Cisco

路由 - 訪問列表

  • December 13, 2014

我對學習網路比較陌生

我一直在嘗試一些關於“訪問列表”的東西,但似乎在某些時候感到困惑。

我無法拒絕整個 ip 範圍訪問另一個整個 ip 範圍..

思科路由器中是否有任何命令可以讓我這樣做?到目前為止,我只能使用以下方法拒絕特定的 IP 範圍訪問單個主機 IP:

"access-list 101 deny ip 192.168.2.0 0.0.0.255 host 192.168.1.0" 
"access-list 101 permit any any" 

當然,將訪問組分配給路由器介面。

我在網上搜尋過,但看不到任何重要的東西。


謝謝回复 :)

我實際上已經嘗試過了,但仍然沒有得到我需要的東西:/

場景是我有一個帶有 3 個介面的路由器:fe0/0 連接到另一個路由器到一個 ISP 網路,fe1/0 連接到一個內部交換機,網路 192.168.1.0/24 和 fe2/0 連接到網路 192.168 的另一個交換機.2.0/24。

我需要的是“為了防止 192.168.2.0/24 網路訪問 192.168.1.0/24 網路。當我應用你給我的訪問列表時,來自 192.168.2.0 的所有流量都被路由器阻止了,沒有訪問從 192.168.2.0/24 網路到 ISP。

我將 fe2/0 埠上的訪問列表應用為:ip access-group 101 in

可能有什麼問題或遺漏?

您目前正在使用“host”參數指定單個主機。而是試試這個

訪問列表 101 拒絕 ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

這將拒絕從 .2.0 到 .1.0 的所有流量

http://www.cisco.com/c/en/us/support/docs/security/ios-firewall/23602-confaccesslists.html

引用自:https://serverfault.com/questions/652287