求大神解答

sunnysky

vlan1的网关为192.168.1.1，vlan2的网关为192.168.1.65，vlan3的网关为192.168.1.129，内网中配置了RIP

协议使内部网络可以通信，在配置PAT时，怎在路由器上设置access-list使只能让vlan2的pc1访问外网pc3？（未配置PAT之前三个vlan的主机均能访问外网pc3）

file:///c:/users/dickr/appdata/roaming/360se6/User Data/temp/5882b2b7d0a20cf463d3d19973094b36acaf9930.jpg

file:///c:/users/dickr/appdata/roaming/360se6/User Data/temp/5882b2b7d0a20cf463d3d19973094b36acaf9930.jpg

gkilometre

1、ip classless是路由器默认的命令，不是我敲得；
2、单从题面来看，不做默认路由，也是可以ping通的，但是在实际的现网应用中，你的内网要访问的外网，肯定不会和路由的外网接口在一个子网，所以要加默认路由；
3、配置成下一跳地址也可以，cisco的路由器配置成出接口也没有问题，其他厂家的路由器多数是不支持静态路由配置出接口的。

gkilometre

Router0(config)#access-list 10 permit 192.168.1.64 0.0.0.63
在Router0的Fa0/1口做：
Router0(config-if)#ip access-group 10 out   

以上命令在3560上做也可以，做在3560的Fa0/2口。

Rockyw

路过了解一下

sunnysky

gkilometre 发表于 2015-5-7 09:44
Router0(config)#access-list 10 permit 192.168.1.64 0.0.0.63
在Router0的Fa0/1口做：
Router0(config- ...

这样还是不行，三层交换机显示如图：

pc1显示如图：

路由器上的配置命令：
Router(config)#access-list 1 permit 192.168.1.64 0.0.0.63
Router(config)#int f0/1
Router(config-if)#ip access-group 1 out
Router(config-if)#^Z
Router#

gkilometre

sunnysky 发表于 2015-5-7 12:37
这样还是不行，三层交换机显示如图：

pc1显示如图：

我做的有问题，没注意有PAT，把刚才那个ACL做在三层交换机的Fa0/2口，不要做在路由器的Fa0/1口。
你这个VLAN划分有点问题，VLAN1是本地VLAN，最好不要划分给子网。

心若水

把你详细的配置粘上来看看

gkilometre

附件是配置，和楼主的稍有不同，PC0、PC1、PC2用的VLAN 2、VLAN 3、VLAN 4，VLAN 1是本地VLAN，用于三层交换和路由器之间的连接，ACL做在VLAN 1上。

sunnysky

gkilometre 发表于 2015-5-8 20:56
我做的有问题，没注意有PAT，把刚才那个ACL做在三层交换机的Fa0/2口，不要做在路由器的Fa0/1口。
你这个 ...

郁闷啊，刚连上网，我试了一下，在三层交换机的f0/2口还是不行，不过我在路由器的f0/1口上这样设置就行了：
Router(config)#access-list 1  deny 192.168.1.0 0.0.0.63
Router(config)#access-list 1  deny 192.168.1.128 0.0.0.63
Router(config)#access-list 1 permit any
Router(config)#^Z

sunnysky

gkilometre 发表于 2015-5-9 12:13
附件是配置，和楼主的稍有不同，PC0、PC1、PC2用的VLAN 2、VLAN 3、VLAN 4，VLAN 1是本地VLAN，用于三层交 ...

谢谢你，又让我多了一条思路，不过这个题目要求的是在边界路由器上做access-list，谢谢你的回答！

gkilometre

sunnysky 发表于 2015-5-9 16:46
谢谢你，又让我多了一条思路，不过这个题目要求的是在边界路由器上做access-list，谢谢你的回答！

在边界路由器上做也可以，但必须在f0/0口做，而且要用扩展ACL做，就是序号100以上的。f0/1口你做了，能限制其他两台电脑访问外网？如果能限制，那说明你的PAT根本就不好使。
access-list 100 permit ip any 192.168.1.0 0.0.0.255
access-list 100 permit ip 192.168.1.64 0.0.0.63 any
!
这是我做的ACL，用于边界路由器f0/0端口。
ip access-group 100 in

gkilometre

sunnysky 发表于 2015-5-9 16:46
谢谢你，又让我多了一条思路，不过这个题目要求的是在边界路由器上做access-list，谢谢你的回答！

我又考虑一下，不是你的题有问题，就是你做的有问题。
PAT是网络地址转换，是把私网地址转换为公网地址。
在没做PAT之前，PC0、PC1、PC2应该ping不通PC3才对，因为私网路由是不被公网的路由器所知道的。
因为在实际的使用中，和你的路由器相邻的一定不是PC3，而是另一个路由器。
这个路由器的默认路由一定不会是你的私网路由器，也就是说直接ping内网的IP地址应该是ping不通的。
在你的拓扑中，如果你的PAT配置成功的话，PC3是不需要配置网关的，
PC0、PC1、PC2可以ping通PC3，但PC3是ping不通PC0、PC1、PC2。
你只需要做一个ACL即可，如下：
ip nat inside source list 1 interface GigabitEthernet0/1 overload
ip classless
ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/1
!
!
access-list 1 permit 192.168.1.64 0.0.0.63
!
!
记住，PC3不要配置网关，因为服务器的默认路由永远不会指向一个私网路由器。
附件里是我重新配置的数据，这次PC3是没有网关的。

sunnysky

恩恩，你说得对，谢谢大神，解决啦，还有几个问题想问你，我的路由器上ip classless没有起来（全局mode下），提示无效命令，但pc1也可以ping通pc3,你的可以起来吗，还有ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/1 这条命令，不加也可以的，而且默认路由的最后一个地址不应该是下一跳地址吗，为什么是GigabitEthernet0/1这个路由器上的接口呢？

sunnysky

gkilometre 发表于 2015-5-9 20:39
我又考虑一下，不是你的题有问题，就是你做的有问题。
PAT是网络地址转换，是把私网地址转换为公网地址 ...

恩恩，你说得对，谢谢大神，解决啦，还有几个问题想问你，我的路由器上ip classless没有起来（全局mode下），提示无效命令，但pc1也可以ping通pc3,你的可以起来吗，还有ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/1 这条命令，不加也可以的，而且默认路由的最后一个地址不应该是下一跳地址吗，为什么是GigabitEthernet0/1这个路由器上的接口呢？

gkilometre

sunnysky 发表于 2015-5-9 23:40
恩恩，你说得对，谢谢大神，解决啦，还有几个问题想问你，我的路由器上ip classless没有起来（全局mode ...

单纯做题来看，不加默认路由也可以ping通，但是在实际的现网中，PC3的位置是另一个路由器（运营商的公网路由器），你的内网访问的应该是互联网的某个服务器，这个服务器的子网肯定不会是202.98.6.0这个网段的，所以在实际的现网应用中，都会加默认路由。

配置下一跳地址是对的，但是Cisco的路由器也可以通过配置出接口来配置静态路由、NAT，其他的路由器厂家大部分都不支持这么配置。