acl问题

王明皓 · 发表于 2014-2-13 12:48:36

要求172.16.3.1不能ping 10.1.1.1 可以ping通172.16.1.1
三台路由器相连，最左边路由器r1连10网段和172网段主机172.16.1.1和10.1.1.1，最右边路由器r3连172网段主机172.16.3.1，
我在r1上做acl如下：
access-list 101 deny tcp 172.16.3.1 0.0.0.255 host 10.1.1.1
access-list 101 permit ip any any
int f0/0
ip access-group 101 in
acl没成功！
但给了下配置：
access-list 101 permit tcp 172.16.3.1 0.0.0.255 host 172.16.1.1
access-list 101deny ip any any
int f0/0
ip access-group 101 in

这样就成功了
我想问下第一种为什么没成功？？

lulang35 · 发表于 2014-2-13 14:28:25

两种都不能达到要求吧！第一种是两个都能PING通，第二种是两个都不能PING通。

王明皓 · 发表于 2014-2-13 14:31:30

没有第二种达到要求了，所以我迷茫了

lulang35 · 发表于 2014-2-13 14:31:55

access-list 101 deny icmp 172.16.3.0 0.0.0.255 host 10.1.1.1
access-list 101 permit ip any any
int f0/0
ip access-group 101 in

lulang35 · 发表于 2014-2-13 14:34:27

因为PING使用的是ICMP，不是TCP，你的第一种做法是禁止了TCP，放行其他所有，所以都能PING通。第二种做法是放行TCP ，禁止其他所有，两个都PING不通。

王明皓 · 发表于 2014-2-13 14:34:46

正常我也知道这样，可是没成功

王明皓 · 发表于 2014-2-13 14:35:57

我就一顿改，就最后那个成i功了，还是我认为不该成公的，所以我迷茫了

lulang35 · 发表于 2014-2-13 14:36:56

你使用什么模拟器的？我刚做过了，是可以的。

王明皓 · 发表于 2014-2-13 14:38:19

pkt啊，你用的gns3？

lulang35 · 发表于 2014-2-13 14:39:48

我也是用PKT的啊。

lulang35 · 发表于 2014-2-13 14:40:09

你把图发上来看下。

王明皓 · 发表于 2014-2-13 14:40:39

你是用我说的拓补？是的话我就再试试

王明皓 · 发表于 2014-2-13 14:45:03

发完了，重新发了个贴

yg4638 · 发表于 2014-2-15 23:39:38

lulang35 发表于 2014-2-13 14:34
因为PING使用的是ICMP，不是TCP，你的第一种做法是禁止了TCP，放行其他所有，所以都能PING通。第二种做法是 ...

你说的不对，他那个条目的后面没有指定TCP、UDP或ICMP，所以，是匹配的所有从源到目的的流量

yg4638 · 发表于 2014-2-15 23:41:53

王明皓发表于 2014-2-13 14:35
我就一顿改，就最后那个成i功了，还是我认为不该成公的，所以我迷茫了

第二个那么做是肯定会成功的，允许了从172.16.3.1到172.16.1.1的流量，阻止了所有其它流量，所以，没有匹配第一条的肯定都被第二条阻止了，我现在是没明白你第一次配置的那个为什么没生效，你的配置是正确的啊，该不会是你调用错接口了吧！把你的全部配置和拓扑发上来吧，发完了用站内信发给我网址链接，我给你看看，或者我如果不在线，你可以到我微博找我！

账号		自动登录	找回密码
密码			论坛注册

[已解决] acl问题

浏览过的版块

客服中心

投诉建议