我们可以在默认路由中应用 ACL 吗?

网络工程 acl
2022-02-10 02:56:42

我有默认路由设置为

ip route 0.0.0.0/0 172.16.15.2

172.16.15.2带有 NAT 的 Internet 连接路由器在哪里。这是路由器配置的一些片段:

interface GigabitEthernet0/1.1
 encapsulation dot1q 10
 ip address 172.16.10.1 255.255.255.0 
# 
interface GigabitEthernet0/1.2
 encapsulation dot1q 20
 ip address 172.16.20.1 255.255.255.0
#
interface GigabitEthernet0/1.3
 encapsulation dot1q 15
 ip address 172.16.15.1 255.255.255.252
 ip access-group 101 out
#
access-list 101 deny ip 172.16.11.0 0.0.0.255 172.16.15.2 0.0.0.3 
access-list 101  permit ip any any 
 ip route 0.0.0.0/0 172.16.15.2

我希望互联网只允许用于172.16.10.0,但不允许用于172.16.11.0应用在出接口上的 ACLfa0/1.3不起作用。是否有任何其他解决方案可以防止流量被转发到172.16.15.2

1个回答

access-list 101 deny ip 172.16.11.0 0.0.0.255 0.0.0.0 255.255.255.255应该工作 - 当源是 172.16.11.0/24 并且目标是任何东西时拒绝。请注意,ACLdeny ip any any末尾有一个隐含的含义。

如果这太严格 - 也拒绝其他私有子网 - 您需要在之前允许这些:

100 permit ip 172.16.11.0 0.0.0.255 172.16.0.0 0.15.255.255
110 deny ip 172.16.11.0 0.0.0.255 0.0.0.0 255.255.255.255
9999 permit ip any any

或者更一般地说,允许 172.16.0.0/12 内的所有流量,但拒绝 172.16.11.0/24 到其他地方的流量:

100 permit ip 172.16.0.0 0.15.255.255 172.16.0.0 0.15.255.255
110 deny ip 172.16.11.0 0.0.0.255 0.0.0.0 255.255.255.255
9999 permit ip any any
其它你可能感兴趣的问题
上一篇在 Avaya 4950 交换机端口上禁用 STP 并强制端口状态 下一篇美国的 Cat6A 接线盒