请教:2层交换机ACL (CISCO) 已解决

带脚镣跳舞

用了DY的模拟器做了2层交换机的ACL
PC1   192.168.1.10/24
PC2   192.168.1.20/24
两个同一VLAN 目前能PING通
现在为了阻止两个PC通信
于是我在交换机上做了ACL
SW1(config)#access-list 1 deny host 192.168.1.20
sw1(config) int fastethernet 1/12
sw1(config-if)ip access-group 1 in
结果测试下,还是可以PING通的

我对这个ACL的理解是
在1/12这个口上 收到的源IP为192.168.1.20的包 全部要丢弃
自然PC2就PING不通PC1了
但是事实上不是

不知道为什么 请大家点拨一下

[ 本帖最后由 带脚镣跳舞 于 2008-3-3 15:10 编辑 ]

cnadl

首先这种东西不要用模拟器做实验，其次你对standard acl的理解有问题。

带脚镣跳舞

原帖由 cnadl 于 2008-3-3 12:44 发表
首先这种东西不要用模拟器做实验，其次你对standard acl的理解有问题。

没办法呀 不是一个专业做CISCO的 手头上也没有设备,所以只能用DY了
麻烦兄弟解释下 为什么不通

带脚镣跳舞

又查了一些资料,搞的迷迷糊糊的,看来大家不敲一下我这个榆木脑袋是不行了
IN OUT的区别
IN 从端口流入交换机内部的
OUT 从交换机内部流出去的数据包

从图上看
一
1/12流入到交换机的数据包无疑是PC2
二
从ACL上看 我已经拒绝了 并且应用到接口上,方向也是正确的
三
应用到1/12端口上无疑比1/11更效率 数据包还没机会到1/11 已经被拒绝
四
ACL默认是DENY,如果没有匹配到那就丢弃,

哎 还是想不明白为什么,难道是模拟器的问题??

带脚镣跳舞

在神州数码的交换机上了做了相应的配置
SM的交换机上 配置access-group的时候 会提示firewall disable
开起了这个功能才能配置ACCESS-GROUP

1 模拟器没有提示,不知道是模拟器的BUG 还是CISCO IOS默认就开启了,还是CISCO根本就没这FIREWALL
2 我认为我的理解没有错误 实验也证明了我的理解

[ 本帖最后由 带脚镣跳舞 于 2008-3-3 17:28 编辑 ]