kasime 发表于 2011-10-31 17:18:43

关于扩展ACL出现的一点问题

要求192.168.1.0/24的前半段不能访问202.102.13.0/24这个网段,后半段可以访问
我在RTA路由器上得配置如下:
interface FastEthernet0/0
no ip address
ip access-group 101 in
duplex auto
speed auto
!
interface FastEthernet0/0.1
encapsulation dot1Q 10
ip address 192.168.1.1 255.255.255.128
!
interface FastEthernet0/0.2
encapsulation dot1Q 20
ip address 192.168.1.129 255.255.255.128
!
interface FastEthernet0/1
no ip address
duplex auto
speed auto
shutdown
!
interface FastEthernet1/0
no ip address
duplex auto
speed auto
shutdown
!
interface FastEthernet1/1
no ip address
duplex auto
speed auto
shutdown
!
interface Serial1/0
ip address 1.1.1.1 255.255.255.252
!
interface Serial1/1
no ip address
shutdown
!
ip classless
ip route 192.168.2.0 255.255.255.0 1.1.1.2
ip route 202.102.13.0 255.255.255.0 1.1.1.2
!
access-list 101 deny ip 192.168.1.0 0.0.0.127 202.102.13.0 0.0.0.255
access-list 101 permit ip any any
!
!line con 0
line vty 0 4
login
!
end
扩展访问控制列表应设置在离源近的地方,但我ping202.102.13.2还是能ping通求各位指导下 哪里出错了

lin0131 发表于 2011-10-31 22:10:47

你试试把ACL配在子接口上看看把   或者把它绑定在出接口上

kasime 发表于 2011-11-1 10:08:58

PT实验-woniu2-

lgw5821228 发表于 2011-11-1 12:43:58

问题已经解决了,lin0131 同学说的是没错的,可能是你配置ACL的时候敲错了,我把配置好的文件发给你,你自己运行试试。

kasime 发表于 2011-11-1 15:09:29

lin0131 发表于 2011-10-31 22:10 static/image/common/back.gif
你试试把ACL配在子接口上看看把   或者把它绑定在出接口上

配置到子接口上,要两个子接口都要配置,但都用ip access-group 101 in
然后ping就会发现前半段能通,后半段不通   
再请问下控制列表里为什么要用192.168.1.128 0.0.0.127而不是192.168.1.0 0.0.0.127

lgw5821228 发表于 2011-11-1 20:00:15

192.168.1.0 0.0.0.127代表从192.168.1.0到192.168.1.127 也就是你说的前半段
192.168.1.127 0.0.0.127代表从192.168.1.128到192.168.1.255
而你希望前半段不能访问,那么最好的方式是匹配前半段,然后DENY

芬芬 发表于 2011-11-18 22:34:36

哦,原来是这样啊

芬芬 发表于 2011-11-18 22:35:08

哦,原来是这样啊
页: [1]
查看完整版本: 关于扩展ACL出现的一点问题