为了更好的生活,继续在学习的海洋中遨游!
我继续上次的基本ACL配合流策略的应用6种组合方式的实验验证:(接上回写的,不记得可以付一下流策略的配置说明文档。)
针对vlan2和VLAN3之间的主机不能互相通讯,但是可以与其他主机进行通讯,基本ACL配合流策略Out方向接口下应用,实验拓扑如下。
对照我整理的ACL工作机制表:基本ACL中定义的规则是Per 结合流分类中的Per的,也是放行的,这就是造成vlan2除了与VLAN3之间可以互相通讯的原因。
那么,根据需求来看,VLAN2不能和VLAN3通讯的最直接的原因:
还是因为基本ACL2002中的deny 结合流策略中的流行为的deny 动作,是不允许通过的!
所以,这里我要体会到ACL的严谨的思维结构,acl 的规则所对应的流策略的行为是什么,需要结合在一起利用!
接下来,我来看看基本ACL的deny 结合流行为中out的deny的动作会影响到什么呢?
还是接口上应用:
我直接在sw1的g0/0/4口上配置:
然后我站在PC3上来测试下全网的通讯,我在这里就不用测试:做这次组合实验,可以不用着急去配置,先测试策略在失效的情况下测试全网通讯。
实验结果:全网均不能正常通信:
所以我们可以证明:不论基本ACL上有多少个per,或者deny,但是只要结合流策略中的流行为一旦是deny动作,均为deny .
接下来来看看未匹配上的可能:
为了模拟这个未匹配,我可以将ACL2002中的deny rule给删除,让PC3去访问vlan3内的任意主机,并在接口上应用。
站在PC3上,观察,vlan2和VLAN3之间的主机能够通讯,证明了在未匹配上,默认动作是规则中是per 结合流策略中的流行为是Per 就是per。
因此,我可以这么写:
别忘记还有个deny 的动作来验证下:(思路一定要严谨,如果长时间没做会就大量忘记。)
检查acl 2002里面的规则:
站在PC3来看下,也是能和vlan3主机通讯。
因此,验证结果后,我在表中这样填写:
我们继续按照这张表来验证实验结果:
ACL在没有配置规则和建立ACL时的情况:
先随意建立一个class名称,然后我在其中建立一个没有建立过的ACL,这时系统会明确的警告提示,没有找到这个参数。
所以按照这个表格来说,无法建立这个参数就根本就不用去讨论了:类都无法尽力,根本就意义。(但是HCNP认证中理论这两项是可以通过的。)
这次基本ACL配合流策略的实验结论如下:
针对基本ACL配合流策略:
如果ACL中匹配了pre ,就会按照按流动作的行为来最终决定是否放行;
如果ACL中匹配了pre,如果流动作的行为为deny,则丢弃报文。
当未匹配时,一律进行转发!
