关于#acl#的问题,如何解决?(标签-服务器)

配置要求:
1.在router上部署基本ACL后,将试图穿越router的源地址为192.168.1.0/24网段的数据包过滤掉,并放行其他流量,从而禁止192.168.1.0 /24网段的用户访问router右侧的服务器网络;
2.配置高级ACL禁止PC1所在的研发部门和PC2所在的市场部门互访.
截图要求:
PC1ping通PC2和服务器;
2.PC1ping不通服务器但能ping通PC2,PC2能ping通服务器和PC1;
3.PC1ping不通PC2,ping不通服务器,

img

1、用基本acl deny 源为192.168.1.0/24
2、用高级acl deny 源为192.168.1.0/24 目的为 192.168.2.0/24

不知道你这个问题是否已经解决, 如果还没有解决的话:
  • 这篇博客: ACL控制流量的方法有很多,你又知道哪几种?中的 (二)需求二:要求PC1可以ping通PC3,但是不能ping通PC4 部分也许能够解决你的问题, 你可以仔细阅读以下内容或者直接跳转源博客中阅读:

    高级ACL列表的位置匹配规则---因为高级ACL列表进行了精确匹配,所以,不会出现误伤,在调用的时候应该尽量靠近源,减少资源的占用。

    [rl]acl name xuqiu2 3000 ---通过重命名的方式创建ACL列表

    [rl-acl-adv-xuqiu2]rule deny icmp source 192.168.1.2 0.0.0.0 destination 192.168

    .3.3 0.0.0.0

    [rl-GigabitEthernet0/0/0]traffic-filter inbound acl name xuqiu2 --- 通过名称进行调用

  • 以下回答来自chatgpt:

    同时实现限制某些端口的访问和允许其他所有流量的通信,可以使用基本ACL和高级ACL相结合的方式进行配置。

    基本ACL配置:

    1. 创建基本ACL:使用命令access-list access-list-number {permit | deny} source [source-wildcard],其中access-list-number指定ACL列表编号(建议从1开始),source指定源IP地址,source-wildcard指定源IP地址的匹配掩码。根据具体情况,创建多个规则逐一匹配。 例如:
    Router(config)# access-list 1 deny host 10.0.0.1
Router(config)# access-list 1 permit 192.168.0.0 0.0.255.255
Router(config)# access-list 1 permit any

    表示拒绝访问IP地址为10.0.0.1的主机,允许来自192.168.0.0/16网段的访问,同时允许所有其他流量。

    1. 将ACL应用于接口:使用命令interface interface-type interface-number和ip access-group access-list-number {in | out},其中access-list-number指定要应用的ACL列表编号,in表示应用于入站流量,out表示应用于出站流量。可以同时应用多个ACL(从低到高顺序生效)。 例如:
    Router(config)# interface GigabitEthernet0/0/1
Router(config-if)# ip access-group 1 in
Router(config-if)# ip access-group 2 out

    表示将编号为1的ACL应用于该接口的入站流量,将编号为2的ACL应用于该接口的出站流量。

    高级ACL配置:

    1. 创建高级ACL:使用命令acl number,在ACL配置模式下创建规则,其中number指定ACL列表编号,通常使用100以上的数值,以区分基本ACL。根据具体情况,创建多个规则逐一匹配,包括源地址、目的地址、协议和端口等。 例如:
    Router(config)# acl 101
Router(config-acl)# rule deny tcp destination 192.168.1.2 0.0.0.0 eq 22
Router(config-acl)# rule permit any

    表示拒绝访问IP地址为192.168.1.2的主机,TCP协议的SSH端口(22号端口),允许所有其他流量。

    1. 将ACL应用于接口:与基本ACL相同,在接口配置模式下使用ip traffic-filter命令即可。 例如:
    Router(config)# interface Ethernet 0/0/0
Router(config-if)# ip traffic-filter 101 out

    表示将编号为101的ACL应用于该接口的出站流量。

    验证ACL配置:

    可以使用show命令查看ACL的配置和应用情况,例如:

    Router# show access-list
Router# show access-list 1
Router# show interface GigabitEthernet0/0/1

    也可以使用ping、telnet等命令测试ACL的生效情况。如果ACL配置正确,命令不被阻断,反之则测试失败。截图方式根据具体设备和操作系统而定。


如果你已经解决了该问题, 非常希望你能够分享一下解决方案, 写成博客, 将相关链接放在评论区, 以帮助更多的人 ^-^