路由器防火墙功能ACL地址通配符掩码配置错误,导致网络单次通过

1。问题描述

基本网络:

故障现象:在防火墙上设置ACL,允许所有服务器访问外部PC段,而PC段中只允许172 . 16 . 5 . 128 / 25台服务器。配置后,服务器可以ping通PC,但是PC不能ping通服务器。

2。过程

1。检查设备路线。因为服务器可以ping通PC,所以路由问题被消除了。

2。从PC上的Tracert服务器中,发现消息在到达防火墙后被中断,并且确定防火墙数据配置有问题。

3 .根据服务器区域和PC区域之间的ACL应用程序,首先检查防火墙配置和ACL配置。

4。检查并发现允许PC段访问服务器的规则中的地址段通配符掩码有问题。原始配置如下:

5 .将此规则更改为规则1允许IP源172 . 16 . 5 . 1280 . 0 . 0 . 127后,PC可以ping通服务器。故障排除。

3 .根本原因

在防火墙ACL配置中,通配符掩码应该设置在IP地址之后。通配符掩码不同于子网掩码,0表示需要匹配的位,1表示不需要匹配的位。使用时,您需要反转掩码,然后将其与IP地址相加。因此,对于172 . 16 . 5 . 128 / 25地址网段,通配符掩码应为0 . 0 . 0 . 127。但是,如果将其配置为0 . 0 . 0 . 128,则会导致不正确的匹配。

4。解决办法

将ACL中的错误配置更改为:规则1允许IP源172 . 16 . 5 . 1280 . 0 . 0 . 127

5、建议和总结

配置防火墙ACL时,路由器将自动计算并应用通配符掩码信息,而不是带有错误掩码的提示信息。导致设置了错误的ACL地址范围。因此,需要正确计算IP地址通配符掩码。以避免网络不通或网络单一接入的现象。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20181025A15BEK00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券

年度创作总结 领取年终奖励