我正在数据包跟踪器中进行一些练习,并且正在配置 ACL。我希望网络调用“免费 WiFi 客户端”无法访问 IT,但是当我在路由器 3 中拒绝该网络时,我尝试从 IT 网络中的一台 PC ping 到免费 WiFi 网络中的一台 PC,但它不允许我。
我用 ACL 标准做到了:
10 deny 192.168.10.0 0.0.0.7
20 deny 192.168.30.0 0.0.0.7
30 deny 192.168.60.0 0.0.0.31
40 deny 172.16.10.0 0.0.0.31 (4 match(es))
50 permit any
您正在阻止从该网络到 IT 网络的所有流量。Ping 是一个使用 ICMP 回显请求和回显回复的应用程序。但你阻止了回复。如果您想阻止请求,而不是回复,那么您需要使用扩展访问列表来执行此操作。
例如:
permit icmp 192.168.10.0.0 0.0.0.31 172.16.0.0 0.0.0.15 echo-reply
标准访问列表尽可能靠近目的地放置出站,以免阻塞过多流量,但扩展访问列表应尽可能靠近源放置入站,以免路由注定要丢弃的流量。您可以使用扩展访问列表来做到这一点,因为它们同时具有源和目标,而标准访问列表则没有。
另外,请注意您的通配符掩码对于图中的掩码长度是错误的,并且图中没有您的问题所说的路由器 3。