Я выполняю лабораторную работу в Cisco Packet Tracer и дошел до этапа ACL.
Курс начинается с небольших примеров, чтобы мы могли изучить и понять концепцию. Но эти примеры не работают. Я работаю над этим уже два часа, ищу в Интернете, но не могу найти ответ, поэтому прошу вас о помощи.
Это ACL, который не позволяет маршрутизатору A подключаться через SSH к маршрутизатору B. Я настраиваю этот ACL на маршрутизаторе A. Вот конфигурация (стоит упомянуть, что я тестировал с in и out на интерфейсе; в курсе сказано использовать in, но мне это кажется странным): ! interface GigabitEthernet0/0/1 ip address 223.0.1.3 255.255.255.0 ip access-group 100 in дуплекс auto speed auto ! ! список доступа 100 запретить tcp хост 223.0.1.3 любой eq 22 access-list 100 permit ip any any !

]]>https://sla247.ru/forum/topic/947/acl-не-работаетRSS for NodeFri, 15 May 2026 07:28:44 GMTFri, 13 Feb 2026 19:59:32 GMT60@ibrahimbdj
написал:
Спасибо за помощь.
Два часа думал, но так и не догадался заблокировать попытку подключения, когда ответил маршрутизатор B. Чувствую себя глупо. Смех Я не думаю, что вы глупы. Однако двусторонний поток трафика — это то, о чем вы вряд ли забудете в будущем. Не знаю, как другие, но у меня точно было немало моментов, когда я ломал голову над простыми вещами. ; )

]]>https://sla247.ru/forum/post/6095https://sla247.ru/forum/post/6095Fri, 13 Feb 2026 19:59:40 GMTСпасибо за помощь.
Два часа думал, а не додумался заблокировать попытку подключения, когда ответил маршрутизатор B. Чувствую себя глупо.

]]>https://sla247.ru/forum/post/6094https://sla247.ru/forum/post/6094Fri, 13 Feb 2026 19:59:39 GMTКроме того, предоставленный мной ACL блокирует маршрутизатор A, инициирующий SSH с другим маршрутизатором, например, маршрутизатором B. Если вы также хотите заблокировать другие маршрутизаторы от инициирования SSH к маршрутизатору A, вам понадобится еще один ACE: access-list 100 deny tcp any host 223.0.1.3 eq 22 Вышеуказанное было предложено
@Gregory Camp
, но два разных ACE зависят от того, какое устройство инициирует SSH. От A к B, как указано в OP, необходим ACE из моего предыдущего ответа. От B (или любого другого устройства) к A необходим этот ACE. Конечно, вы можете иметь оба ACE в ACL. Кстати, ACE, блокирующий A для других устройств, блокирует обратные пакеты, а для эффективности в идеале мы хотим блокировать исходящие пакеты. Но, как отметил
@David Ruess
, ACL не применяются к пакетам, генерируемым локально (т. е. на том же устройстве). Я считаю, что двумя возможными альтернативами могут быть использование PBR или QoS для блокировки исходящих SSH-пакетов маршрутизатора A, поскольку, по моему мнению, оба они будут обрабатывать все исходящие пакеты. Пример политики QoS, блокирующей как входящие, так и исходящие пакеты. interface GigabitEthernet0/0/1 ip address 223.0.1.3 255.255.255.0 service-policy in Example service-policy out Example class-map Example match protocol ssh !I believe it might only match port 22, on src or dst, but in the future, migth actually protocol match, i.e. not depend on port 22 being used. policy-map Example class Example drop !not all QoS implementations appear to support this command

]]>https://sla247.ru/forum/post/6093https://sla247.ru/forum/post/6093Fri, 13 Feb 2026 19:59:38 GMTСпасибо за ответ.
Но если я хочу запретить маршрутизатору A инициировать SSH-соединение с другими маршрутизаторами через интерфейс g0/0/1 (IP: 223.0.1.3), как я могу это сделать?

]]>https://sla247.ru/forum/post/6092https://sla247.ru/forum/post/6092Fri, 13 Feb 2026 19:59:37 GMTЗдравствуйте, Если вы используете только 2 маршрутизатора и блокируете SSH между ними, я не думаю, что это сработает. Насколько я помню, ACL интерфейса не влияют на локально генерируемый трафик. Поэтому, если ACL интерфейса находится на маршрутизаторе A, а вы используете маршрутизатор A для SSH, то, скорее всего, блокировка не сработает. Вы можете попробовать настроить ACL на маршрутизаторе B на интерфейсе, подключенном к маршрутизатору A, в направлении «IN». -Дэвид

]]>https://sla247.ru/forum/post/6091https://sla247.ru/forum/post/6091Fri, 13 Feb 2026 19:59:36 GMTПрежде всего, спасибо за ответ.
Это не моя цель. На самом деле я пытаюсь предотвратить попытки маршрутизатора A подключиться к другим маршрутизаторам через интерфейс g0/0/1, IP-адрес которого 223.0.1.3.

]]>https://sla247.ru/forum/post/6090https://sla247.ru/forum/post/6090Fri, 13 Feb 2026 19:59:35 GMTaccess-list 100 deny tcp any host 223.0.1.3 eq 22 access-list 100 permit ip any any
Предполагая, что вы пытаетесь заблокировать SSH для этого IP-адреса, вам необходимо сделать 223.0.1.3 адресом назначения, а не источником в ACL.

]]>https://sla247.ru/forum/post/6089https://sla247.ru/forum/post/6089Fri, 13 Feb 2026 19:59:34 GMTПопробуйте: interface GigabitEthernet0/0/1 ip address 223.0.1.3 255.255.255.0 ip access-group 100 in access-list 100 deny tcp any eq 22 host 223.0.1.3
access-list 100 permit ip any any Кстати, вышеуказанное будет блокировать SSH только в том случае, если 1) используется его хорошо известный порт и 2) пакет получен на интерфейсе g0/0/1.

]]>https://sla247.ru/forum/post/6088https://sla247.ru/forum/post/6088Fri, 13 Feb 2026 19:59:33 GMT