FinalFantasy 发表于 2010-6-24 09:18:28

【CCNA求助】关于ACL的问题


如果想教师不能访问校长,校长却能访问教师应该如何做ACL?起初以为在R1上e0/0上做个标准acl
就OK了,但是做完校长也ping不通教师了!!!!!!!why

hjn198916 发表于 2010-6-24 09:47:40

应为ping包要有来回,标准ACL没有用的
试试用自反列表或者Established选项

FinalFantasy 发表于 2010-6-24 10:04:46

Established貌似只能对TCP有用,有没有UDP和tcp都行的!
就是要实现哥能玩你,你只能站着给哥玩!

hjn198916 发表于 2010-6-24 10:07:29

那就用自反列表啊哥 别玩我

FinalFantasy 发表于 2010-6-24 10:13:28

--讲着讲着好像就到NP的内容了,这个自反杂回事,杂配置啊!

hjn198916 发表于 2010-6-24 10:33:10

用ACL来实现类似的单向访问控制需要用到一种特殊的ACL,叫
Reflexive ACL。Reflexive ACL的配置分为两个部分,一部分是
outbound的配置,一部分是inbound的配置。
      Reflexive ACL中outbound的部分决定了我出去的哪些内网网络
流量是需要被单向访问的,inbound部分决定了这些流量在返回后能
被正确的识别并送给内网发起连接的PC机。

ip access-list extended outbound
permit icmp any any reflect icmp_traffic

ip access-list extended inbound
evaluate icmp_traffic

interface s0
ip access-group outbound out
ip access-group inbound in

王晓强 发表于 2010-6-24 10:43:29

如果是想实现A能主动访问B,但B不能主动访问A。
可以使用防火墙实现。防火墙设置安全等级。
高安全等级主动访问低安全等级可以通过,低安全等级不允许主动访问高安全等级。

林原静羽 发表于 2010-6-24 10:49:51

6# 7#正解~

FinalFantasy 发表于 2010-6-24 10:55:29

----

linda.! 发表于 2010-6-24 11:12:58

6楼说的很正确,主要使用如下;
R1(config)#ip access-list extended outbound
R1(config-ext-nacl)# permit icmp any any reflect spoto
R1(config)#ip access-list extended inbound
R1(config-ext-nacl)# evaluate spoto
R1(config)#interface e0/1
R1(config-if)#ip access-group inbound in
R1(config-if)#ip access-group outbound out
页: [1] 2
查看完整版本: 【CCNA求助】关于ACL的问题