interface GigabitEthernet1/2
) Q; ~( X4 Z, Q( V; Z no ip address6 Y- f% m2 N# a7 h) c
switchport
# o, Q! S7 u$ _& l1 V" { switchport access vlan 120& ?& C' ~( f0 L& A& ^
switchport mode access
' s$ ^4 P+ r& c!! d f# Z q) B+ W- v
!) k2 c/ y* y8 O2 c4 `" M
interface GigabitEthernet4/12
/ y2 O% r. a- }3 [ ip address 10.8.244.174 255.255.255.2529 C# C9 F: n/ r* n7 E$ E/ X+ a
!5 v1 N: K1 R+ J6 P, A6 c: g& G
interface Vlan110
@' l( F0 F7 U/ s6 u5 X1 r% {$ P ip address 10.9.37.14 255.255.255.0- |9 d8 R; B* ~! \- a+ E
ip access-group 111 in
; J w: @7 a, O ip access-group 111 out$ o, x& [. n1 E- R8 @1 \& P1 u
no ip redirects# ?! M2 z8 _; x* C1 W
no ip unreachables
' j1 e5 M; w. E1 S9 U ip pim sparse-mode
% N7 a7 S$ m2 {& x- K3 ] ip cgmp
1 S' h: C, K7 z, `( t6 u standby 110 ip 10.9.37.106 P3 z0 Y h1 m) C) I3 v2 s
standby 110 priority 120
1 P8 G' K. B4 V% U4 ?: o& y standby 110 preempt
: k# u# g7 K1 N" i$ A8 L0 u
2 L* |7 h; I% x2 K5 A7 }0 zinterface Vlan120
9 ]4 k& `% J: k ~8 v description to cen1
% J7 d: r& x5 [2 B4 [ I ip address 10.8.244.26 255.255.255.252! }: E/ c) H* s
ip access-group 110 in& V: N% g$ b9 m7 o* e1 Q
ip access-group 110 out/ j: r" X" b0 N z
no ip unreachables& E# k+ S+ Y( B% y, D
ip pim sparse-mode: I1 I A/ K3 ?" q, I0 o
ip ospf cost 207 e# e) q6 j8 E4 f. x
1 A: N/ n' H9 a# y. ^+ E# p
( r8 I6 g' v1 ^
router ospf 12 \0 W9 x4 h& @; w5 [4 B
log-adjacency-changes( f- V, I' ~, I. _4 w
area 300 nssa
" ]* _' b: O( @# b redistribute static subnets+ R9 C& E: f" ^, [! A3 @
network 10.8.244.174 0.0.0.0 area 1
8 q, u" U/ K. E% e' D6 h network 10.9.27.0 0.0.0.255 area 1
) c. t5 d, z: S0 y network 10.9.37.0 0.0.0.255 area 17 G0 z: j! n1 L% |" q+ h
!7 `2 W: \, K7 T! ]+ T' I) R
ip default-gateway 10.8.244.25
0 Z) ~9 e+ ]* R, d9 K!
* ]( W0 `/ `# V Oaccess-list 110 deny udp any any eq ****
$ T J$ D% `7 {( W- f g* X, D2 ~access-list 110 permit ip any any
' a- }: X( Z9 y& m/ _4 F' Vaccess-list 111 permit ip 10.9.27.0 0.0.0.255 host 10.9.37.62( b) O8 ?: U( O5 L- j0 C
access-list 111 permit icmp 10.9.27.0 0.0.0.255 host 10.9.37.62
) }" D# [* t% n+ k" D$ Jaccess-list 111 permit ip 10.9.37.0 0.0.0.255 any
' {9 C; y9 t3 g4 f- [5 C3 Daccess-list 111 permit icmp 10.9.37.0 0.0.0.255 any8 M) `- N; {" U) D1 B! m
access-list 111 deny ip any host 10.9.37.621 A0 j; Y3 X1 w5 ~$ G6 F; D
access-list 111 deny icmp any host 10.9.37.62
0 x& M* f1 S( c' V$ }access-list 111 permit ip any any
" Q; j2 Y6 ]1 o& z" b5 ~4 r* Haccess-list 111 permit icmp any any
, T+ w/ o9 Q' q8 K2 l- V0 qroute-map test permit 100
) t4 q0 P' s$ [0 H& t j!+ a" _; I8 I3 Y6 O
4 T* }- m0 |( q拓扑描述:0 n" {% e3 `5 _9 Y
本机为6509交换机,通过4/12端口上连另一台4503交换机,4503通过intranet连接到另一个楼的某台主机10.8.6.209。10.9.37.62这台主机是VLAN 110里边的一台PC,希望该PC可以访问10.8.6.209,但是不允许其它任何IP访问它自己。
. F6 r: e# |( J0 L( s- h0 l& v
+ r( G2 H A+ N+ D故障现象:- L& r9 g; @3 O) D3 d' X
从6509交换机上traceroute到10.8.6.209,每一跳分别是10.8.244.173、10.8.6.209。从交换机上是可以PING通这个IP的,没问题。
7 E9 b q& ^/ D/ h" J
! K* {/ ^& n. f3 y但是,10.9.37.62不能访问到10.8.6.209,PING不通。如果删除两条# d! y4 x. A. a2 `( }
access-list 111 deny ip any host 10.9.37.62
( V5 E4 Q5 ]: [: G4 o$ naccess-list 111 deny icmp any host 10.9.37.62% y" f- W e7 ^: w: _
的语句,则可以访问。
8 j4 D6 B G5 J8 T. X& Z; T& J' y8 a+ {6 P) g
疑问:3 Y" V, Z. ]/ R0 m0 }9 F9 v; l
1.删除deny语句对访问一个外网的IP有任何影响吗?怎么会这样?
# C; S9 y, p. f1 e u. b" ]
( z/ U8 L& ]& h8 W2.保留deny语句的目的是禁止任何其它IP访问10.9.37.62这台主机。我如何能保留这个属性? |
|
所有IT类厂商认证考试题库下载
【新盟教育】2023最新华为HCIA全套视频合集【网工基础全覆盖】---国sir公开课合集
【新盟教育】网工小白必看的!2023最新版华为认证HCIA Datacom零基础全套实战课
原创_超融合自动化运维工具cvTools
重量级~~30多套JAVA就业班全套 视频教程(请尽快下载,链接失效后不补)
链接已失效【超过几百G】EVE 国内和国外镜像 全有了 百度群分享
某linux大佬,积累多年的电子书(约300本)
乾颐堂现任明教教主Python完整版
乾颐堂 教主技术进化论 2018-2019年 最新31-50期合集视频(各种最新技术杂谈视频)
Python学习视频 0起点视频 入门到项目实战篇 Python3.5.2视频教程 共847集 能学102天
约21套Python视频合集 核心基础视频教程(共310G,已压缩)
最新20180811录制 IT爱好者-清风羽毛 - 网络安全IPSec VPN实验指南视频教程
最新20180807录制EVE开机自启动虚拟路由器并桥接物理网卡充当思科路由器
[复制链接]
