雏鹰部落论坛 › 其它 › 用小凡模拟器做访问控制列表实验的问题

cakechina 发表于 2009-4-29 23:05:03

用小凡模拟器做访问控制列表实验的问题

实验要求
1,配置标准访问控制列表,阻止10.1.0.0网段对10.3.0.0和10.4.0.0网段的访问
2,配置扩展访问控制列表,阻止所有对PC2的ping

实验配置
router1
route(config)# host r1
r1(config)# no ip do lo
r1(config)# lin c 0
r1(config-line)# logg sy
r1(config-line)# exit
//配置接口IP
r1(config-if)# int e0/0
r1(config-if)# ip add 10.0.0.1 255.255.0.0
r1(config-if)# no sh
r1(config-if)# int e0/1
r1(config-if)# ip add 10.1.0.1 255.255.0.0
r1(config-if)# no sh
r1(config-if)# int e0/2
r1(config-if)# ip add 10.2.0.1 255.255.0.0
r1(config-if)# no sh
r1(config-if)# exit
//配置路由
r1(config)# ip route 10.3.0.0 255.255.0.0 10.0.0.2
r1(config)# ip route 10.4.0.0 255.255.0.0 10.0.0.2
//配置标准ACL
r1(config)# access-list 1 deny 10.1.0.0 0.0.255.255
r1(config)# access-list 1 pirmet any
r1(config-if)# int e0/0
r1(config-if)# ip access-group 1 out//
r1(config-if)# exit
//配置扩展ACL
r1(config)# ip access-list 101 deny icmp any host 10.2.0.2
r1(config)# ip access-list 101 pirmet ip any any
r1(config-if)# int e0/2
r1(config-if)# ip access-group 101 out
r1(config-if)# exit
router 2
router(config)# host r2
r2(config)# no ip do lo
r2(config)# lin c 0
r2(config-line)# logg sy
r2(config-line)# exit
//配置接口IP
r2(config)# int e0/0
r2(config-if)# ip add 10.0.0.2 255.255.0.0
r2(config-if)# no sh
r2(config-if)# int e0/1
r2(config-if)# ip add 10.3.0.0 255.255.0.0
r2(config-if)# no sh
r2(config-if)# int e0/2
r2(config-if)# ip add 10.4.0.0 255.255.0.0
r2(config-if)# no sh
r2(config-if)# exit
//配置路由
r2(config)# ip route 10.1.0.0 255.255.0.0 10.0.0.1
r2(config)# ip route 10.2.0.0 255.255.0.0 10.0.0.1
//PC配置
PC1 ip:10.1.0.2 10.1.0.1 /16
PC2 ip:10.2.0.2 10.2.0.1 /16
PC3 ip:10.3.0.2 10.3.0.1 /16
PC4 ip:10.4.0.2 10.4.0.1 /16

为什么我只把标准acl应用到R1的e0/0输出上,PC3和PC4也ping不通PC1?
为什么我只把扩展acl应用到R1的e0/2输出上,其它PC也ping不通PC2?如果要单向过滤要怎么配置?

ajke 发表于 2009-4-30 07:34:36

因为ping是双向的
要实现单向就要用自反列表

cakechina 发表于 2009-4-30 09:18:41

原帖由 ajke 于 2009-4-30 07:34 发表 http://bbs.spoto.net/images/common/back.gif
因为ping是双向的
要实现单向就要用自反列表
谢谢!!!!

bookpig 发表于 2009-4-30 10:20:32

--

lugelg 发表于 2009-4-30 13:00:25

如果用扩展的话，也可以实现，主要接口要应用正确~！！你上面的接口似乎应用错误了

wrlid 发表于 2009-5-1 12:23:06

-- --

gj1984810 发表于 2009-5-4 09:28:31

应该是要自反

cakechina 发表于 2009-5-5 15:03:30

原帖由 lugelg 于 2009-4-30 13:00 发表 http://bbs.spoto.net/images/common/back.gif
如果用扩展的话，也可以实现，主要接口要应用正确~！！你上面的接口似乎应用错误了
哦，，，那是，，那个接口？

tom.cai 发表于 2009-7-17 19:14:42

恩，单向的用自反

hongyu263 发表于 2009-7-26 23:25:38

想来也不会是dynamips的问题呀

查看完整版本: 用小凡模拟器做访问控制列表实验的问题