Я озадачен, потому что я могу подключиться к этому маршрутизатору по ssh с 192.168.1.10, но не с 192.168.30.3 (согласно acl 6). Ни один интерфейс не упоминает какие-либо из этих списков доступа, поэтому правильно ли я предполагаю, что это глобальные списки доступа, применяемые ко всем интерфейсам?
Если да, то в каком порядке?
Есть ли в списке несколько отклонений, которые делают некоторые правила бесполезными, или одно отклонение любого в самом конце?
если я сделаю список доступа 3, разрешающий любое, это позволит мне подключиться к этому маршрутизатору по ssh из любой точки сети 192.168.0.0?
Что произойдет, если я укажу конкретный ACL для одного из интерфейсов? будут ли применяться остальные правила?
Вот очищенный вывод show access-list:
Standard IP access list 5
10 permit 144.1.1.1 (10000 matches)
20 permit 155.1.1.1 (10000 matches)
40 deny any (100000 matches)
Standard IP access list 6
10 permit 192.168.0.0, wildcard bits 0.0.255.255 (100000 matches)
20 deny any (10 matches)
Standard IP access list 7
10 permit 192.168.1.0, wildcard bits 0.0.0.255
Extended IP access list 122
10 permit ip host 5.5.5.5 any
20 permit ip host 6.6.6.6 any
70 deny ip any any log (1000 matches)
Extended IP access list snooplion1_acl
10 permit ip 4.2.1.0 0.0.0.7 10.1.1.0 0.0.0.255 log (1000 matches)
20 permit ip 4.2.1.0 0.0.0.7 10.1.2.0 0.0.0.255 log
Extended IP access list snooplion2_acl
10 permit ip host 4.2.1.2 host 4.4.1.1 log (100000 matches)
20 permit ip host 4.2.1.3 host 4.4.1.1 log (100000 matches)
Extended IP access list snooplion3_acl
10 permit ip 4.2.1.0 0.0.0.7 host 4.4.4.4 log (100000 matches)
Extended IP access list snooplion4_acl
10 permit ip 4.2.1.0 0.0.0.7 192.168.2.0 0.0.0.255 log (100000 matches)
20 permit ip 4.2.1.0 0.0.0.7 192.168.3.0 0.0.0.255 log (100000 matches)
Extended IP access list snooplion5_acl
10 permit ip 4.2.1.0 0.0.0.7 4.3.3.80 0.0.0.15 log
Extended IP access list snooplion6_acl
10 permit ip 4.2.1.0 0.0.0.7 4.3.3.80 0.0.0.15 log (10 matches)
Если ни один интерфейс (или vty) не упоминает эти ACL, они не применяются. В IOS нет такой вещи, как глобально применяемый ACL - особенно с учетом того, что ACL может означать очень разные вещи в разных контекстах (то есть карты маршрутов, QoS и фильтрация пакетов могут использовать одну и ту же структуру).