Поиск и устранение неполадок ACL-списков

Распространённые ошибки ACL-списков

Пример ошибки 2

На рисунке сеть 192.168.10.0/24 не может использовать протокол TFTP для подключения к сети 192.168.30.0/24.

Решение — сеть 192.168.10.0/24 не может использовать протокол TFTP для подключения к сети 192.168.30.0/24, поскольку протокол TFTP использует транспортный протокол UDP. Строка 30 в списке доступа 120 разрешает весь трафик TCP. Но поскольку TFTP использует UDP вместо TCP, он косвенно запрещён. Помните, что косвенный отказ «deny any» не отображается в выходных данных команды show access-lists и, следовательно, совпадения также не отображаются.

Запись 30 следует заменить на ip any any.

Приведённый ACL-список работает вне зависимости от того, применён ли он на G0/0 R1, S0/0/1 R3 или S0/0/0 R2 во входящем направлении. Однако, основываясь на правиле размещения расширенного ACL-списка как можно ближе к источнику, наиболее оптимальным вариантом будет G0/0 R1, поскольку в данном случае нежелательный трафик будет фильтроваться без необходимости в прохождении через всю инфраструктуру сети.