网络:Cisco 2921。两个子网。192.168.1.0/24 和 2.0/24。
由于某种原因,我无法进行子网间通信。
我将具有以下语句的 ACL 绑定到每个子网的入站接口。
在 Gi0/0 (1.0/24) 上,我将“access-list 101 permit ip 192.168.2.0 0.0.0.255 any”应用于入站接口。
在 Gi0/1 (2.0/24) 上,我将“access-list 102 permit ip 192.168.1.0 0.0.0.255 any”应用于入站接口。
当我这样做时,DHCP 停止工作,互联网有时也停止工作,所以我删除了它们。
我在数据包追踪器中执行了此操作,并且 100% 成功。为什么它在真正的路由器上不起作用?
运行配置:
Current configuration : 2608 bytes
!
! Last configuration change at 15:22:51 UTC Mon Feb 18 2013
! NVRAM config last updated at 17:41:03 UTC Sun Feb 17 2013
! NVRAM config last updated at 17:41:03 UTC Sun Feb 17 2013
version 15.1
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R1
!
boot-start-marker
boot-end-marker
!
!
enable secret 5 xxxxxx
enable password xxxxxx
!
no aaa new-model
!
no ipv6 cef
ip source-route
ip cef
!
!
!
ip dhcp excluded-address 192.168.2.1
ip dhcp excluded-address 192.168.2.1 192.168.2.99
ip dhcp excluded-address 192.168.2.1 192.168.2.50
!
ip dhcp pool DHCP_POOL
network 192.168.2.0 255.255.255.0
default-router 192.168.2.1
dns-server 8.8.8.8
domain-name subnet2.local
!
!
ip name-server 8.8.8.8
ip name-server 8.8.4.4
multilink bundle-name authenticated
!
!
!
!
!
crypto pki token default removal timeout 0
!
!
voice-card 0
!
!
!
!
!
!
!
license udi pid CISCO2921/K9 sn FTX1703AHBN
hw-module pvdm 0/0
!
!
!
!
redundancy
!
!
ip ftp username xxxxxxx
ip ftp password xxxxx
!
!
!
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
ip address 192.168.1.1 255.255.255.0
ip access-group 5 out
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
no mop enabled
!
interface GigabitEthernet0/1
ip address 192.168.2.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
!
interface GigabitEthernet0/2
ip address xxxxxxxxxxx 255.255.255.248
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip nat inside source list 1 interface GigabitEthernet0/2 overload
ip nat inside source list 2 interface GigabitEthernet0/2 overload
ip route 0.0.0.0 0.0.0.0 108.162.28.169
ip route 192.168.1.0 255.255.255.0 GigabitEthernet0/0
ip route 192.168.2.0 255.255.255.0 GigabitEthernet0/1
!
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 2 permit 192.168.2.0 0.0.0.255
access-list 3 permit 192.168.2.0 0.0.0.255
access-list 3 permit 192.168.1.0 0.0.0.255
access-list 4 permit 192.168.1.0 0.0.0.255
access-list 5 permit any
access-list 101 permit ip 192.168.2.0 0.0.0.255 any
!
!
!
control-plane
!
!
!
!
mgcp profile default
!
!
!
!
!
gatekeeper
shutdown
!
!
!
line con 0
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport input all
transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
stopbits 1
line vty 0 4
password ********
login
transport input all
!
scheduler allocate 20000 1000
end
答案1
我相信您在 ACL 中混淆了入站和出站的概念。
如果接口 GigabitEthernet0/0 后面有 192.168.1.0/24 子网,那么为了允许该流量通过另一个接口,您将在 GigabitEthernet0/0 上添加以下 ACL,反之亦然。
访问列表 101 允许 ip 192.168.1.0 0.0.0.255 任意
访问列表 102 允许 ip 192.168.2.0 0.0.0.255 任意
通过限制流量去向,可以实现同样的效果(而且更加安全)。
访问列表 101 允许 ip 任何 192.168.2.0 0.0.0.255
访问列表 102 允许 ip 任何 192.168.1.0 0.0.0.255
如果您使用上述 ACL,则两个接口后面的两个网络将只能相互通信……就是这样。
然后在 GigabitEthernet0/0 配置中:
ip 访问组 101
在 GigabitEthernet0/1 上:
ip 访问组 102
入站和出站始终基于数据包首先到达的接口。
为了更好地理解处理 ACL 和入站/出站问题,假设您是路由器和/或防火墙。
您(路由器)是否允许 IP 为 192.168.1.10 的数据包通过您的接口 Gi0/0 发往您?
是的,该接口上的 ACL 允许这样做;
访问列表 101 允许 ip 192.168.1.0 0.0.0.255 任意
或者
访问列表 101 允许 ip 任何 192.168.2.0 0.0.0.255
如果您在出站上设置了 ACL,那么问题将是;
您是否允许来自 192.168.1.10 的数据包离开您的接口 Gi0/0?
一旦允许该流量,当它们都在同一台设备上时,您无需在目标接口上添加 ACL。