“PC1还能连上服务器?
ACL白配了!
”
昨晚十一点,我在寝室拿eNSP做期末大作业,想卡掉室友的电脑,结果规则一贴,室友的PC2先躺枪,PC1照样刷网页。
那一刻,我怀疑人生:ACL到底听谁的?
我先把拓扑画好:两台PC、一台服务器、一台AR1路由器。
PC1和PC2挂在G0/0/1,服务器挂G0/0/0,地址都按老师给的模板填。
Ping通后,我兴冲冲写了条ACL2001,打算把192.168.201.2(PC1)踢出去。
命令敲完,apply到G0/0/1的in方向,回车——没反应。
PC1继续下载电影,PC2却弹“无法访问”。
我当场裂开。
跑去查表,display acl2001一看,源地址写成了192.168.201.20,多打了个0。路由器当然找不到这号人,于是默认全放。
改回.2,再绑接口,PC1立刻掉线,PC2复活。
原来ACL这玩意儿,错一位数就翻车,连报错都不给。
室友在旁边笑:“你把我电脑当试验田?
”我顺手把ACL改成扩展的,加了个目的端口80,只拦他刷B站,别的不管。
他脸一黑,我心情瞬间舒坦。
小插曲背后,ACL其实挺娇气:
- 标准ACL只管源IP,顺序一乱,全网陪你玩。
- 扩展ACL能写源、目的、端口,但规则越长,路由器CPU越喘。
- 真线上环境还得加防火墙、IDS,光靠ACL就像用门栓防火箭炮。
- 写完记得displayinterface确认绑在哪头,in还是out搞反了,效果直接反着来。
做完实验,我把配置全删,重新来过,这回一次就中。
室友问秘诀,我甩他一句:先写对地址,再检查方向,最后别手抖。
ACL不骗人,只打脸。