我几乎可以肯定这是缺少关键组件或未正确声明/应用 ACL 的问题,但我无法自己找到解决方法。我试图做的是只允许 PC2 向 PC3 和 PC1 发送任何流量。本质上 PC4 应该无法访问 PC2。
由于我暂时无法发布图片,我将尝试解释一下拓扑结构,它非常简单。PC1 和 PC2 位于 SWITCH1 后面,SWITCH1 通过端口 f0/1 连接到 ROUTER0。左侧 PC3 和 PC4 位于 SWITCH2 后面,SWITCH2 通过端口 f0/0 连接到 ROUTER0。IP 如下:
- PC1 11.0.0.2/8 并连接到 SWITCH1 上的 f0/1
- PC2 11.0.0.3/8 并连接到 SWITCH1 上的 f0/2
- PC3 10.0.0.2/8 并连接到 SWITCH2 上的 f0/1
- PC4 10.0.0.3/8 并连接到 SWITCH2 上的 f0/2
- ROUTER0 f0/0 10.0.0.1/8 并连接到 SWITCH2 上的 f0/24
- ROUTER0 f0/1 10.0.0.2/8 并连接到 SWITCH1 上的 f0/24
现有的 ACL 如下:
ip access-list extended NSL1
permit ip host 11.0.0.3 host 10.0.0.2
问题是拓扑左侧的设备(PC1 和 2)无法再 ping 11.0.0.1 或 10.0.0.1,而在实施 ACL 之前它们可以这样做。它给出“目标主机不可访问。”错误。PC1 也无法 ping 路由器上或路由器右侧的任何东西,但我知道那是因为我还没有为它添加许可语句。任何帮助都将不胜感激。我认为这应该是一个简单的修复,但我不知道,因为我对 Cisco IOS 没有太多经验。
以下是 ROUTER0 的完整运行配置。
Router>
Router>en
Router#sh run
Building configuration...
Current configuration : 579 bytes
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname Router
!
!
!
!
!
!
!
!
!
!
!
!
!
!
spanning-tree mode pvst
!
!
!
!
interface FastEthernet0/0
ip address 10.0.0.1 255.0.0.0
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 11.0.0.1 255.0.0.0
ip access-group NSL1 in
duplex auto
speed auto
!
interface Vlan1
no ip address
shutdown
!
ip classless
!
!
ip access-list extended NSL1
permit ip host 11.0.0.3 host 10.0.0.2
!
!
!
!
!
line con 0
line vty 0 4
login
!
!
!
end
答案1
您的访问列表指定11.0.0.3为源和10.0.0.2目标 -f0/1不允许进入接口的其他流量(并且我认为他们发送 ICMP 不可达信息而不是丢弃数据包有点奇怪,但事实就是如此)。
如果您想允许对路由器的 IP 进行 ping 操作,您还需要将其放入 ACL 中:
ip access-list extended NSL1
permit ip host 11.0.0.3 host 10.0.0.2
! let it communicate with the other interface's routed IP:
permit ip host 11.0.0.3 host 10.0.0.1
! let's just allow it to hit anything else in its subnet; might as well, right?
permit ip host 11.0.0.3 11.0.0.0 0.255.255.255
请注意,只有11.0.0.3现在才能够使用此 ACL 进行 ping 操作;您11.0.0.2也需要明确允许。