所以我有两个子网:
连接到路由器 2 的子网 1:200.190.64.0/28
连接到路由器 1 的子网 2:20.10.96.0/21
这两个路由器也有另一个网络连接到它们。
现在我的问题是如何在允许其他网络通信的同时拒绝子网 200.190.64.0 访问子网 20.10.96.0。
所以我做了访问列表搁浅,但问题是我的其他网络也无法访问它;一切都被封锁了。
我正在运行的代码
access-list deny host 200.190.64.0 0.0.0.15
access-list permit any
我在所有路由器的接口上都试过这个命令
路由器 1 配置
正如 Ricky Beam 所指出的,使用扩展 ACL 可能是更好的解决方案。实际上,您正在使用路由器资源将流量从源网络路由到目标网络的路由器,然后再丢弃它。您可以在 Router2 上创建扩展 ACL 并将其应用于传入接口以丢弃任何发往20.10.96.0/21网络的流量。
就像是:
路由器2:
ip access-list extended DROP
deny ip any 20.10.96.0 0.0.7.255
!
interface FastEthernet 0/1
ip access-group DROP in
!
一般规则是您应用标准 ACL 尽可能靠近目标以防止丢弃过多流量,扩展 ACL 应尽可能靠近源放置以防止浪费路由器资源路由目标流量无论如何都要被丢弃。
在路由器 2 上:
ip 访问列表扩展 DROP
拒绝 ip 200.190.64.0 0.0.0.15 20.10.96.0 0.0.7.255
允许 ip 任何任何
接口 FastEthernet 0/1
ip 访问组 DROP in