使用前面介绍过的 show 命令可以发现大部分更为常见的 ACL 错误。 最常见错误包括 ACE 的输入顺序错误和 ACL 规则中应用的条件不足。

错误示例 1

该图中,主机 192.168.10.10 无法连接到 192.168.30.12。 在查看 show access-lists 命令的输出时,显示了第一条 deny 语句的匹配项。 这表示已经有流量与该语句匹配。

解决方案 - 检查 ACE 的顺序。 主机 192.168.10.10 无法连接到 192.168.30.12,原因是访问列表中规则 10 的顺序错误。 因为路由器从上到下处理 ACL,语句 10 会拒绝主机 192.168.10.10,所以永远无法匹配语句 20。 语句 10 和 20 应该交换顺序。 最后一行允许所有非 TCP 的其他 IP 流量(ICMP、UDP 等)。