设了ACL就PING不通，求教

alexbebezhu · 发表于 2012-7-16 21:54:53

access-list 101 permit ip host 192.168.1.1 host 10.86.113.107
access-list 101 permit ip host 192.168.1.1 host 10.86.111.53

int f0/0
ip access-group 101 in

做了以上设置后，192.168.1.1 ping 不通10.86.111.53 不解，求教大神们！！！PC机都设好网关了
今天帮客户做的，弄也这个样。。。。晕死，急啊，求教

lp1230 · 发表于 2012-7-17 00:22:34

lp1230 · 发表于 2012-7-17 00:22:57

alexbebezhu · 发表于 2012-7-16 22:00:14

ip access-group 101 in 换成 ip access-group 101 out 就通了。。。求教，为什么？？？

i-duzy · 发表于 2012-7-16 22:12:50

出去就out，进来的流量就in呗。。。

klarkchen · 发表于 2012-7-16 22:40:23

- - in out 看图就知道了吧...

lzx911102 · 发表于 2012-7-16 22:23:05

夜之子、 · 发表于 2012-7-16 22:26:24

星星星ILT · 发表于 2012-7-16 22:31:05

in和out写反了

星星星ILT · 发表于 2012-7-16 22:31:43

注意，In和Out都是相对于路由器而言的。

1003894 · 发表于 2012-7-16 23:45:02

分析过程
你在f0/0上用ip access-group 101 in，就是检查f0/0的入站包，也就是检查由10.86.111.53发来的包（f0/0只连了10.86.111.53）
ping包从左边主机出发，到达router，f0/1、f0/0均不作处理，直接转给右边主机
右边主机回应ping的包，到达router，f0/0的ACL执行检查，结果两条语句不匹配，执行最后的默认deny
所以ping不通

alexbebezhu · 发表于 2012-7-17 00:04:56

谢谢LS的，解释的太好了

散步的猫 · 发表于 2012-7-17 15:43:23

in检查端口入的数据包
out检查从端口出的数据包

alexbebezhu · 发表于 2012-7-17 19:58:42

分析过程
你在f0/0上用ip access-group 101 in，就是检查f0/0的入站包，也就是检查由10.86.111.53发来的包（f0/0只连了10.86.111.53）
ping包从左边主机出发，到达router，f0/1、f0/0均不作处理，直接转给右边主机
右边主机回应ping的包，到达router，f0/0的ACL执行检查，结果两条语句不匹配，执行最后的默认deny
所以ping不通

分析的太好了

一息百年 · 发表于 2012-7-17 22:33:00

首先确认数据的流向和包的源和目的，由192.168.1.1去往10.86.111.53对于f0/1是in，f0/0是out，，所以应用在f0/0的ACL in对于发出的ping包没有任何影响
回包的过程源和目的对换，由10.86.111.53去往192.168.1.1对于f0/0是in，，ACL的源和目的反了，不匹配，但是ACL默认deny any，所以是ping不通的

这里有2种方法可以做通，将应用在f0/0的in改成out，或者将ACL的源和目的兑换就可以

账号		自动登录	找回密码
密码			论坛注册

[已解决] 设了ACL就PING不通，求教

相关帖子

浏览过的版块

客服中心

投诉建议