1。问题描述
基本网络:
故障现象:在防火墙上设置ACL,允许所有服务器访问外部PC段,而PC段中只允许172 . 16 . 5 . 128 / 25台服务器。配置后,服务器可以ping通PC,但是PC不能ping通服务器。
2。过程
1。检查设备路线。因为服务器可以ping通PC,所以路由问题被消除了。
2。从PC上的Tracert服务器中,发现消息在到达防火墙后被中断,并且确定防火墙数据配置有问题。
3 .根据服务器区域和PC区域之间的ACL应用程序,首先检查防火墙配置和ACL配置。
4。检查并发现允许PC段访问服务器的规则中的地址段通配符掩码有问题。原始配置如下:
5 .将此规则更改为规则1允许IP源172 . 16 . 5 . 1280 . 0 . 0 . 127后,PC可以ping通服务器。故障排除。
3 .根本原因
在防火墙ACL配置中,通配符掩码应该设置在IP地址之后。通配符掩码不同于子网掩码,0表示需要匹配的位,1表示不需要匹配的位。使用时,您需要反转掩码,然后将其与IP地址相加。因此,对于172 . 16 . 5 . 128 / 25地址网段,通配符掩码应为0 . 0 . 0 . 127。但是,如果将其配置为0 . 0 . 0 . 128,则会导致不正确的匹配。
4。解决办法
将ACL中的错误配置更改为:规则1允许IP源172 . 16 . 5 . 1280 . 0 . 0 . 127
5、建议和总结
配置防火墙ACL时,路由器将自动计算并应用通配符掩码信息,而不是带有错误掩码的提示信息。导致设置了错误的ACL地址范围。因此,需要正确计算IP地址通配符掩码。以避免网络不通或网络单一接入的现象。
领取专属 10元无门槛券
私享最新 技术干货