路由器防火墙功能ＡＣＬ地址通配符掩码配置错误，导致网络单次通过

1。问题描述

基本网络:

故障现象:在防火墙上设置ACL，允许所有服务器访问外部PC段，而PC段中只允许172 . 16 . 5 . 128 / 25台服务器。配置后，服务器可以ping通PC，但是PC不能ping通服务器。

2。过程

1。检查设备路线。因为服务器可以ping通PC，所以路由问题被消除了。

2。从PC上的Tracert服务器中，发现消息在到达防火墙后被中断，并且确定防火墙数据配置有问题。

3 .根据服务器区域和PC区域之间的ACL应用程序，首先检查防火墙配置和ACL配置。

4。检查并发现允许PC段访问服务器的规则中的地址段通配符掩码有问题。原始配置如下:

5 .将此规则更改为规则1允许IP源172 . 16 . 5 . 1280 . 0 . 0 . 127后，PC可以ping通服务器。故障排除。

3 .根本原因

在防火墙ACL配置中，通配符掩码应该设置在IP地址之后。通配符掩码不同于子网掩码，0表示需要匹配的位，1表示不需要匹配的位。使用时，您需要反转掩码，然后将其与IP地址相加。因此，对于172 . 16 . 5 . 128 / 25地址网段，通配符掩码应为0 . 0 . 0 . 127。但是，如果将其配置为0 . 0 . 0 . 128，则会导致不正确的匹配。

4。解决办法

将ACL中的错误配置更改为:规则1允许IP源172 . 16 . 5 . 1280 . 0 . 0 . 127

5、建议和总结

配置防火墙ACL时，路由器将自动计算并应用通配符掩码信息，而不是带有错误掩码的提示信息。导致设置了错误的ACL地址范围。因此，需要正确计算IP地址通配符掩码。以避免网络不通或网络单一接入的现象。