准备832，有点问题哦。

se_541049166

这个标准的ACL30，是不是只检查数据包的源IP地址？从客户端，一部分路由器去ping web server都ping不通，因为ACL是配置在s0/0/0/1的入方向。所以ping的数据包都能够到达web server ,但是回来的数据包IP源地址变成了，209.65.200.241（web server ip）根据ACL检查源地址，所以应该是permit的，应该是可以ping通、可是解答的答案为什么要这样？permit 209.65.200.224 0.0.0.3???

还有一个问题就是 这里面的PO是什么意思。







在线求解。谢谢、

小灿

我今天刚考完，主要是你要看一个，ip access-group 30 in是在出口s0/0/1上的，
所以 access-list 30 deny 10.1.0.0 0.0.255.255    access-list 30 deny 10.2.0.0 0.0.255.255 是坑爹的，外部有这2个网段？？？？
你只需增加access-list 30 permit 209.65.200.224 0.0.0.3 就可以了，host是server，server和R1中间有个209.65.200.224的网段，只有允许从s0/0/1  in 之后才能ping通

se_541049166

为什么要加入access-list 30 permit 209.65.200.224 0.0.0.3 ？
还有实验拓扑和题库里面的一模一样吗、？

bupt05412

小灿 发表于 2011-10-23 18:25

                               
登录/注册后可看大图

我今天刚考完，主要是你要看一个，ip access-group 30 in是在出口s0/0/1上的，
所以 access-list 30 deny  ...

请问你今天832是3个选择没有拖图么

bupt05412

se_541049166 发表于 2011-10-23 18:47

                               
登录/注册后可看大图

为什么要加入access-list 30 permit 209.65.200.224 0.0.0.3 ？
还有实验拓扑和题库里面的一模一样吗、？

这个ACL应该是保证链路建立用的，没有这个ACL，BGP邻居都找不到的吧，BGP找不到就ping不到WEB SERVER了，想的还挺多的哈，可以考试的时候测试一下看看是不是ＢＧＰ邻居没建立起来。

我大概看了下，如果不是Ｒ１　ＡＣＬ的错误，Ｒ１的配置都不会有这些ＡＣＬ出现的。

拓扑是一模一样的。

PO=PORT-CHANNEL 思科的链路捆绑技术，两条链路逻辑上绑成一条，增加带宽用，不绑定的话会出环路，生成树会打断一条的。

se_541049166

sdwchow 发表于 2011-10-23 21:47

                               
登录/注册后可看大图

PO = port-channel

哦，谢谢，应该叫PC

se_541049166

bupt05412 发表于 2011-10-23 23:32

                               
登录/注册后可看大图

这个ACL应该是保证链路建立用的，没有这个ACL，BGP邻居都找不到的吧，BGP找不到就ping不到WEB SERVER了， ...

有道理，首先链路这些协议数据包要能过来。才能建立路由。。，谢谢。

se_541049166

bupt05412 发表于 2011-10-23 23:32

                               
登录/注册后可看大图

这个ACL应该是保证链路建立用的，没有这个ACL，BGP邻居都找不到的吧，BGP找不到就ping不到WEB SERVER了， ...

刚刚看了一下题干，R1可以PING通webserver ，这不就证明了，这之间的链路上面的协议是OK的、？

bupt05412

se_541049166 发表于 2011-10-24 01:27

                               
登录/注册后可看大图

刚刚看了一下题干，R1可以PING通webserver ，这不就证明了，这之间的链路上面的协议是OK的、？

用PT试试，貌似是ping不通的。

se_541049166

bupt05412 发表于 2011-10-24 10:29

                               
登录/注册后可看大图

用PT试试，貌似是ping不通的。

我昨天看了那个万金油很好的战报，上面说到，在真实考试的时候，R1是ping不通webserver的。唉。

se_541049166

sdwchow 发表于 2011-10-24 07:49

                               
登录/注册后可看大图

route间连接上后同一segment内肯定是可以PING通的
但并不说明rout会传播出去

万金油的战报中提到了这一题，说是R1ping不通WEBserver...感觉只是坑爹的。如果不通，那答案才是正确额。

bupt05412

se_541049166 发表于 2011-10-24 11:13

                               
登录/注册后可看大图

我昨天看了那个万金油很好的战报，上面说到，在真实考试的时候，R1是ping不通webserver的。唉。

考试中ACL这个错误很好找的，当时我就剩下R1上的错误没有选了，只有一个TT中R1配置了ACL，其他的都没有。

se_541049166

sdwchow 发表于 2011-10-24 07:49

                               
登录/注册后可看大图

route间连接上后同一segment内肯定是可以PING通的
但并不说明rout会传播出去

不对吧，那个ACL会检查入站所有的数据包，只要不符合要求的都会被咔嚓，这是用的标准的ACL。只有源地址匹配上了才会放过去吧。所以就算是直连，也不可能会赦免额。只是我的理解哦，因为我现在米有时间，所以请你做下实验，在把答案发布上来，谢谢拉。嘎嘎。

se_541049166

bupt05412 发表于 2011-10-24 11:19

                               
登录/注册后可看大图

考试中ACL这个错误很好找的，当时我就剩下R1上的错误没有选了，只有一个TT中R1配置了ACL，其他的都没有。

，我不是说选答案，我想求真相。

bupt05412

se_541049166 发表于 2011-10-24 11:28

                               
登录/注册后可看大图

不对吧，那个ACL会检查入站所有的数据包，只要不符合要求的都会被咔嚓，这是用的标准的ACL。只有源地址匹 ...

其实吧 思科的ACL有点怪异的 如果你把一个全deny的ACL放在一个路由器的出接口上 ping那个出接口的对端设备 是能ping通的 并且只要是那个路由器上任意的3层地址 都能ping出去

回到正题 这个题就是ping不通的 我试了 加了permit 那个子网才能通