帮助这个acl

网络工程 思科 路由 路由器 思科-ios acl
2022-02-16 13:46:01

在此处输入图像描述

这就是我想要做的

Deny the network that host 200.200.200.10 is on, telnet access to R3
Permit host 200.200.200.10 to telnet to R3
Deny host 200.200.200.10 all access to host 204.10 on distant network
Allow everything else

这就是我所拥有的

access-list 100 deny tcp 200.200.200.0 0.0.0.255 host 203.203.203.2 eq 23 
access-list 100 permit tcp 200.200.200.10 0.0.0.0 host 203.203.203.2 eq 23
access-list 100 deny ip 200.200.200.10 0.0.0.0 204.204.204.10 0.0.0.0
access-list 100 permit ip any any

    Current configuration : 896 bytes
!
version 12.2
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname R1
!
!
!
!
!
!
!
!
no ip cef
no ipv6 cef
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
interface FastEthernet0/0
 ip address 200.200.200.1 255.255.255.0
 duplex auto
 speed auto
!
interface Serial0/0
 ip address 201.201.201.1 255.255.255.0
 ip access-group 100 out
!
router rip
 version 2
 passive-interface FastEthernet0/0
 network 200.200.200.0
 network 201.201.201.0
!
ip classless
!
ip flow-export version 9
!
!
access-list 100 deny tcp 200.200.200.0 0.0.0.255 host 203.203.203.2 eq telnet
access-list 100 permit tcp host 200.200.200.10 host 203.203.203.2 eq telnet
access-list 100 deny ip host 200.200.200.10 host 204.204.204.10
access-list 100 permit ip any any
!
no cdp run
!
!
!
!
!
line con 0
!
line aux 0
!
line vty 0 4
 password password
 login
!
!
!
end

我以为它会工作,但它没有?任何帮助,将不胜感激。

1个回答

你有几个问题。

您正在使用扩展 ACL,通常应将其放置在尽可能靠近源的位置,以防止注定要丢弃的流量浪费路由器资源。这意味着您希望将 ACL 应用于入站interface FastEthernet0/0,而不是出站interface Serial0/0

no auto-summary您也可以通过在 RIP 配置下不包括该命令(适用于所有路由器)而遇到问题。这些地址并没有真正引起问题,但是进一步划分子网或使用不同的地址可能会导致 RIP 以令人沮丧的方式失败。

一个大问题是 ACL 将从 ACL 的第一行开始,将数据包与 ACL 中的每一行进行比较,并在第一次匹配时退出 ACL。这意味着当您在第一行拒绝整个200.200.200.0/24网络能够远程登录时,将永远不会评估203.203.203.2/32允许远程登录到该主机的下一行200.200.200.10/32,因为如果它与第二行匹配,它将匹配第一行并退出ACL 在第一行,丢弃数据包。您必须首先配置您的许可声明。

其它你可能感兴趣的问题
上一篇电路交换。FDM 和 TDM 链路中每个电路的数据速率如何划分? 下一篇互联网不工作