ACL 操作”路由器本身产生的数据包”

思科凭据 CCNA 和 CCNP 经常出现访问列表 (ACL) 问题。 或者更个说,它总是被提出来。 其中,考生经常犯错误,”如果不知道,就解决不了”。 其内容是”路由器本身引发的数据包不符合访问列表的约束”。

让我们测试数据包是否实际不受控制。

测试配置

配置/设置

在 Cisco 891fj 上配置以下访问列表,然后 Ping 到配置了 IP 地址 192.168.55.1 的另一个路由器。
* 顺便说一下,由于您需要设置协议设置和目标,因此我们将使用扩展 A
CLtest ping acl router

访问列表 100 指定协议 ICMP,将源设置为 Any(全部),将目标设置为 192.168.55.1。
然后,在橙色路由器的 GigabitEhternet8 的 out 方向 (egress) 上设置访问列表 100。 这应该控制从橙色路由器到 192.168.55.1 的 ICMP 数据包。

Router#show run int gi8
interface GigabitEthernet8
ip address 192.168.55.80 255.255.255.0
ip access-group 100 out
duplex auto
speed auto
Router#show access-lists | sec 100
Extended IP access list 100
   10 deny icmp any host 192.168.55.1

由于”隐式拒绝 ALL”设置为最后一行,因此将丢弃所有生成的数据包。

结果

ping 192.168.55.1。

Router#ping 192.168.55.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.55.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms

ICMP 数据包已回复,不受配置的 ACL 控制。
因此,本地配置的 ACL 不会影响路由器本身生成的数据包。

除了 Ping 数据包

ACL 确定在配置的接口上是转发数据包还是丢弃数据包。 但是,它不会影响配置 ACL 的路由器的本地数据包。

这不仅会影响 Ping,还不会影响路由协议中交换的数据包。
例如,它包括 OSPF hello 数据包或 BGP 的 OPEN 数据包。

经常去CCNA/CCNP

正如我在开头说的,我参加考试!!!!

在 CCNA 中,问题与我们这次测试的内容非常相似。
在 CCNP 中,我们使用路由协议检查路由表,并说:”这实际上是 ACL 规范。 出现这样的问题。
事实上,当我收到CCNP ENCOR时,它出来了。

请记住,这经常遇到,即使在工作!!