一个ACL实验做到崩溃
按这个要求在R2上配置了ACL:network 172.16.0.0
no auto-summary
!
ip classless
!
!
access-list 100 deny icmp 172.16.3.0 0.0.0.255 host 192.168.12.2
access-list 100 deny icmp 172.16.3.0 0.0.0.255 host 192.168.23.1
access-list 100 deny icmp 172.16.3.0 0.0.0.255 host 2.2.2.2
access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 192.168.12.2 eq www
access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 192.168.12.2 eq telnet
access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 192.168.23.1 eq telnet
access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 192.168.23.1 eq www
access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq www
access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq telnet
!
然后再两个接口上应用in
发现172.16.1.0网段无法telnet到R2上的任何端口
这么配置知道不对,可不知道错在哪了,按说应该能telnet到的啊
手上有答案,感觉答案也不对,纠结了
你联系QQ 393581839,我帮你解决。 你跑的什么路由协议的,ACL放行了么?R2有回程路由么?
楼主,我昨天做了个实验,但是无奈无法上传。请你查看word附件吧。
wantccie 发表于 2013-9-3 09:39
楼主,我昨天做了个实验,但是无奈无法上传。请你查看word附件吧。
为什么最后要permit eigrp any any呢?用permit ip any any 后就会不符合题目要求,不是太明白,
morning_27333 发表于 2013-9-3 23:57
为什么最后要permit eigrp any any呢?用permit ip any any 后就会不符合题目要求,不是太明白,
ACL最后一条默认是什么,想一下 morning_27333 发表于 2013-9-3 23:57
为什么最后要permit eigrp any any呢?用permit ip any any 后就会不符合题目要求,不是太明白,
ACL默认最后是deny all
加这一条的原因是,让eigrp邻居能够正常建立连接。
正如你看到的,eigrp作为IP协议号88存在。
如果没有这一条,R2和R3的eigrp邻居将会断掉,无ACL情况下也不会通。
wantccie 发表于 2013-9-4 12:01
ACL默认最后是deny all
加这一条的原因是,让eigrp邻居能够正常建立连接。
正如你看到的,eigrp作为IP ...
这个能理解,但是permit ip any any 不是把permit eigrp any any 包涵进去了吗?{:soso_e132:}
morning_27333 发表于 2013-9-7 22:47
这个能理解,但是permit ip any any 不是把permit eigrp any any 包涵进去了吗?
ACL要求是最小权限,根据需求来放行流量,如果最后改成permit ip any any,那和没写这个ACL有什么区别 morning_27333 发表于 2013-9-7 22:47
这个能理解,但是permit ip any any 不是把permit eigrp any any 包涵进去了吗?
permit ip any any确实已经包含了permit eigrp any any,但是如果一旦你写的ACL的源目有错误或者ACL并未生效时,你等于将所有流量都允许通过。对于ACL来说,严格匹配来满足需求,才是它的精髓所在!
页:
[1]
2