错误示例 3

在该图中,192.168.11.0/24 网络可以使用 Telnet 连接到 192.168.30.0/24,但是根据公司政策,此连接应该是不允许的。 show access-lists 130 命令的结果表明 permit 语句已经匹配。

解决方案 - 192.168.11.0/24 网络可以使用 Telnet 连接到 192.168.30.0/24 网络,因为访问列表 130 中语句 10 里的 Telnet 端口号列在了 ACL 语句的错误位置上。 语句 10 目前拒绝任何端口号等于 Telnet 的源数据包。 为了在 G0/1 上拒绝入站 Telnet 流量,应该拒绝等于 Telnet 的目的端口号,例如 deny tcp any any eq telnet