2811 上的 Cisco 扩展 ACL 无法正常工作

2811 上的 Cisco 扩展 ACL 无法正常工作

我几乎可以肯定这是缺少关键组件或未正确声明/应用 ACL 的问题,但我无法自己找到解决方法。我试图做的是只允许 PC2 向 PC3 和 PC1 发送任何流量。本质上 PC4 应该无法访问 PC2。

由于我暂时无法发布图片,我将尝试解释一下拓扑结构,它非常简单。PC1 和 PC2 位于 SWITCH1 后面,SWITCH1 通过端口 f0/1 连接到 ROUTER0。左侧 PC3 和 PC4 位于 SWITCH2 后面,SWITCH2 通过端口 f0/0 连接到 ROUTER0。IP 如下:

  • PC1 11.0.0.2/8 并连接到 SWITCH1 上的 f0/1
  • PC2 11.0.0.3/8 并连接到 SWITCH1 上的 f0/2
  • PC3 10.0.0.2/8 并连接到 SWITCH2 上的 f0/1
  • PC4 10.0.0.3/8 并连接到 SWITCH2 上的 f0/2
  • ROUTER0 f0/0 10.0.0.1/8 并连接到 SWITCH2 上的 f0/24
  • ROUTER0 f0/1 10.0.0.2/8 并连接到 SWITCH1 上的 f0/24

现有的 ACL 如下:

ip access-list extended NSL1
 permit ip host 11.0.0.3 host 10.0.0.2

问题是拓扑左侧的设备(PC1 和 2)无法再 ping 11.0.0.1 或 10.0.0.1,而在实施 ACL 之前它们可以这样做。它给出“目标主机不可访问。”错误。PC1 也无法 ping 路由器上或路由器右侧的任何东西,但我知道那是因为我还没有为它添加许可语句。任何帮助都将不胜感激。我认为这应该是一个简单的修复,但我不知道,因为我对 Cisco IOS 没有太多经验。

以下是 ROUTER0 的完整运行配置。

Router>
Router>en
Router#sh run
Building configuration...

Current configuration : 579 bytes
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname Router
!
!
!
!
!
!
!
!
!
!
!
!
!
!
spanning-tree mode pvst
!
!
!
!
interface FastEthernet0/0
  ip address 10.0.0.1 255.0.0.0
  duplex auto
  speed auto
!
interface FastEthernet0/1
  ip address 11.0.0.1 255.0.0.0
  ip access-group NSL1 in
  duplex auto
  speed auto
!
interface Vlan1
  no ip address
  shutdown
!
ip classless
!
!
ip access-list extended NSL1
 permit ip host 11.0.0.3 host 10.0.0.2
!
!
!
!
!
line con 0
 line vty 0 4
 login
!
!
!
end

答案1

您的访问列表指定11.0.0.3为源和10.0.0.2目标 -f0/1不允许进入接口的其他流量(并且我认为他们发送 ICMP 不可达信息而不是丢弃数据包有点奇怪,但事实就是如此)。

如果您想允许对路由器的 IP 进行 ping 操作,您还需要将其放入 ACL 中:

ip access-list extended NSL1
 permit ip host 11.0.0.3 host 10.0.0.2
 ! let it communicate with the other interface's routed IP:
 permit ip host 11.0.0.3 host 10.0.0.1
 ! let's just allow it to hit anything else in its subnet; might as well, right?
 permit ip host 11.0.0.3 11.0.0.0 0.255.255.255

请注意,只有11.0.0.3现在才能够使用此 ACL 进行 ping 操作;您11.0.0.2也需要明确允许。

相关内容