作者 主題: 請教一個關於cisco acl的問題  (閱讀 1215 次)

0 會員 與 1 訪客 正在閱讀本文。

chung1206

  • 活潑的大學生
  • ***
  • 文章數: 220
  • 性別: 男
    • 檢視個人資料
請教一個關於cisco acl的問題
« 於: 2016-06-04 08:38 »
各位大大們好,最近公司需求希望將二個不同網段隔開,於是我使用了ACL
公司網路架構大致如下:
cisco core switch 45系列x2(HSRP)其中一台上面接了ASA防火牆,上去接了一台QBalance,
core switch下面接了一些cisco 2960系列L2 switch,公司內部有192.168.0.0/24
與172.16.0.0/16二個網段,公司不希望172.16這個網段可以訪問到192.168網段,
於是我在core switch上設置了以下access-list
access-list 17 permit host 192.168.0.152(DNS)
access-list 17 permit host 192.168.0.243(ASA防火牆)
access-list 17 permit host 192.168.0.251(QB)

#int vlan 172
#ip access-group 17 out
雖然確實達到了公司需求,但同時也不能連到外網了
tracert www.google.com.tw發現到QB後就出不去了,但
奇怪的是ACL拿掉後就可以上網了,感覺不太像是QB端沒設定
好,第一次使用ACL請各位大大們指教,謝謝。

dark

  • 俺是博士!
  • *****
  • 文章數: 1481
    • 檢視個人資料
Re: 請教一個關於cisco acl的問題
« 回覆 #1 於: 2016-06-05 12:23 »
這麼說
access-list 最後預設有條看不見的 deny any 囉 ...
沒用過 , 純猜測

若是
再加 4 5 兩條
deny 192/24
permit any

chung1206

  • 活潑的大學生
  • ***
  • 文章數: 220
  • 性別: 男
    • 檢視個人資料
Re: 請教一個關於cisco acl的問題
« 回覆 #2 於: 2016-06-06 13:31 »
dark您好,最後一條有隱藏的deny any沒錯。
我們目前有三個網段192.168.0.X/24(VLAN100) and 192.168.1.X/24(VLAN1)
172.16.0.X/16我發現套用此ACL確實可以deny172網段訪問到192但同時也無法
連至Internet,但拿掉ACL後又可以了,但內網又互通了,真是困擾,不知是否有
其它查詢的方式?謝謝

這麼說
access-list 最後預設有條看不見的 deny any 囉 ...
沒用過 , 純猜測

若是
再加 4 5 兩條
deny 192/24
permit any

dark

  • 俺是博士!
  • *****
  • 文章數: 1481
    • 檢視個人資料
Re: 請教一個關於cisco acl的問題
« 回覆 #3 於: 2016-06-14 10:36 »
若是 .. 翻譯成如果是
若以現代文學表示 , 則是
if(上述==true) {執行下述;}

因為都用猜的 , 所以請夜深人靜時自行偷偷測試