赞
踩
ACL是路由器、交换机等设备常用的抓取、过滤流量的工具,我们可以将ACL设置在某个接口上,以过滤一部分该接口的流量。
今天我用eNSP做了一个简单的实验,然而实验竟然出乎意料的失败了,在这里把我的实验过程给大家分享一下,主要是想看一下万能的CSDN有没有做实验出现和我一样结果的同学,或者有大神现身指点一下。
很简单的实验拓扑,主要是用来验证ACL配置在Serial线上失效的问题,实验目的是组织R3对R1的ICMP数据流量。
为了实现上述效果,路由器接口上配置如图所示的IP地址,并运行OSPF协议达到全网路由互通。
配置ACL 3000,实现过滤ICMP流量,ACL3000配置如下:
在接口上使能ACL 3000,配置如下:
这样一来,按照道理,本来在R3访问R1的ICMP流量应该被过滤掉,因此,在R3上的表现为无法PING通R1,但是,在R3上进行尝试PING R1的实现,却发现了以下效果:
what? 这并不符合理论啊!。为什么能够PING通?
接下来,我又尝试了使用另外一种ACL配置方式:
在全局模式下,配置classifier、behavior和policy联动,配置如下所示:
在Serial线上,配置如下:
继续尝试使用R3来PING R1,结果还是能通!
从最终结果来看,ACL配置在Serial线上存在失效的问题,并没有发挥原有的作用。思考上述结论,我暂时把这种实验结果归咎与华为eNSP的BUG,也希望其他有兴趣的同学可以进行重复实验,我们也可以一起交流。
原创不易,转载请说明出处:https://blog.csdn.net/weixin_40228200/article/details/118435066
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。