访问控制列表写的对不对？

AIXing

想禁掉192.168.228.101-128，子网192.168.228.0 255.255.255.0
在交换机的路由交换模块上
access-list 101 permit ip host 192.168.228.96 any
access-list 101 permit ip host 192.168.228.97 any
access-list 101 permit ip host 192.168.228.98 any
access-list 101 permit ip host 192.168.228.99 any
access-list 101 permit ip host 192.168.228.100 any
access-list 101 deny ip 192.168.228.96 0.0.0.31 any
access-list 101 permit ip any any
int vlan 20
ip access-group 101 out

jinawy

192.168.228.1~95是允许通过，还是不允许啊？要是允许的话，该有相应的permit

AIXing

可我是写的192.168.228.96 0.0.0.31啊，应该是从96开始

qhmoon

你要禁止192.168.228.0这个网段，那么，101-128这几个主机自然就被禁了，这时，你只需要指明在这个网段上有那些机需要通过就行了。你用0.0.0.31做通配符掩码，是对最后一节的高位三个字节做了匹配检查，而对后五个字节不做检查，那就会出现高三位为010XXXXX的被禁止。
我是这样理解的，不知对否，请参考

yyqwinner

老兄，你给的条件错误很多。192.168.228.0 255.255.255.0不是子网。而你给出的192.168.228.96 0.0.0.31得出的子网分配的话第一条ACL就不对，96这个地址是代表网段的，不是主机。

A.com

楼主是不是要禁止101-127，其他都通行？是的话，就没错。

楼上的诸位，不要不看清问题就乱说。

bruce007

楼主的配置应该是可以的!

bruce007

楼主的配置应该是可以的!

文明狼

应该把DENY放在前面好些！

songzhi

是完全没有问题的！我觉得AIXing做得很聪明，但前提是你的路由器要支持无类地址，即全局配置模式下应该有ip classless的配置！