关于access-list的问题

蛋抹绿慢灵魂

我的目的是要让公司内部所有的IP都不能访问ping通192.168.11.33

然后我就测试 写了
access-list 1 deny host 192.168.2.8
access-list 1 permit any



然后在192.168.11.33这个地址的switch端口上加入
ip access-list 1 in



用2.8ping11.33结果ping通了。而且有时候会让11.33断网。不知道我哪里逻辑错了。求大神支招

azqqaz

应该用扩展吧！　access-list 100 deny ip 192.168.2.0 0.0.0.255 host 192.168.11.33
                        access-list 100 permit any any
而且应该应用在连11.33设备的出接口。

egegeg

你试下在2.8这个端口in  或者在11.33这个端口out看看

Mr.黄瓜

switch端口？那个switch端口有ip地址吗？是不是配了什么子接口？

kotoyh

额 多层交换机么？

luori

蛋抹绿慢灵魂

Mr.黄瓜 发表于 2013-6-4 18:36
switch端口？那个switch端口有ip地址吗？是不是配了什么子接口？

你好。是这样的，switch（2层交换机cisco2960）虽然没有网络层 不过可以添加ACL。那就是可以做IP层的限制，至于原理我也没搞懂。概念有点混

蛋抹绿慢灵魂

azqqaz 发表于 2013-6-4 17:55
应该用扩展吧！　access-list 100 deny ip 192.168.2.0 0.0.0.255 host 192.168.11.33
                   ...

It‘s nice of you。确实在2.8的端口in就能ping不通。我想实现几个2.8能ping不通11.33而11.33能ping通2.8这个有可能实现吗

蛋抹绿慢灵魂

egegeg 发表于 2013-6-4 17:57
你试下在2.8这个端口in  或者在11.33这个端口out看看

我ip access-list 100 in是可以的。但是out就不存在
我打ip access-list 100 ？ 出来的只有in  没有out这个选项

蛋抹绿慢灵魂

kotoyh 发表于 2013-6-4 18:44
额 多层交换机么？

2层交换机 cisco2960

ititie

2 、3 楼的意见都可以

蛋抹绿慢灵魂

ititie 发表于 2013-6-5 10:13
2 、3 楼的意见都可以

我试过了。但是这样做就双方都ping不通呀。怎么做到11.33能ping通2.8   2.8不能ping通11.33

ititie

蛋抹绿慢灵魂 发表于 2013-6-5 10:00
我ip access-list 100 in是可以的。但是out就不存在
我打ip access-list 100 ？ 出来的只有in  没有out这 ...

你说的是ip access-group吧，2960是这样的
没out ，正常

ititie

蛋抹绿慢灵魂 发表于 2013-6-5 10:17
我试过了。但是这样做就双方都ping不通呀。怎么做到11.33能ping通2.8   2.8不能ping通11.33

好吧，需求还挺特别。 满足扩展+in的做法，主要是你要想acl的写法了，哪个是源，哪个是目的。
还有你说的ping 一去一回的问题，写的deny ip的，自然就不通了

蛋抹绿慢灵魂

ititie 发表于 2013-6-5 10:31
好吧，需求还挺特别。 满足扩展+in的做法，主要是你要想acl的写法了，哪个是源，哪个是目的。
还有你说的 ...

嘿嘿。就是想让我们IT的电脑不能给别人访问。我在看看书，这里面的原理还是没能搞懂，身为IT人员惭愧