Question

思科路由器ACL访问控制列表问题

如图路由器配置命令：    access-list 101 permit tcp any 172.16.4.13 0.0.0.0 eq www    设置ACL101，容许源地址为任意IP，目的地址为172.16.4.13主机的80端口即WWW服务。由于CISCO默认添加DENY ANY的命令，所以ACL只写此一句即可。     int e 0    进入E1端口    ip access-group 101 out     将ACL101宣告出去    设置完毕后172.16.3.0的计算机就无法访问172.16.4.0的计算机了，而172.16.4.0的计算机访问172.16.3.0的计算机没有任何问题 这个我不理解为什么上面的命令是说任意IP访问172.16.4.13的WWW服务，然后思科默认语句deny any any 而这条命令被设置在E0的端口的OUT出去时才有效，而172.16.3.0的计算机就无法访问172.16.4.0的计算机是从0的端口进入in到E1，所以命令不执行的，应该可以访问才对，而72.16.4.0的计算机访问172.16.3.0的计算机数据包从E1进入到E0出去，这个时候数据包从E0的端口的OUT了，就执行这条命令丢弃数据包了，应该不能访问才对，怎么带过来了，是不是我的理解有误，这个怎么理解

Answer 1

理解的有问题，acl列表挂在哪个接口其实无所谓，主要是in和out的区别在于一个能不能进路由器，一个能不能出路由器而已，你挂在e1接口用out，控制的是流量自左向右能不能出的问题，而流量自右向左是完全没有影响的，根据你的语句来看，允许所有的源用www端口访问172.16.4.13这个主机是你控制的内容，后面列表自动执行deny ip any any，那么你的172.16.3.0不能ping 172.16.4.0很正常，因为执行规则是必须要完全匹配，不完全匹配会看列表的下一项，你允许的只是所有人访问172.16.4.13并且还得是用www端口才可以，缺一不可，否则就会执行那条deny any any的表项了，所以你用3.0去ping 4.0其他的主机会不通就是因为这个

建议你这样写

access-list 101 per tcp any 172.16.4.13 0.0.0.0 eq www
access-list 101 deny ip any 172.16.4.13 0.0.0.0
access-list 101 per ip any any

这样的话，只能用www去访问172.16.4.13，其他方式都不可以，并且你要访问其他的流量也会放行，最终强调，acl是必须完全匹配才会执行，执行后列表后面的表项一概忽略，但如果不匹配则会看列表的下一项

希望能帮到你