急！求救，扩展ACL表~~

tq07wwj

设计一个扩展ACL,使 192.168.3.1ping192.168.1.1 出现Request time out 的结果，使
192.168.1.1 ping 192.168.3.1 出现 destination unreachable 的结果  


R1 f0口（192.168.1.254）连着PC 192.168.1.1   R1 s0口（192.168.2.1）
R2 f0口（192.168.3.254）连着PC 192.168.3.1   R1 s0口（192.168.2.2）

已做了路由协议，请教怎么个设法，放在哪个路由器里？

tq07wwj

tq07wwj

tq07wwj

在线等！！！求高手解答，求版主解答

tq07wwj

qq360870025

你直接在R1上 写access-list deny host 192.168.3.1   
                         access-list permit any
在R1的F0上 out就行了

επd|êss

三台路由器 在中间的路由器设置，中间路由器的两个接口都可以。  ----------s0/1 ROUTER2 0/2----------
在s0/1和s0/2都可以。

扩展acl的话
你的要求的第一个是Request time out是超时，应该禁的是icmp协议
               第二个是destination unreachable 是找不到目标主机，禁的应该是tcp协议

qq360870025

要扩展的ACL  的话access-list 100 deny ip host 192.168.1.1 host 192.168.3.1
                          access-list 100 permit ip any any
                       直接在R2的F0上 in调入

qq360870025

qq360870025

更加精确点 就直接access-list 100 deny    icmp host 192.168.1.1 host 192.168.3.1   host-unreachable  这样只会denyICMP里面的 主机不可达  其他都不影响

tq07wwj

什么意思不懂，2个效果可以用同一个列表实现吗？

tq07wwj

qq360870025 发表于 2012-2-25 21:07
更加精确点 就直接access-list 100 deny    icmp host 192.168.1.1 host 192.168.3.1   host-unreachable   ...

什么意思不懂，2个效果可以用同一个列表实现吗？

tq07wwj

设计一个扩展ACL,使 192.168.3.1ping192.168.1.1 出现Request time out 的结果，使
192.168.1.1 ping 192.168.3.1 出现 destination unreachable 的结果

qq360870025

tq07wwj 发表于 2012-2-25 21:31
什么意思不懂，2个效果可以用同一个列表实现吗？

你看看效果就是啦  这个就能实现了

jinbery

我来凑凑热闹

destination unreachable 是ICMP有去有回，告诉你目标不可达
注意这是一个完整的ICMP过程，有发起端，有回应端，回应端是R2
如何实现R2认为fa0上的PC不可达呢？
若不考虑物理连接和iptable，在R2/fa0/out 上用
access-list 100 deny icmp host 192.168.1.1 host 192.168.3.1
这样ICMP包被丢弃，R2认为fa0上的PC不可达，所以回给192.168.1.1 一个destination unreachable

Request time out 是ICPM包有去无回，丢了
从发起端到回应端，再回发起端，某处包丢了。如何实现？
要么让ICMP压根儿到不了回应端，要么让回应端回的消息到不了发起端
若不考虑网络丢包，选择第一种状况，在R2/fa0/in上用
access-list 100 deny icmp host 192.168.3.1 host 192.168.1.1
这样ICMP没进入路由就被丢弃，192.168.3.1会得到一个Request time out