-
مشکل access-list
من روی یکی از پورتهای روتر یه access-list تعریف کردم به این صورت که کامپیوترهای یک vlan فقط به تعداد خاصی از کامپیوترهای vlan دیگر آنهم از طریق پورتهای مشخص شده دسترسی داشته باشند.
مشکلی که وجود داره اینه که فقط یکی از این کامپیوترها قابل دسترس است ، کسی می تونه کمکم کنه ؟
اینم تعریف لیست دسترسی!!!!!
ip access-list extended site2internal
permit tcp 172.25.0.0 0.0.255.255 host 172.20.1.2 eq www
permit ip 172.25.0.0 0.0.255.255 host 172.20.0.20
permit tcp 172.25.0.0 0.0.255.255 host 172.20.0.23 eq ftp
permit tcp 172.25.0.0 0.0.255.255 host 172.20.0.6 eq domain
deny ip any 172.20.0.0 0.0.255.255
permit ip any any
[RIGHT]اینم اعمال لیست روی یکی از اینترفیس ها :
[/RIGHT]
ip access-group site2internal in
فقط کامپیوتر 172.20.1.2 قابل دسترسه:wacko:
-
البته حدس میزنم این مشکل فقط برای کامپیوترهایی وجو داره که قسمت سوم آدرس اون صفر هست.
اینم تعریف routing :
ip route 172.20.0.0 255.255.0.0 GigabitEthernet0/1.1
-
اول اينکه ACL بايد در Outbound سمت سرور و يا Inbound سمت Internal باشه و بدون ديدن Config نميشه اينو گفت پس دقت کنيد In یعنی زمانی که به روتر ميرسه و Out وقتی از روتر خارج ميشه و ربطی به شبکه Internal نداره.
آیا بدون ACL همه چی کار ميکنه و مشکل وقتی بوجو مي آيد که Access-group روی Interface قرارميگيره؟
مشکل از in يا out خود access-group است اگر show ip int br و sh run inf g 0/0.0 بفرستی و 0/0.1 را