Cisco ACL:ACL 的白名单方法

网络工程 思科 路由 转变 ACL
2021-07-16 23:27:05

我一直在环顾四周,似乎列出了这将是一个简单的问题,所以如果某处有重复,我很抱歉。

我有一个带有 vlan 20 的交换机,其中包含一个 /24 。

网络是 10.10.0.1 /24

ip access-list extended jimmys_wireless
 deny   ip any 10.11.0.0 0.0.0.255
 deny   ip any 10.12.0.0 0.0.0.255
 deny   ip any 172.16.1.0 0.0.0.255
 permit ip any any

我试过做类似的事情 

ip access-list extended jimmys_wireless
 permit ip any 10.10.0.0 0.0.0.255
 permit ip any 10.10.0.1 0.0.0.255 # default gateway
 deny ip any any

我有一个IP,但根本无法上网。这个网络应该只能访问互联网和它自己的网络。我想要这个,因为如果我改变网络或添加任何东西,我不得不更新黑名单以拒绝它。

编辑我将此设置为 in 。我想我试过这个,但我无法获得 IP。

2个回答

您正在设置的 ACL 必须作为传入应用到 VLAN 接口,并且应该如下所示: 

ip access-list extended jimmys_wireless
 /*permits here*/
 deny ip any 10.0.0.0 0.0.0.255
 deny ip any 172.16.0.0 0.15.255.255
 deny ip any 192.168.0.0 0.0.255.255
 permit ip any any

这样,所有本地地址都被禁止,所有公共地址(又名“互联网”)都被允许。您不需要允许网关 IP 地址,因为它仅用于中继 Internet IP 的流量。但是,由于它不是任何 IP 数据包的目标 IP,因此不需要在您的 ACL 中允许它。

您需要查看它是应用入站还是出站(您没有指定),以及每行的来源和目的地。应用 ACL 的接口(您没有指定)也很重要。

您需要仔细考虑并为您想做的事情选择正确的接口、正确的方向以及正确的来源和目的地。

更好的解释将有助于我们为您提供帮助。

其它你可能感兴趣的问题
上一篇思科数字光监控命令 下一篇带 Nexus 的 intervlan 棒上路由器