技術討論區 > Network 討論版

請教一個關於cisco acl的問題

(1/1)

chung1206:
各位大大們好,最近公司需求希望將二個不同網段隔開,於是我使用了ACL
公司網路架構大致如下:
cisco core switch 45系列x2(HSRP)其中一台上面接了ASA防火牆,上去接了一台QBalance,
core switch下面接了一些cisco 2960系列L2 switch,公司內部有192.168.0.0/24
與172.16.0.0/16二個網段,公司不希望172.16這個網段可以訪問到192.168網段,
於是我在core switch上設置了以下access-list
access-list 17 permit host 192.168.0.152(DNS)
access-list 17 permit host 192.168.0.243(ASA防火牆)
access-list 17 permit host 192.168.0.251(QB)

#int vlan 172
#ip access-group 17 out
雖然確實達到了公司需求,但同時也不能連到外網了
tracert www.google.com.tw發現到QB後就出不去了,但
奇怪的是ACL拿掉後就可以上網了,感覺不太像是QB端沒設定
好,第一次使用ACL請各位大大們指教,謝謝。

dark:
這麼說
access-list 最後預設有條看不見的 deny any 囉 ...
沒用過 , 純猜測

若是
再加 4 5 兩條
deny 192/24
permit any

chung1206:
dark您好,最後一條有隱藏的deny any沒錯。
我們目前有三個網段192.168.0.X/24(VLAN100) and 192.168.1.X/24(VLAN1)
172.16.0.X/16我發現套用此ACL確實可以deny172網段訪問到192但同時也無法
連至Internet,但拿掉ACL後又可以了,但內網又互通了,真是困擾,不知是否有
其它查詢的方式?謝謝


--- 引述: dark 於 2016-06-05 12:23 ---這麼說
access-list 最後預設有條看不見的 deny any 囉 ...
沒用過 , 純猜測

若是
再加 4 5 兩條
deny 192/24
permit any

--- 引用結尾 ---

dark:
若是 .. 翻譯成如果是
若以現代文學表示 , 則是
if(上述==true) {執行下述;}

因為都用猜的 , 所以請夜深人靜時自行偷偷測試

導覽

[0] 文章列表

前往完整版本