interface Ethernet 2/0/0
ip address2032032032 2552552550
nat server protocol tcp global 202169105 >acl number 3111 创建acl 高级访问控制列表3111
rule 1 permit ip source 1721610 000255
定义小规则1 允许 源ip为1721610/24(2552552550)的网段访问目标地址为any(所有的ip)地址
acl number 3112 创建acl高级访问控制列表3112
rule 0 permit ip source 172161200 0
同上
定义小规则0允许源172161200/32(255255255255)这一个主机访问目标为any的地址
acl number 3113 定义3113规则
rule 0 permit ip
小规则0允许源ip地址为any(所有)到目标地址为any地址。
#
acl name lan 创建acl为名字的规则,规则名为lan
rule 0 permit
小规则0允许源ip地址为any(所有)到目标地址为any地址。
#
intterface Aux0 异步端口、为系统默认。一般无用。
async mobe flow
2000-2999 的acl规则为标准acl 只能定义源ip地址
3000-3999 的acl规则为高级acl 能够定义源ip地址和目的ip地址。
只定义acl 而不引用是无效的。你这几条acl肯定在某一端口下引用了。acl num 2000
rule permit source 1921681010 0 0表示单一ip地址
中间省略。
rule permit source 1921681060 0
将此acl下发到外网接口,nat out 2000
也就是acl里定义的ip地址可以访问外网,用定义nat的acl来控制,不增加的ip地址,就不能上网。添加的就能上外网acl 2000只能匹配“源” (跟思科的标准acl很像)
你拒绝来自于“10030/24的数据包”通过,就应该在LSW2的E0/0/1接口做
因为只有这个接口会收到来自于10030/24的数据包
在LSW2的G0/0/2接口上,只会“收”到来自于路由器的例如100111的数据包
根本就匹配不到你的acl 2000
至于为什么是 “ 收 ” 而不是 “发” 这是因为你的 流过滤 里配置的是inbound方向
你可以改成traffic-filter outbound
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)