路由访问控制列表

水果宾治

小生初来乍到，还请各位老大多多关照！
请教一下访问控制列表的问题。
拓扑请见下图：




配置命令如下：
Router>enable
Router#configure
Configuring from terminal, memory, or network [terminal]?
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#inter f0/0
Router(config-if)#exit
Router(config)#access-list 1 deny 192.168.1.0 0.0.0.255
Router(config)#inter f0/0
Router(config-if)#ip access-group 1 in
Router(config-if)#exit
Router(config)#access-list 2 deny 192.168.2.101 0.0.0.0
Router(config)#access-list 2 permit 0.0.0.0 255.255.255.255
Router(config)#inter f1/0
Router(config-if)#ip access-group 2 in
Router(config-if)#exit
Router(config)#access-list 3 permit 192.168.2.101 0.0.0.0
Router(config)#access-list 3 permit 192.168.1.101 0.0.0.0
Router(config)#inter f4/0
Router(config-if)#ip access-group 3 out


配置完成后结果是
1、1.0网段不能访问RA
2、2.0中只有2.100可以访问RA
3、所有PC都不能访问RB


在未配置访问控制列表之前所有PC都可以访问到RB，也可以访问到RA。
PS：路由协议用的是EIGRP。基本通信可以保证！

lyouxiaa

你前面2条ACL已经把1.0 和 2.101 在入接口deny掉了  都访问不了RA   
list3又把 2.100 在出接口deny掉了 当然所有PC都访问不了RB了。。。

水果宾治

lyouxiaa 发表于 2011-5-11 12:07

                               
登录/注册后可看大图

你前面2条ACL已经把1.0 和 2.101 在入接口deny掉了  都访问不了RA   
list3又把 2.100 在出接口deny掉了 当 ...

请问一下这样配置不会通吗？

lyouxiaa

RA上 f0/0 口 你设置的是  deny掉 1.0网段的 所以 1.0网段的流量进不了RA
RA上 f1/0 口 你设置的是  deny掉  2.101这个地址 所以 2.101进不了RA
RA上 f4/0 口 你设置的是  permit 2.101 和 1.101 出去  还条隐含的deny 所有（cisco路由器ACL有条隐含的 deny any ）....
但你想啊。。你上面两条ACL都把1.0网段和2.101 都deny掉了 他们都进不了RA 怎么可能访问的了RB ......
而且 第三条 ACL 是deny所有流量不让出RA 所有只有2.100能访问RA但访问不了RB..... 但不能访问RB
所以4台PC都访问不了RB......
我不知道是不是你要做ACL来同时满足图里面的三个条件.........
————————————————————————————————————————
以上纯属小弟个人见解......

行云流水

同意楼上，你确定题目没有问题吗？如果要求同时满足，你的配置肯定不通