关于扩展ACL出现的一点问题

kasime · 发表于 2011-10-31 17:18:43

要求192.168.1.0/24的前半段不能访问202.102.13.0/24这个网段，后半段可以访问
我在RTA路由器上得配置如下：
interface FastEthernet0/0
no ip address
ip access-group 101 in
duplex auto
speed auto
!
interface FastEthernet0/0.1
encapsulation dot1Q 10
ip address 192.168.1.1 255.255.255.128
!
interface FastEthernet0/0.2
encapsulation dot1Q 20
ip address 192.168.1.129 255.255.255.128
!
interface FastEthernet0/1
no ip address
duplex auto
speed auto
shutdown
!
interface FastEthernet1/0
no ip address
duplex auto
speed auto
shutdown
!
interface FastEthernet1/1
no ip address
duplex auto
speed auto
shutdown
!
interface Serial1/0
ip address 1.1.1.1 255.255.255.252
!
interface Serial1/1
no ip address
shutdown
!
ip classless
ip route 192.168.2.0 255.255.255.0 1.1.1.2
ip route 202.102.13.0 255.255.255.0 1.1.1.2
!
access-list 101 deny ip 192.168.1.0 0.0.0.127 202.102.13.0 0.0.0.255
access-list 101 permit ip any any
!
!line con 0
line vty 0 4
login
!
end
扩展访问控制列表应设置在离源近的地方，但我ping202.102.13.2还是能ping通求各位指导下哪里出错了

lin0131 · 发表于 2011-10-31 22:10:47

你试试把ACL配在子接口上看看把或者把它绑定在出接口上

kasime · 发表于 2011-11-1 10:08:58

PT实验

lgw5821228 · 发表于 2011-11-1 12:43:58

问题已经解决了，lin0131 同学说的是没错的，可能是你配置ACL的时候敲错了，我把配置好的文件发给你，你自己运行试试。

kasime · 发表于 2011-11-1 15:09:29

lin0131 发表于 2011-10-31 22:10
你试试把ACL配在子接口上看看把或者把它绑定在出接口上

配置到子接口上，要两个子接口都要配置，但都用ip access-group 101 in
然后ping就会发现前半段能通，后半段不通
再请问下控制列表里为什么要用192.168.1.128 0.0.0.127 而不是192.168.1.0 0.0.0.127

lgw5821228 · 发表于 2011-11-1 20:00:15

192.168.1.0 0.0.0.127代表从192.168.1.0到192.168.1.127 也就是你说的前半段
192.168.1.127 0.0.0.127代表从192.168.1.128到192.168.1.255
而你希望前半段不能访问，那么最好的方式是匹配前半段，然后DENY

芬芬 · 发表于 2011-11-18 22:34:36

哦，原来是这样啊

芬芬 · 发表于 2011-11-18 22:35:08

哦，原来是这样啊

账号		自动登录	找回密码
密码			立即注册

[讨论/求助] 关于扩展ACL出现的一点问题

本帖子中包含更多资源

点评

本帖子中包含更多资源

点评

本帖子中包含更多资源

点评

点评

浏览过的版块