ACL 不阻止 IP 或 ICMP 数据包出接口

网络工程 思科 数据包跟踪器 acl
2022-02-17 18:41:41

我创建了这个网络来做一些一般的练习。网络上的每台主机都可以 ping 其他每台主机。路由器只是使用基本的 RIPv2 配置。所有接口都可以 ping 通所有其他接口。

我在右侧的路由器 3 上创建了一个基本 ACL。正如您在我的图片中看到的,ACL 配置为阻止发往 10.10.2.2 的 IP 和 ICMP 数据包。我将此 ACL 放置在路由器 3 的 FA1/0 上,当我 ping 时它仍然没有过滤掉数据包。

当 ACL 明确配置为过滤这些数据包时,为什么发往该主机的数据包仍然通过?

配置:

Router(config)#ip access-list extended Divide

Router(config-ext-nacl)#deny ip any host 10.10.2.2

Router(config-ext-nacl)#deny icmp an host 10.10.2.2 

Router(config-ext-nacl)#permit ip any any

Router(config-ext-nacl)#exit

Router(config)#interface fastEthernet 1/0

Router(config-if)#ip access-group Divide out

Router(config-if)#exit

在此处输入图像描述

1个回答

在您的情况下这是不可能的,因为您将阻止接口中未连接的 IP 地址。如果您在具有 10.10.2.1 ( Router which next to 10.10.2.2) 的路由器上应用此配置,则将起作用。

ACL 需要在大多数壁橱接口中实现。

其它你可能感兴趣的问题
上一篇如何在 ACE Ipv6 语句中对 3 个主机进行分组 下一篇切换用户账户的特权身份管理