学员提问:
在做ACL时,要求对Ping进行控制,我有以下的问题弄不明白。
如下:
1、access list 101 permit icmp 192.168.30.0 0.0.0.255 any
允许192.168.30.0这个网络的主机通过Ping访问外面任何目的地 ?
2、access list 101 permit icmp 192.168.30.0.0.0.0.255 any echo
access list 101 permit icmp 192.168.30.0 0.0.0.255 any echo-reply
语句1和2是同等功效吗,还是不同,它们有区别呢?
如下:
1、access list 101 permit icmp 192.168.30.0 0.0.0.255 any
允许192.168.30.0这个网络的主机通过Ping访问外面任何目的地 ?
2、access list 101 permit icmp 192.168.30.0.0.0.0.255 any echo
access list 101 permit icmp 192.168.30.0 0.0.0.255 any echo-reply
语句1和2是同等功效吗,还是不同,它们有区别呢?
捷盈讲师及学员解答:
1的ACL语句翻译过来是允许所有源目的地址在192.168.30.0/24网段的主机发送的ICMP报文发往任何地址,准确说不是ping通,因为ICMP并不代表ping,但是因为我们最常用的就是ping所以也可以理解为ping通,另外也不应该说是外面任何目的地址,因为ACL应用是需要规定方向的,所以内外是相对的。
2中echo和echo-reply分别对应ping出的包和ping返回的包,所以上面那句是允许所有源目的地址在192.168.30.0/24网段的主机ping出的包发往任何地址,下面那句是允许所有源目的地址在192.168.30.0/24网段的主机发出的对ping响应的包发往任何地址。
所以1和2不完全是一回事。
2中echo和echo-reply分别对应ping出的包和ping返回的包,所以上面那句是允许所有源目的地址在192.168.30.0/24网段的主机ping出的包发往任何地址,下面那句是允许所有源目的地址在192.168.30.0/24网段的主机发出的对ping响应的包发往任何地址。
所以1和2不完全是一回事。