如何实现两个路由器之间只允许vlan50数据通过？

myckjx

vlan50---192.168.50.0/24
R1(s0/1)---(s0/1)R2
路由器之间运行OSPF，我试着用ACL解决：R1:
(config)#ip access-list 101 permit  ip 192.168.50.0 0.0.0.255 any
(config)#int s0/1
(config-if)#ip access-group 101 out

R2:同上

做完以后发现OSPF邻居down了，取消ACL后才能full，怎么做才能实现呢？

ghostfoetus

access list 最后一行会自动block 了所有traffic, 你也可以在最后加句ip access-list 102 permit ospf any any

Rockyw

串口没vlan的概念吧，另外这是要实现什么需求？

zhysq45666

给vlan打tag试试

Q9966

Need to allow OSPF interface IP address, if S0/1 is not in 192.168.50.0/24.

myckjx

Rockyw 发表于 2016-12-27 22:05
串口没vlan的概念吧，另外这是要实现什么需求？

只允许分部vlan50的用户可以访问总部

广州华尔思

ospf邻居建立 和 路由更新 过程中都会涉及到OSPF的相关报文，您要允许这些OSPF报文通过，才不会导致邻居关系down；
思科ACL默认是拒绝所有报文通过的；
所以，您需要在ACL中添加一条语句允许ospf报文通过，如：permit ospf any any
有问题找何老师【Q 1052887325】

myckjx

广州华尔思 发表于 2016-12-29 12:11
ospf邻居建立 和 路由更新 过程中都会涉及到OSPF的相关报文，您要允许这些OSPF报文通过，才不会导致邻居关 ...

谢谢，您的方法我会试试的，目前已经找到别的解决办法，在边界路由器上使用路由过滤。
ip Extended access-list 101
permit  ip 192.168.50.0 0.0.0.255 any
deny ip any any


route-map map1 permit 10
match ip address 101


router rip
version 2
redistribute rip metric 2 metric-type 1 subnets route-map map1


这样分公司的rip路由器就只能学到总部的vlan50网段了。

广州华尔思

myckjx 发表于 2016-12-29 12:31
谢谢，您的方法我会试试的，目前已经找到别的解决办法，在边界路由器上使用路由过滤。
ip Extended acce ...

您这个是在将RIP路由重分布进OSPF时进行指定了，只将192.168.50.0 进行重分布。可能用标准ACL匹配比较好点。