Назад | Перейти на главную страницу

Cisco Extended ACL на 2811 не работает должным образом

Я почти уверен, что это проблема отсутствия ключевого компонента или неправильного объявления / применения ACL, но я не могу найти решение самостоятельно. Я пытаюсь разрешить только ПК2 отправлять любой трафик на ПК3 и ПК1. По сути, ПК4 должен быть недоступен для ПК2.

Поскольку я пока не могу публиковать изображения, я попытаюсь объяснить топологию, которая очень проста. PC1 и PC2 находятся за SWITCH1, а SWITCH1 подключен к ROUTER0 через порт f0 / 1. С левой стороны PC3 и PC4 находятся за SWITCH2, а SWITCH2 подключен к ROUTER0 через порт f0 / 0. IP-адреса следующие:

PC1 11.0.0.2/8 и подключен к f0 / 1 на SWITCH1
PC2 11.0.0.3/8 и подключен к f0 / 2 на SWITCH1
PC3 10.0.0.2/8 и подключен к f0 / 1 на SWITCH2
PC4 10.0.0.3/8 и подключен к f0 / 2 на SWITCH2
ROUTER0 f0 / 0 10.0.0.1/8 и подключается к f0 / 24 на SWITCH2
ROUTER0 f0 / 1 10.0.0.2/8 и подключается к f0 / 24 на SWITCH1

ACL в том виде, в каком он существует сейчас, выглядит следующим образом:

ip access-list extended NSL1
 permit ip host 11.0.0.3 host 10.0.0.2

Проблема в том, что устройства на левой стороне топологии (ПК1 и 2) больше не могут пинговать 11.0.0.1 или 10.0.0.1, если они могли это сделать до реализации ACL. Это дает «Целевой хост недоступен». ошибка. PC1 также не может пинговать что-либо на маршрутизаторе или справа от него, но я знаю, что это потому, что я еще не добавил для него разрешение. Любая помощь будет принята с благодарностью. Я бы подумал, что это должно быть простое исправление, но я не знаю, так как у меня нет большого опыта работы с Cisco IOS.

Ниже представлена полная рабочая конфигурация ROUTER0.

Router>
Router>en
Router#sh run
Building configuration...

Current configuration : 579 bytes
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname Router
!
!
!
!
!
!
!
!
!
!
!
!
!
!
spanning-tree mode pvst
!
!
!
!
interface FastEthernet0/0
  ip address 10.0.0.1 255.0.0.0
  duplex auto
  speed auto
!
interface FastEthernet0/1
  ip address 11.0.0.1 255.0.0.0
  ip access-group NSL1 in
  duplex auto
  speed auto
!
interface Vlan1
  no ip address
  shutdown
!
ip classless
!
!
ip access-list extended NSL1
 permit ip host 11.0.0.3 host 10.0.0.2
!
!
!
!
!
line con 0
 line vty 0 4
 login
!
!
!
end

cisco access-control-list

В вашем списке доступа указано 11.0.0.3 как источник и 10.0.0.2 в качестве пункта назначения - другой трафик, поступающий на f0/1 интерфейс не будет разрешен (и я думаю, что это немного странно, что они отправляют ICMP Unreachables вместо того, чтобы просто отбрасывать пакет, но вот он у вас).

Если вы хотите разрешить эхо-запросы к IP-адресам маршрутизатора, вам также необходимо поместить их в ACL:

ip access-list extended NSL1
 permit ip host 11.0.0.3 host 10.0.0.2
 ! let it communicate with the other interface's routed IP:
 permit ip host 11.0.0.3 host 10.0.0.1
 ! let's just allow it to hit anything else in its subnet; might as well, right?
 permit ip host 11.0.0.3 11.0.0.0 0.255.255.255

Обратите внимание, что только 11.0.0.3 теперь можно будет пинговать с этим ACL; тебе нужно разрешить 11.0.0.2 явно тоже.