请教一个Cisco 的ACL的策略问题

shimu

1.路由器cisco2800 e0/0 ip 172.31.130.220 e0/1 ip 129.9.168.110
  内网172.31.130.0/255.255.255. 外网129.9.168.0/255.255.255.0
1。内网172.31.130.0/255.255.255.0访问129.9.168.0/255.255.255.0 无限制
2。外网机器129.9.168.120访问内网无限制
3。外网可以访问内网的172.31.130.10 ftp
我现在配置了这样的策略
access-list 101 permit ip any host 129.9.168.120
access-list 101 permit tcp any  host 172.31.130.10 eq 20
access-list 101 permit tcp any  host 172.31.130.10 eq 21
int e0/1
ip access-group 101 in
策略生效后发现172.31.130.10 访问不了外网其他机器ftp是啥原因？

[ 本帖最后由 shimu 于 2008-12-2 16:08 编辑 ]

hackmail

你做的ACL是错的,没有起到效果.
你的外网用的是公网IP,内网是私有的IP,在外部不可能直接访问内网服务器的.

ssffzz1

1、确认没有ACL时候正常否。
2、用FTP的主动模式试试。

shimu

原帖由 hackmail 于 2008-12-2 16:35 发表
你做的ACL是错的,没有起到效果.
你的外网用的是公网IP,内网是私有的IP,在外部不可能直接访问内网服务器的.

这公网和外网是自己定义的，不是internet.
实际上是用这个路由器连接这连接这两个网段，并做策略路由。

shimu

原帖由 ssffzz1 于 2008-12-2 16:58 发表
1、确认没有ACL时候正常否。
2、用FTP的主动模式试试。

1、确认没有ACL时候正常否。正常2、用FTP的主动模式试试。 必须支持FTP所有的模式
谢谢

ssffzz1

我是问你用主动模式是否正常，不是说要你以后就用主动模式。

我要你的结果是分析问题用的。

ssffzz1

算了，不和你细说了。

要么做NAT，开映射。

要么做自反ACL

shimu

多谢各位的答复，这些方面不太熟。
1.不管我写的策略正确的策略应该怎么写呢？
2.我说的内网和外网只是表示两个网段（整个网络就这两个网段，这两网段都不和internet相连），不是公网和内网的区别，两网段之间互相访问，应该不需要NAT映射吧？
3.大家是不是把问题复杂化了？其实就上面两个网段，上面三个要求，和公网，internet不搭边。

[ 本帖最后由 shimu 于 2008-12-2 18:18 编辑 ]

shimu

原帖由 shimu 于 2008-12-2 17:02 发表

1、确认没有ACL时候正常否。正常2、用FTP的主动模式试试。 必须支持FTP所有的模式
谢谢

我现在就从172.31.130.10 用ftp 客户端访问129.9.168.162 不行，主动访问和被动访问还没弄特别明白。
我执行指令是
在172.31.130.10
ftp 129.9.168.162
就不动了
没生效上面策略就没问题。