ACL simple ne fonctionne pas

Réseau: Cisco 2921. Deux sous-réseaux. 192.168.1.0/24 et 2.0 / 24.

Pour une raison quelconque, je ne peux pas avoir une communication inter-sous-réseau.

J'ai lié une ACL avec les instructions suivantes à l'interface entrante de chaque sous-réseau.

Sur Gi0 / 0 (1.0 / 24), j'ai appliqué "access-list 101 allow ip 192.168.2.0 0.0.0.255 any" à l'interface entrante.

Sur Gi0 / 1 (2.0 / 24), j'ai appliqué "access-list 102 allow ip 192.168.1.0 0.0.0.255 any" à l'interface entrante.

Lorsque je l'ai fait, DHCP a cessé de fonctionner, tout comme Internet, alors je les ai supprimés.

Je l'ai fait en package-traceur et cela a fonctionné à 100%. Pourquoi ne fonctionne-t-il pas sur le véritable routeur?

Exécution de la configuration:

Current configuration : 2608 bytes ! ! Last configuration change at 15:22:51 UTC Mon Feb 18 2013 ! NVRAM config last updated at 17:41:03 UTC Sun Feb 17 2013 ! NVRAM config last updated at 17:41:03 UTC Sun Feb 17 2013 version 15.1 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R1 ! boot-start-marker boot-end-marker ! ! enable secret 5 xxxxxx enable password xxxxxx ! no aaa new-model ! no ipv6 cef ip source-route ip cef ! ! ! ip dhcp excluded-address 192.168.2.1 ip dhcp excluded-address 192.168.2.1 192.168.2.99 ip dhcp excluded-address 192.168.2.1 192.168.2.50 ! ip dhcp pool DHCP_POOL network 192.168.2.0 255.255.255.0 default-router 192.168.2.1 dns-server 8.8.8.8 domain-name subnet2.local ! ! ip name-server 8.8.8.8 ip name-server 8.8.4.4 multilink bundle-name authenticated ! ! ! ! ! crypto pki token default removal timeout 0 ! ! voice-card 0 ! ! ! ! ! ! ! license udi pid CISCO2921/K9 sn FTX1703AHBN hw-module pvdm 0/0 ! ! ! ! redundancy ! ! ip ftp username xxxxxxx ip ftp password xxxxx ! ! ! ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip access-group 5 out ip nat inside ip virtual-reassembly in duplex auto speed auto no mop enabled ! interface GigabitEthernet0/1 ip address 192.168.2.1 255.255.255.0 ip nat inside ip virtual-reassembly in duplex auto speed auto ! interface GigabitEthernet0/2 ip address xxxxxxxxxxx 255.255.255.248 ip nat outside ip virtual-reassembly in duplex auto speed auto ! ip forward-protocol nd ! no ip http server no ip http secure-server ! ip nat inside source list 1 interface GigabitEthernet0/2 overload ip nat inside source list 2 interface GigabitEthernet0/2 overload ip route 0.0.0.0 0.0.0.0 108.162.28.169 ip route 192.168.1.0 255.255.255.0 GigabitEthernet0/0 ip route 192.168.2.0 255.255.255.0 GigabitEthernet0/1 ! access-list 1 permit 192.168.1.0 0.0.0.255 access-list 2 permit 192.168.2.0 0.0.0.255 access-list 3 permit 192.168.2.0 0.0.0.255 access-list 3 permit 192.168.1.0 0.0.0.255 access-list 4 permit 192.168.1.0 0.0.0.255 access-list 5 permit any access-list 101 permit ip 192.168.2.0 0.0.0.255 any ! ! ! control-plane ! ! ! ! mgcp profile default ! ! ! ! ! gatekeeper shutdown ! ! ! line con 0 line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 password ******** login transport input all ! scheduler allocate 20000 1000 end 

One Solution collect form web for “ACL simple ne fonctionne pas”

Je crois que vous mélangez le concept Inbound et Outbound dans votre ACL.

Si l'interface GigabitEthernet0 / 0 a le sous-réseau 192.168.1.0/24 derrière elle, afin de permettre à ce trafic d'aller sur l'autre interface, vous appendez la ACL suivante sur GigabitEthernet0 / 0 et vice versa.

access list 101 permis ip 192.168.1.0 0.0.0.255 tout

access-list 102 permis ip 192.168.2.0 0.0.0.255 tout

La même chose pourrait être obtenue (et serait plus sécurisé) en limitant la circulation du trafic.

list d'access 101 permet ip 192.168.2.0 0.0.0.255

list d'access 102 autorisation ip 192.168.1.0 0.0.0.255

Si vous utilisez la ACL ci-dessus, les deux réseaux derrière les deux interfaces ne pourront parler que …

Ensuite, dans la cofiguration GigabitEthernet0 / 0:

ip access-group 101 in

Et sur le GigabitEthernet0 / 1:

ip access-group 102 in

Inbound and Outbound est toujours basé sur l'interface que le package basha en premier.

Pour mieux comprendre quand il s'agit de l'ACL et du problème entrant / sortant, prétendez que vous êtes le routeur et / ou le pare-feu.

Est-ce que vous (le routeur) autorise les packages qui vous viennent avec IP 192.168.1.10 sur VOTRE interface Gi0 / 0?

Oui, je le fais, les ACL sur cette interface le permettent;

access list 101 permis ip 192.168.1.0 0.0.0.255 tout

ou

list d'access 101 permet ip 192.168.2.0 0.0.0.255

Si vous aviez votre ACL défini sur Outbound, la question serait;

Autorisez-vous les packages de 192.168.1.10 à quitter votre interface Gi0 / 0?

Une fois que vous avez autorisé ce trafic, vous n'avez pas besoin d'append des ACL sur l'interface de destination lorsque les deux sont sur le même périphérique.

  • Je dois installer .Net 2.0 sur plus de 50 ordinateurs, quel est le moyen le plus rapide / le plus simple de faire cela?
  • Comment puis-je tester la connectivité multidiffusion UDP entre deux servers?
  • J'ai besoin de conseils pour proposer un plan de réseau, ou en quelque sorte
  • Impossible d'accéder à l'interface Web de Juniper Networks Netscreen
  • Pourquoi ne puis-je pas transférer des files depuis mon bureau vers mon server à toute vitesse?
  • Surveillance haut / bas de l'interface FreeBSD
  • Ces scénarios du monde réel existent-ils même?
  • Impossible de se connecter aux partage de réseau local lorsqu'il est connecté à VPN. Erreur: "le nom d'user n'a pas pu être trouvé"
  • Routeurs ou pare-feu ou servers en tant que servers VPN
  • Performance du réseau dans le transfert important de données
  • Capture de paquets via cmd
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.