ACL控制icmp数据包问题分析(ACL挂法IN,OUT分析)
2009-07-17 19:51
447 查看
ACL控制icmp数据包问题分析(ACL挂法IN,OUT分析)
需求:A、B、C直连 A,C分别写默认路由指出口 需要在B上E0口IN方向写ACL101,使得A能PING通C,C不能PING通A
初始步骤:如图搭拓扑,A上写默认路由指E0口,C上写默认路由指E1口
现分析ACL的写法:
写法一:
Access-list 101 deny icmp any any
echo-reply
Access-list 101 permit ip any any
写法二:
Access-list 102 deny icmp
20.1.1.0 0.0.0.255 10.1.1.0 0.0.0.255 echo
Access-list 102 permit ip any any
实验结果:写法一能实现需求,写法二不满足需求
写法一:C PING A 现象“…..”
写法二:挂在E0口IN方向
“!!!!!”
写法二: 挂在E0口OUT方向“U.U.U”
结果分析:ACL是基于接口而言的IN和OUT方向,而不是单纯的对于路由器来说。可见,在写法二中,虽然ICMP数据是从C流向A,对于路由器来说是IN方向,但这个只能对Router_B的E1口来说,对B的E0口来说,C到A还是OUT方向。
所以ACL的IN、OUT是针对进入接口和流出接口的数据而言,而不是对大概念的路由器本身而言。
附:扩展ACL里,echo关键词禁止ping包通过,
echo-reply不是禁止ping包返回,而是禁止反向ping包经过!
本文出自 “cedric's study” 博客,谢绝转载!
相关文章推荐
- Ext.Net/ExtJs:关于TextField控件内size、maxLength控制文本框输入字符长度属性失效问题分析以及解决方案
- IIS中遇到无法预览的问题(HTTP 错误 401.3 - Unauthorized 由于 Web 服务器上此资源的访问控制列表(ACL)配置或加密设置,您无权查看此目录或页面。)
- 关于display:inline-block布局导致错位问题分析
- IMP-00008: unrecognized statement in the export file: string的问题分析
- 分析in和exists的区别与执行效率的问题
- 基于visual c++之windows核心编程代码分析(29)ICMP实现远程控制
- accept()ing when you can’t问题分析
- Squid代理--经典缓存代理服务器(实现正向代理配置、ACL各种访问控制、日志分析)
- Spark 2.0 DataFrame map操作中Unable to find encoder for type stored in a Dataset.问题的分析与解决
- 利用WireShark分析由Ping产生的Internet 控制报文协议(ICMP)
- IIS中遇到无法预览的问题(HTTP 错误 401.3 - Unauthorized 由于 Web 服务器上此资源的访问控制列表(ACL)配置或加密设置,您无权查看此目录或页面。)
- 基于visual c++之windows核心编程代码分析(29)ICMP实现远程控制
- ICMP数据包-实战分析
- 【原创】packetbeat 之“协议数据包分析每次输出结果均不同”问题
- x264源码分析与应用示例(三)——浅谈码率控制的优化问题
- Battleships in a Board战列舰队问题解法分析
- 用R做中文文本分析--载入需要的数据包及载入时可能遇到的问题
- ICMP Redirect 报文导致TCP连接建立不起来的问题分析...
- 手工编译squid服务,详解squidACL访问控制,日志分析和反向代理(内含源码包)
- ICMP数据包-实战分析