看不懂有人解释下么

对于此问题，我想楼主可能是先学的华为系列的访问控制列表。实际上，华为系列与思科系列的设备对于访问控制列表ACL的匹配先后顺序是有差异的。对于华为的设备，根据深度优先的原则，匹配顺序会先比较源地址匹配范围的，因此后面的匹配规则会优先匹配，楼主的做法是没有问题。但对于思科的设备，没有深度优先的概念，正如楼上所说的，只会按顺序匹配，会先匹配前面的ACL规则，后面地址范围小的反而会略过。因此，对于思科设备，楼主的做法会让后面设置的规则不起作用的。要在所有设备都通用，楼上诸位已经提出了最好的解决方案，把后面的ACL策略先写，再写第一条ACL访问控制策略。

pc286 发表于 2018-7-26 09:51
: ?) Y3 \; X6 b) q7 S7 e6 ^对于此问题，我想楼主可能是先学的华为系列的访问控制列表。实际上，华为系列与思科系列的设备对于访问控制 ...

不是吧，你说的是华为哪个型号？我记得都是有顺序的吧

攻城狮论坛弄的不错 请大家多多支持 http://bbs.vlan5.com

这个问题涉及一个网络设备ACL规则的知识点，一般网络设备如防火墙是遵循从上往下的匹配原则。

例如：   FW1  访问策略有一下信息
1 k. r# f3 D. y7 u
: B" M" c' K* p1 H; S2 B            1 允许所有10.2.1.* 所有网络设备访问 10.1.1.1  
3 F8 |  O$ D) m6 q- w            2 禁止 10.2.1.1-10.2.1.2 访问 10.1.1.1  
( f! v' x2 d- c2 [' M, m% t& q, {+ |  S
2 {6 ^9 C! V) @0 U+ L+ R: @% @. T/ |9 P*第一条规则是允许，第二条是禁止
* T1 C4 I$ P" ^' D2 |  B. g  根据网络设备ACL匹配规则，匹配了第一条规则允许访问FTP服务器，就无法再匹配第二条规则。
6 y5 O% Z0 i: n) c* u% F  也就是说，第二条无法生效，也到不到配置者所希望的效果。  因此需要调换规则的顺序到最上面即可生效
+ m  n2 X' }2 [; N$ h5 {
+ y2 q) h: U0 c/ e# Q+ S希望以上信息可以帮你更好理解题意
  s; ]4 G0 y0 C- j6 {

感谢楼主 感谢攻城狮论坛 每天签到得积分(连续签到金币翻倍) 希望越办越好

不董啊，看看

感谢分享!!!

微雨醉千觞 发表于 2018-7-26 09:57
6 G+ @; Z- O0 ~不是吧，你说的是华为哪个型号？我记得都是有顺序的吧

华为的ACL有两种模式，第一种是配置模式，是按先后顺序匹配的，另一种是深度优先模式，是按地址范围大小匹配的。

按照顺序优先匹配。