Cisco ACL estendido em 2811 não está funcionando corretamente

1

Estou quase certo de que esta é uma questão de perder um componente-chave ou não declarar / aplicar a ACL corretamente, mas não consigo descobrir a correção por conta própria. O que estou tentando fazer é permitir que o PC2 envie tráfego para o PC3 e PC1. Essencialmente, o PC4 deve estar inacessível ao PC2.

Desde que eu sou incapaz de postar imagens ainda, vou tentar explicar a topologia que é muito simples. PC1 e PC2 estão por trás do SWITCH1 e o SWITCH1 está conectado ao ROUTER0 na porta f0 / 1. No lado esquerdo, o PC3 e o PC4 estão atrás do SWITCH2 e o SWITCH2 está conectado ao ROUTER0 na porta f0 / 0. Os IPs são os seguintes:

  • PC1 11.0.0.2/8 & Conectado a f0 / 1 no SWITCH1
  • PC2 11.0.0.3/8 & Conectado a f0 / 2 no SWITCH1
  • PC3 10.0.0.2/8 & Conectado a f0 / 1 no SWITCH2
  • PC4 10.0.0.3/8 & Conectado a f0 / 2 no SWITCH2
  • ROUTER0 f0 / 0 10.0.0.1/8 & Conecta-se a f0 / 24 no SWITCH2
  • ROUTER0 f0 / 1 10.0.0.2/8 & Conecta-se a f0 / 24 no SWITCH1

A ACL, como existe agora, é a seguinte:

ip access-list extended NSL1
 permit ip host 11.0.0.3 host 10.0.0.2

O problema é que os dispositivos no lado esquerdo da topologia (PC1 e 2) não podem mais executar ping 11.0.0.1 ou 10.0.0.1 quando foram capazes de implementar a ACL. Ele fornece o "host de destino inacessível". erro. PC1 também não pode pingar nada sobre ou à direita do roteador, mas eu sei que é porque eu não coloquei uma declaração de permissão para ele ainda. Qualquer ajuda seria muito apreciada. Eu acho que deveria ser uma solução simples, mas não sei, já que não tenho muita experiência com o Cisco IOS.

Abaixo está a configuração completa do ROUTER0.

Router>
Router>en
Router#sh run
Building configuration...

Current configuration : 579 bytes
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname Router
!
!
!
!
!
!
!
!
!
!
!
!
!
!
spanning-tree mode pvst
!
!
!
!
interface FastEthernet0/0
  ip address 10.0.0.1 255.0.0.0
  duplex auto
  speed auto
!
interface FastEthernet0/1
  ip address 11.0.0.1 255.0.0.0
  ip access-group NSL1 in
  duplex auto
  speed auto
!
interface Vlan1
  no ip address
  shutdown
!
ip classless
!
!
ip access-list extended NSL1
 permit ip host 11.0.0.3 host 10.0.0.2
!
!
!
!
!
line con 0
 line vty 0 4
 login
!
!
!
end
    
por Waffle 25.02.2012 / 01:16

1 resposta

2

Sua lista de acesso está especificando 11.0.0.3 como a origem e 10.0.0.2 como o destino - outros ingressos de tráfego na interface f0/1 não serão permitidos (e acho um pouco estranho que eles estejam enviando Inacessíveis ICMP em vez de apenas deixar cair o pacote, mas aí está).

Se você quiser permitir pings para os IPs do roteador, você também precisará colocá-los na ACL:

ip access-list extended NSL1
 permit ip host 11.0.0.3 host 10.0.0.2
 ! let it communicate with the other interface's routed IP:
 permit ip host 11.0.0.3 host 10.0.0.1
 ! let's just allow it to hit anything else in its subnet; might as well, right?
 permit ip host 11.0.0.3 11.0.0.0 0.255.255.255

Observe que apenas 11.0.0.3 poderá fazer ping agora com essa ACL; você precisaria permitir 11.0.0.2 explicitamente também.

    
por 25.02.2012 / 01:36