关于access-list的问题

蛋抹绿慢灵魂

我的目的是要让公司内部所有的IP都不能访问ping通192.168.11.33

然后我就测试 写了
access-list 1 deny host 192.168.2.8
access-list 1 permit any



然后在192.168.11.33这个地址的switch端口上加入
ip access-list 1 in



用2.8ping11.33结果ping通了。而且有时候会让11.33断网。不知道我哪里逻辑错了。求大神支招

蛋抹绿慢灵魂

Mr.黄瓜 发表于 2013-6-4 18:36
switch端口？那个switch端口有ip地址吗？是不是配了什么子接口？

你好。是这样的，switch（2层交换机cisco2960）虽然没有网络层 不过可以添加ACL。那就是可以做IP层的限制，至于原理我也没搞懂。概念有点混

蛋抹绿慢灵魂

azqqaz 发表于 2013-6-4 17:55
应该用扩展吧！　access-list 100 deny ip 192.168.2.0 0.0.0.255 host 192.168.11.33
                   ...

It‘s nice of you。确实在2.8的端口in就能ping不通。我想实现几个2.8能ping不通11.33而11.33能ping通2.8这个有可能实现吗

蛋抹绿慢灵魂

egegeg 发表于 2013-6-4 17:57
你试下在2.8这个端口in  或者在11.33这个端口out看看

我ip access-list 100 in是可以的。但是out就不存在
我打ip access-list 100 ？ 出来的只有in  没有out这个选项

蛋抹绿慢灵魂

kotoyh 发表于 2013-6-4 18:44
额 多层交换机么？

2层交换机 cisco2960

蛋抹绿慢灵魂

ititie 发表于 2013-6-5 10:13
2 、3 楼的意见都可以

我试过了。但是这样做就双方都ping不通呀。怎么做到11.33能ping通2.8   2.8不能ping通11.33

蛋抹绿慢灵魂

ititie 发表于 2013-6-5 10:31
好吧，需求还挺特别。 满足扩展+in的做法，主要是你要想acl的写法了，哪个是源，哪个是目的。
还有你说的 ...

嘿嘿。就是想让我们IT的电脑不能给别人访问。我在看看书，这里面的原理还是没能搞懂，身为IT人员惭愧

蛋抹绿慢灵魂

egegeg 发表于 2013-6-5 11:15
in就是从这个端口出去的时候匹配ACL  out就是进去的时候匹配ACL
如果没out 你就在2.8这个端口上in 作用都 ...

in不是进来的数据包 out是出去的数据包么。
我的理解是在11.33的端口上in的话  deny 192.168.2.8  由于是in所以会去查看地址范围。当查到2.8是被拒绝的，然后就不让通过。   能帮我分析下我理解哪里错了吗。因为我看了你刚才说的我还是没法理解 in和out的关系

蛋抹绿慢灵魂

ititie 发表于 2013-6-5 11:30
慢慢来吧，看看资料，动动手实验什么的。
想用acl实现1能访问2，2不能访问1的这方面，你看看自反acl，就 ...

Thanks.看书不认真，我再从头看一遍。

蛋抹绿慢灵魂

egegeg 发表于 2013-6-5 12:17
对  第一句我说反了   但下面几句还是正确的
我下面不是说了么
如果你在11.33这个端口写in 就是说这个端 ...

哎呀，你说的后半句我没理解是什么意思哦。前半句说11.33端口in的话 deny 2.8  那我的理解就是当192.168.2.8这个IP进入11.33这个端口的时候 由于deny所以 被拒绝。
而你说的下面是11.33永远匹配不到是怎么个说法捏

蛋抹绿慢灵魂

egegeg 发表于 2013-6-5 12:37
画图可能好理解点
ACL：deny 2.8
如果你在2.8端口写in 他就会匹配到2.8 deny掉

现在能看明白了。大神你好Thanks