1、如果在路由器R1上配置标准的访问控制列表,阻止PC1访问PC3,如配置的ACL为access-list 1 deny 192.168.1.254 0.0.0.0 access-list1 permit any。如果将此访问列表应用到f0/1接口int f0/1
但是如果应用的是
2、但是如果此处用的不是标准的访问控制列表(即使用的是扩展的访问控制列表),情况将会有有所不同。
如
但是如果使用的是ip access-group in应用在f0/1接口下,PC1 的数据包将能通过f0/1的接口到达PC2,也许此有人会认为,PC1的数据包能通过f0/1,但是PC2返回给PC1 的数据包通不过f0/1的,因为f0/1应用的是in,可以阻止进入的流量,但是你有没有考虑到此时,从PC2返回的给PC1的数据包的源地址和目的地址是什么,(此时返回的源地址是PC2的IP地址,目的地址是PC1的IP地址),而应用在F0/1的ACL的阻止的源地址是PC1的IP地址,目的地址是PC2的IP地址,所以当将返回给PC1的数据包的源地址和目的地址与ACL中阻止的地址相比较的时候,根本就没有匹配的,所以数据包就可以通过f0/1了。