.0”的主机地址，这就是说这时ACL最后的0就是一个主机位。如果该ACL在进程中被调用，则是对路由进行过滤，这时ACL表示“1.1.1.0/24”这条路由。并且该0表示“1-254”所有主机位，当后两位都是0时，只有最后一个0表示“1-254”所有主机位。 2 韩喆（原创-禁止转载）CCIE-22793