一个ACL实验做到崩溃

morning_27333

按这个要求在R2上配置了ACL：
network 172.16.0.0
no auto-summary
!
ip classless
!
!
access-list 100 deny icmp 172.16.3.0 0.0.0.255 host 192.168.12.2
access-list 100 deny icmp 172.16.3.0 0.0.0.255 host 192.168.23.1
access-list 100 deny icmp 172.16.3.0 0.0.0.255 host 2.2.2.2
access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 192.168.12.2 eq www
access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 192.168.12.2 eq telnet
access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 192.168.23.1 eq telnet
access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 192.168.23.1 eq www
access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq www
access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq telnet
!
然后再两个接口上应用in

发现172.16.1.0网段无法telnet到R2上的任何端口

这么配置知道不对，可不知道错在哪了，按说应该能telnet到的啊

手上有答案，感觉答案也不对，纠结了

Dennis.

你联系QQ 393581839，我帮你解决。

zhuchen89

你跑的什么路由协议的，ACL放行了么？R2有回程路由么？

wantccie

楼主，我昨天做了个实验，但是无奈无法上传。请你查看word附件吧。

morning_27333

wantccie 发表于 2013-9-3 09:39
楼主，我昨天做了个实验，但是无奈无法上传。请你查看word附件吧。

为什么最后要permit eigrp any any呢？用permit ip any any 后就会不符合题目要求，不是太明白，

spyud2009

morning_27333 发表于 2013-9-3 23:57
为什么最后要permit eigrp any any呢？用permit ip any any 后就会不符合题目要求，不是太明白，

ACL最后一条默认是什么，想一下

wantccie

morning_27333 发表于 2013-9-3 23:57
为什么最后要permit eigrp any any呢？用permit ip any any 后就会不符合题目要求，不是太明白，

ACL默认最后是deny all
加这一条的原因是，让eigrp邻居能够正常建立连接。
正如你看到的，eigrp作为IP协议号88存在。
如果没有这一条，R2和R3的eigrp邻居将会断掉，无ACL情况下也不会通。

morning_27333

wantccie 发表于 2013-9-4 12:01
ACL默认最后是deny all
加这一条的原因是，让eigrp邻居能够正常建立连接。
正如你看到的，eigrp作为IP ...

这个能理解，但是permit ip any any 不是把permit eigrp any any 包涵进去了吗？{:soso_e132:}

zhuchen89

morning_27333 发表于 2013-9-7 22:47
这个能理解，但是permit ip any any 不是把permit eigrp any any 包涵进去了吗？

ACL要求是最小权限，根据需求来放行流量，如果最后改成permit ip any any，那和没写这个ACL有什么区别

wantccie

morning_27333 发表于 2013-9-7 22:47
这个能理解，但是permit ip any any 不是把permit eigrp any any 包涵进去了吗？

permit ip any any确实已经包含了permit eigrp any any，但是如果一旦你写的ACL的源目有错误或者ACL并未生效时，你等于将所有流量都允许通过。对于ACL来说，严格匹配来满足需求，才是它的精髓所在！