我几乎是积极的,这是一个缺less关键组件或没有正确声明/应用ACL的问题,但我无法自己弄清楚这个问题。 我想要做的只是让PC2发送任何stream量到PC3和PC1。 基本上PC4应该是PC2无法访问的。
由于我无法发布图像,我将尝试解释非常简单的拓扑结构。 PC1和PC2在SWITCH1的后面,SWITCH1在端口f0 / 1上连接到ROUTER0。 在左侧,PC3和PC4在SWITCH2的后面,而SWITCH2在端口f0 / 0上连接到ROUTER0。 IP如下:
现在存在的ACL如下所示:
ip access-list extended NSL1 permit ip host 11.0.0.3 host 10.0.0.2 问题是拓扑(PC1&2)左侧的设备在能够实施ACL之前,不能再ping 11.0.0.1或10.0.0.1。 它给“目的地主机无法访问”。 错误。 PC1也不能ping任何东西在路由器的右边,但是我知道那是因为我还没有放入permit语句。 任何帮助将不胜感激。 我认为这应该是一个简单的修复,但我不知道,因为我没有太多的Cisco IOS经验。
以下是ROUTER0的完整运行configuration。
Router> Router>en Router#sh run Building configuration... Current configuration : 579 bytes ! version 12.4 no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption ! hostname Router ! ! ! ! ! ! ! ! ! ! ! ! ! ! spanning-tree mode pvst ! ! ! ! interface FastEthernet0/0 ip address 10.0.0.1 255.0.0.0 duplex auto speed auto ! interface FastEthernet0/1 ip address 11.0.0.1 255.0.0.0 ip access-group NSL1 in duplex auto speed auto ! interface Vlan1 no ip address shutdown ! ip classless ! ! ip access-list extended NSL1 permit ip host 11.0.0.3 host 10.0.0.2 ! ! ! ! ! line con 0 line vty 0 4 login ! ! ! end
你的访问列表是指定11.0.0.3作为源和10.0.0.2作为目的地 – 其他stream量进入f0/1接口将不被允许(我认为这有点奇怪,他们发送ICMP的Unreachables而不是丢包,但你有它)。
如果你想允许ping到路由器的IP,你还需要把它们放在ACL中:
ip access-list extended NSL1 permit ip host 11.0.0.3 host 10.0.0.2 ! let it communicate with the other interface's routed IP: permit ip host 11.0.0.3 host 10.0.0.1 ! let's just allow it to hit anything else in its subnet; might as well, right? permit ip host 11.0.0.3 11.0.0.0 0.255.255.255
请注意,现在只有11.0.0.3能够使用此ACL进行ping操作; 你也需要明确地允许11.0.0.2 。