我有以下拓扑:
在网络10.11.9.0/24(区域 3)上,我想只允许到 Internet 的流量。
当我在考虑拒绝所有网络的流量并允许它用于其他所有内容时,我将如何解决这个问题。
以下是我在 R2 中输入的命令,但它们似乎不起作用:
access-list 100 deny ip any 10.111.0.0 0.0.240.255
access-list 100 permit ip any any
!
interface GigabitEthernet0/0
ip access-group 100 out
!
这些命令似乎不起作用,但可能是因为 OSPF 之类的另一个原因吗?
我应该允许 ISP 提供所有内容并拒绝其他所有内容吗?我该怎么办?
应用时,您的 ACL 拒绝任何发往区域 3 的 IP 流量10.111.0.0 0.0.240.255 。根据您的描述,我认为您想拒绝离开区域 3 的流量,而不是进入区域 3 。命令中的inandout关键字ip access-group是从路由器的角度来看的,而不是从网络或区域的角度来看,因此out您使用的意思是区域 3 接口上的任何出站(进入区域 3)。
您可能试图过度考虑通配符掩码,根据您的问题,这似乎是不正确的。它不会拒绝任何其他区域的主机的流量。您可能只想要类似的东西0.0.255.255,这意味着您将拒绝10.111.0.0/16地址范围内的任何主机的流量。它不会影响区域 3 中的主机向区域 3 中的任何主机发送流量。您不能从路由器执行此操作,因为区域 3 中的主机连接到交换机,并且流量将直接从主机传递到主机,而不是通过路由器。
你可能想要这样的东西:
access-list 10 deny ip any 10.111.0.0 0.0.255.255
access-list 10 permit ip any any
!
interface GigabitEthernet0/0
ip access-group 10 in
!