求助ACL
本帖最后由 airbetonmax 于 2013-3-15 09:10 编辑大家凑合看看吧,论坛不给力,192.168开头地址,音乐可以看到啊。现在路由可以通,有静态路由。没问题,我在最右边的路由器router2上的fa0/0端口配置ACL,router2 的左边的端口。
access-list 100 deny ip host 192.168.1.2 any
access-list 100 permit ip any any
在fa0/0端口配置 access-group 100 out
问题来了,ACL应该是阻止192.168.1.2 这个IP地址的任何数据包通往任何地方。
但是反响的PC1 的 192.168.4.2 的地址,不会被ACL阻止,但是PC1pingPC0(192.168.1.2 )显示超时。请问这是为什么
===q我把我的实验拓扑也发上来了,说我什么网管不对,或者说路由不对的,还有什么PC0回去时候被阻止的,你们都看看拓扑吧,亮瞎你们。
科普一下:deny ip host 192.168.1.2 any这个命令是阻止192.168.1.2 这个IP的任何协议,访问任何IP地址。而反向的任何IP 任何协议访问192.168.1.2 不受限制。!!!
{:6_267:} {:6_267:} {:6_267:} {:6_267:} {:6_267:} {:6_267:} {:6_267:} {:6_267:} 肯定啊,PC0的包回不来啊! zhangsixian7 发表于 2013-3-14 20:07 static/image/common/back.gif
肯定啊,PC0的包回不来啊!
为什么呢?pc0的回包在f0/0是in方向才会被阻隔啊? 我觉得是不是你pc1的网关没设置啊~~没理由啊~~ 包可以丢过去,但是回不来!f0/0
access-group 100 out 看了LZ的帖子,我只想说一句很好很强大! 1.按照楼主的写法,router2 deny的是PC0在fa0/0接口出方向的流量,但是从拓扑来看,PC0只会在该接口有入方向的流量,所以这个ACL在实际使用中只会执行permit ip any any,即PC1和PC0之间能够正常通信。我用模拟器也模拟过了,结果的确是这样,两机可以互相ping通。
2.楼主说返回的是超时,即request timed out,如果流量是被ACL过滤掉的,返回信息应该是destination host unreachable,即主机不可达(有路由条目,但是被ACL block掉了)。所以,建议楼主检查3项内容:第一是PC1的网关是否正确;第二router2的fa0/1接口的IP地址是否配置正确;第三检查各路由器的静态路由是否配置正确。
页:
[1]
2