二、“Destination net unreachable”这个提示是怎么来的

　　C：今天看到的ping的提示信息很奇怪，里面有“Destination net unreachable.”的提示

　　X：是啊，通常见到的ping操作，返回的提示不是“request time out”，就是“Reply from 10.75.0.6: bytes=32 time=1ms TTL=127”，这两类，但是只要出现“Destination net unreachable”，就说明到目标主机不一定真的不通，而是出于某种原因被限制了。

　　C：被限制了?怎么还有这样的事?

　　X：是的，比如以前我经常在路由器和硬件防火墙上做的内网用户不能访问某一个或某一类网站，就是通过创建一个禁止访问的ACL，里面包含相应的非法网站，这时候用户再去ping那个网站，就会出现“Destination net unreachable”这样的提示，这就说明不是那个网站不存在，而是不让你去访问它。

　　C：这样的功能也能实现?

　　X：是啊，操作起来其实很简单，我们来做个简单的实验吧，正好现在手头上有一台CISCO3550的交换机，咱们搭一个简单的测试环境就可以把这个现象模拟出来，如图3所示：

　　咱们现在就创建一个ACL，并把它应用到VLAN65上，如下所示：

　　3550#show ip access-lists no5

　　Extended IP access list no5

　　deny ip any host 10.75.0.8

　　permit ip any any (93467 matches)

　　3550#show run

　　interface Vlan65

　　description link to 2floor

　　ip address 10.65.0.1 255.255.0.0

　　ip access-group no5 in

　　在应用这个ACL之前，就打开一个DOS窗口一直在10.65.88.8上ping 10.75.0.8，会出现如下提示：

　　C:\Documents and Settings\lrx>ping 10.75.0.8

　　Pinging 10.75.0.8 with 32 bytes of data:

　　Reply from 10.75.0.8: bytes=32 time<1ms TTL=127

　　Reply from 10.75.0.8: bytes=32 time<1ms TTL=127

　　说明从10.65.88.8到10.75.0.8是通的，但应用完ACL后，ping的信息就显示为如下所示了。

　　Reply from 10.65.0.1: Destination net unreachable.

　　Reply from 10.65.0.1: Destination net unreachable.

　　这个时候我们对于网络结构并没有做任何的改动，即网线仍然是连接的，但是却出现了“Destination net unreachable.”(目标网络无法到达的提示)，说明ACL已经成功的阻止了从10.65.88.8到10.75.0.8的访问。

　　C：真神奇啊。