关于ACL的问题

EOS好摄之徒 · 发表于 2012-4-26 11:14:52

本人CCNA新手，想请教下如果想限制192.168.0.21-254之间的地址不能ping通172.16.1.10，而192.168.0.1-20这之间的地址则不受限制，ACL怎么写？

sh19891006 · 发表于 2012-4-26 11:19:48

反掩码

晓月堕 · 发表于 2012-4-26 12:10:21

本帖最后由晓月堕于 2012-4-26 15:33 编辑

access-list 100 permit ip 192.168.0.0 0.0.0.240 any
access-list 100 permit ip 192.168.0.16 0.0.0.252 any
access-list 100 permit ip host 192.168.0.20 any
access-list 100 deny ip 192.168.0.0 0.0.0.255 host 172.16.1.10
access-list 100 permit ip any any

h0168 · 发表于 2012-4-26 15:47:36

sd20562 · 发表于 2012-4-27 13:59:17

这个问题问的有问题（嘿比较绕口）没有给掩码。

liliguvic · 发表于 2012-4-27 14:49:00

我觉得应该这么写：
access-list 100 permit icmp 192.168.0.0 0.0.0.15 host 172.16.1.10
access-list 100 permit icmp 192.168.0.16 0.0.0.3 host 172.16.1.10
access-list 100 permit icmp host 192.168.0.20 host 172.16.1.10
access-list 100 deny icmp 192.168.0.0 0.0.0.255 host 172.16.1.10
access-list 100 permit ip any any

但是，我这里偷了个懒，就是192.168.0.0 也包含在允许通过的list中了。

sd20562 · 发表于 2012-4-27 15:20:42

我怎么看不懂你们写的是什么，来个高手指点一下呗！？？？？

liliguvic · 发表于 2012-4-28 10:09:55

access-list 100 permit icmp 192.168.0.0 0.0.0.15 host 172.16.1.10
access-list 100 permit icmp 192.168.0.16 0.0.0.3 host 172.16.1.10
access-list 100 permit icmp host 192.168.0.20 host 172.16.1.10
access-list 100 deny icmp 192.168.0.0 0.0.0.255 host 172.16.1.10
access-list 100 permit ip any any

就是首先允许192.168.0.0~192.168.0.20 ping 主机172.16.1.10. 然后禁止其他192.168.0.0/24 网段ping 172.16.1.10. 最后，需要允许所有其他数据包通过，因为默认是禁止所有

无名521 · 发表于 2012-4-28 14:20:28

楼上正解，写的非常对，如果可以加个类型的话，就更好了
access-list 100 permit icmp 192.168.0.0 0.0.0.15 host 172.16.1.10  echo
access-list 100 permit icmp 192.168.0.16 0.0.0.3 host 172.16.1.10  echo
access-list 100 permit icmp host 192.168.0.20 host 172.16.1.10 echo
access-list 100 deny icmp 192.168.0.0 0.0.0.255 host 172.16.1.10  echo
access-list 100 permit ip any any

sd20562 · 发表于 2012-4-29 09:42:27

领教了，记录下来。

sd20562 · 发表于 2012-4-29 09:52:39

无名521 发表于 2012-4-28 14:20
楼上正解，写的非常对，如果可以加个类型的话，就更好了
access-list 100 permit icmp 192.168.0.0 0.0.0. ...

不过我觉得这样是正确的
access-list 100 permit ip 192.168.0.1 0.0.0.15 host 172.16.1.10
access-list 100 permit ip 192.168.0.17 0.0.0.3 host 172.16.1.10
access-list 100 deny icmp 192.168.0.0 0.0.0.255 host 172.16.1.10
access-list 100 permit ip any any

liliguvic · 发表于 2012-4-29 10:44:38

感谢楼上，加上echo真的很妙

七曜 · 发表于 2012-4-29 14:33:29

sd20562 发表于 2012-4-29 09:52
不过我觉得这样是正确的
access-list 100 permit ip 192.168.0.1 0.0.0.15 host 172.16.1.10
access-l ...

亲··你192.168.0.1和192.168.0.17是不是有点问题呢···自己想一下·

thk11 · 发表于 2012-4-29 15:17:07

无名521 发表于 2012-4-28 14:20
楼上正解，写的非常对，如果可以加个类型的话，就更好了
access-list 100 permit icmp 192.168.0.0 0.0.0. ...

echo干什么用的呢？请教一下。
还有，为什么不用access-list 100 permit ip ，
而是用access-list 100 permit icmp ？
是因为题目要求是“ping通”吗？

无名521 · 发表于 2012-4-30 10:39:08

ping 是基于ICMP的，echo包是ping的请求，echo reply是ping的应答

账号		自动登录	找回密码
密码			论坛注册

[已解决] 关于ACL的问题

浏览过的版块

客服中心

投诉建议