求教一道自反ACL的问题????
我无聊的时候,自己做了一个单臂路由的实验!!VLAN1和VLAN 2的电脑已经可以PING通。说明单臂路由的实验已经 成功。但是我突然要子网192.168.1.X和子网192.168.2.X无法相互PING通。但是这两个子网的电脑却可以PING通192.168.3.X。
本来是无聊之举,但是引起了我对自反ACL的极大兴趣。我在路由器ROUTER0中,配置如下命令:
Router(config)#access-list 100 deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
Router(config)#access-list 100 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
Router(config)#interface f0/0.1
Router(config-subif)#ip access-group 100 in
Router(config-subif)#exit
Router(config)#interface f0/0.2
Router(config-subif)#ip access-group 100 in
Router(config-subif)#exit
Router(config)#^Z
Router#
结果造成了3个子网无法相互PING通。后来才知道数据的单向传输只能依靠自反ACL来实现。但是我对自反ACL完全不懂!所以希望请教一下高手如何实现自反ACL??
[解决办法]
一条ACL不能用于多个端口中.
否则访问会变慢.
[解决办法]
自反 ACL 不能直接应用到接口,而是“嵌套”在接口所使用的扩展命名 IP ACL 中。 自反 ACL 仅可在扩展命名 IP ACL 中定义。自反 ACL 不能在编号 ACL 或标准命名 ACL 中定义,也不能在其它协议 ACL 中定义。自反 ACL 可以与其它标准和静态扩展 ACL 一同使用。
所以你的acl 100 是不行的