ACL的问题

jtbg012

本实验拒绝PC2 所在网段访问路由器R2,同时只允许主机PC3 访问路由器R2 的TELNET
服务。整个网络配置EIGRP 保证IP 的连通性。
但在拒绝pc2访问r2时，pc2也不能访问r3和pc3了
acl配置
access-list 1 deny 172.16.1.0 0.0.0.255
R2(config)#access-list 1 permit any
R2(config)#interface Serial0/0/0
R2(config-if)#ip access-group 1 in

Hidden

默认acl拒绝所有，在拒绝R2后应该permit ip any any

王程腾

首先你的图中好像都没有R3，假设你的R1就是你说的R2，当你在R1入方向应用的你的ACL规则之后，当PC2的流量从R0交给R1之后，R1就会查看规则，R1一看第一条规则，发现是PC2的网段，于是直接将数据包丢弃，这整个过程中，路由器R1压根就不关心这个数据时交给谁的，只要收到是PC2网段的数据，就直接拒绝了，所以，你的PC2访问不了R1，同时也访问不了PC3

jtbg012

王程腾 发表于 2019-1-30 01:05
首先你的图中好像都没有R3，假设你的R1就是你说的R2，当你在R1入方向应用的你的ACL规则之后，当PC2的流量从 ...

我明白你的意思了，只要是pc2的包通过R2都拒绝，不管你是到R2,R3路由器。但题意是拒绝pc2所在网段访问路由器R2，隐含的意思是没有拒绝PC2访问R3和PC3.用命令写不出来是不？

jtbg012

这是ccnp的ACL标准试验，看来还是不严谨

王程腾

jtbg012 发表于 2019-2-1 10:23
我明白你的意思了，只要是pc2的包通过R2都拒绝，不管你是到R2,R3路由器。但题意是拒绝pc2所在网段访问路 ...

用标准的ACL好像写不出来（PS：我写不出来），就像你的写法，PC2网段的数据一到路由器2匹配到第一条规则就丢弃数据并停止匹配后续的规则了，后面写再多的规则，还是拒绝。如果是高级ACL就可以写出来，个人理解，有错误可以指出

王程腾

最喜欢讨论这些问题，有问题可以多讨论，共同进步

jtbg012

同解，应该用标准ACL是写不出来的

jtbg012

第一条规则就决定了，后面再多的同意都无效，还是觉得是CCNP实验的不严谨

jtbg012

你工作是做什么方面的？方便加个微信和QQ?