‹‹ 上一主题 | 下一主题 ››
发新话题
打印

[求助] 请教一个访问控制列表的问题

czf1101

助理

Rank: 2

积分
72 
威望
3  
IT币
182 个 
鲜花
0 朵 
1#楼 发表于 2007-1-10 19:12  只看该作者

请教一个访问控制列表的问题

路由器r1,fe0/0连接一个192.168.0.0网段的局域网,s0连接211.69.0.0网段的网络。如果允许192.168.0.2主机可以ping通211.69.0.2,但是不允许211.69.0.2ping通192.168.0.2主机,请问访问控制列表该如何配置?

TOP

godlyholy

试用期

Rank: 1

积分
威望
0  
IT币
0 个 
鲜花
0 朵 
2#楼 发表于 2007-1-23 12:09  只看该作者
acc 100 permit icmp 192.168.0.2 0.0.0.255 host 211.69.0.2
这样就ok了,在cisco的acl下面如果你最后没有说明的话就是默认deny所有所以写一条就ok了.

TOP

zjcyc

试用期

Rank: 1

积分
威望
0  
IT币
1 个 
鲜花
0 朵 
3#楼 发表于 2007-1-27 10:22  只看该作者
楼上的的确可以实现要求,可是缺省的deny ip any any会把所有的其他应用都屏蔽掉,这样没有实际用途阿。如果其他的应用只是tcp或udp,可以加上permit tcp/udp any any。这样会好一点。可是如果是其他应用,如GRE,ipsec等等,不知道如何解决。请高手指导。

TOP

zjcyc

试用期

Rank: 1

积分
威望
0  
IT币
1 个 
鲜花
0 朵 
4#楼 发表于 2007-1-27 13:53  只看该作者
抱歉,刚才那篇回复不对,楼上的要把acl应用在IN的方向,所以不能完成楼主的要求。我想应该是用自反ACL。这样最好。命令的格式我不记得了。等我查查再贴上来。呵呵

TOP

myzhufenglin

试用期

Rank: 1

积分
19 
威望
0  
IT币
0 个 
鲜花
0 朵 
5#楼 发表于 2007-2-1 20:45  只看该作者
好象不对吧~!!!好久没有配过CISCO的设备了!

TOP

mat2007

试用期

Rank: 1

积分
17 
威望
0  
IT币
6 个 
鲜花
0 朵 
6#楼 发表于 2007-2-12 02:35  只看该作者
我觉得这需要写个动态列表,使192.168.0.2发起的PING可以返回,但对方不能主动PING192.168.0.2.
可以上思科网站查一下具体配法.

TOP

gaobin1982

助理

Rank: 2

积分
35 
威望
0  
IT币
9 个 
鲜花
0 朵 
7#楼 发表于 2007-2-12 16:42  只看该作者
acc 100 deny icmp   192.168.0.2 0.0.0.0 host 211.69.0.2
acc 100 permit any any

interface s0
access-list group 100 in

TOP

bp4545it

试用期

Rank: 1

积分
14 
威望
0  
IT币
0 个 
鲜花
0 朵 
8#楼 发表于 2007-3-29 00:53  只看该作者
acc 100 deny icmp  host 211.69.0.2 192.168.0.2 0.0.0.0 eq echo
acc 100 permit icmp any any
int s0
ip access-group 100 in
or
acc extended ain
evoluate test
deny ip any any
acc extended aout
permit tcp any any relective test
permit udp any any relective test
permit icmp any any relective test
deny ip any any
int s0
ip access-group ain in
ip access-group aout out

TOP

‹‹ 上一主题 | 下一主题 ››
发新话题