lzsr2004 发表于 2008-7-6 17:49:26

访问控制列表的疑惑

实验中要求某网络中只能单数主机能上网,可我配置了以后要么都PING不通外网,要么都能PING通。不知道错误到底出在哪里?请大虾帮我纠错,谢谢啊。
网络:192.168.21.0/24
单数主机:192.168.21.1 0.0.0.254
双数主机:192.168.21.0 0.0.0.254
我做的ACL:
R1(congfig)#access-list 1 permit 192.168.21.1 0.0.0.254    (允许单数)
R1(congfig)#access-list 1deny 192.168.21.0 0.0.0.254       (拒绝双数)
R1(congfig)#access-list 1 permit any                                 (允许所有)
R1(congfig)#interface s0
R1(congfig-if)#ip access-group 1 out


这样配置的结果是我设了2个虚拟主机接口:192.168.21.3,192.168.21.4
但是奇怪的就是都能PING通外网。改了以后又都PING不通。。

lzsr2004 发表于 2008-7-7 09:32:20

没有人知道吗?--

bookpig 发表于 2008-7-7 09:33:29

-- 不懂!

bookpig 发表于 2008-7-7 09:34:07

帮你招人来回答--

lzsr2004 发表于 2008-7-7 10:50:07

谢谢管理员MM--

lzsr2004 发表于 2008-7-7 10:54:05

我的困惑是,我第一条ACL加进去以后,再去PING ,反而PING 不通。按理是允许单数主机能上网,为什么允许流量过了反而倒不通了?看了一下,最后能PING通是因为加了permit any。

lzsr2004 发表于 2008-7-7 11:03:00

单数主机匹配的话,后面2个条目不加是不是也无所谓呢?(因为隐含了deny any)
我把第二条改成R1(congfig)#access-list 1deny 192.168.21.0 0.0.0.255(拒绝21.0网段)
结果没有任何的变化。

zhouzerong 发表于 2008-7-7 22:43:24

我觉得你只需R1(congfig)#access-list 1 permit 192.168.21.1 0.0.0.254    这条语句就行了。。。。。。。。。
   如果这样还不行的话可能就是你实验中的其他的问题,从你现在给的这些信息中只能得出这样的结论
页: [1]
查看完整版本: 访问控制列表的疑惑