ACL问题，实在想不通

ain017

                               
登录/注册后可看大图

做ACL实验：扩展ACL，Router1 ( loopback为2.2.2.2 ) 只允许PC1访问telnet(23端口)
命令在Router1上这么配置：Router(config)#access-list 100 permit tcp 10.1.2.0 0.0.0.255 host 2.2.2.2 eq 23
完了之后部署到Router1的s1/0口
但是PC0和PC1都不能telnet Router1
后来看书要把Router1的s1/0口的IP地址也permit了
最后还是不行，啊啊啊！！！我要疯了

卡西诺

你那个con line 0 4
         login
         password 配置了没？

S1/0的ip不用permit

rebecca

有没有在最后写上permit ip any any？
如果没有，那就会deny全部的

ain017

rebecca 发表于 2011-6-25 21:08

                               
登录/注册后可看大图

有没有在最后写上permit ip any any？
如果没有，那就会deny全部的

你说的和视频上讲的一样，是这么回事，真是太感谢了

mike

乱讲，permit any any 了你还设置ACL干什么，你是能telnet上去，但是你也能ping通，还能http等，满足题目要求吗？

hechaoqian

我怎么看不到图片

公子Achilles

楼主把图再发一遍吧，图挂了

ain017

mike 发表于 2011-6-26 18:10

                               
登录/注册后可看大图

乱讲，permit any any 了你还设置ACL干什么，你是能telnet上去，但是你也能ping通，还能http等，满足题目要 ...

我看视频，关于ACL是这样的：它的过滤是用判断的，不是比较。先经过我们定义的ACL过滤规则后，必须再设置一个permit any any，意思就是满足过滤条件的全部permit，不满足的默认全部丢弃，如果不设置permit any any，那么就算满足的了过滤列表，接下来路由器还是会按照默认的情况丢弃，等于没设置，不知道我的表达正确不，请多多指教

mike

实践出真知，你自己做实验试下，per 一条后什么都不写，看你per 的那条能实现不，即可证明你的说法是正确的还是错误的。
之所以常加permit any any 是前面写的全是deny 语句，作用是除了deny的之外全部允许通过。