【CCNA求助】关于ACL的问题
如果想教师不能访问校长,校长却能访问教师应该如何做ACL?起初以为在R1上e0/0上做个标准acl
就OK了,但是做完校长也ping不通教师了!!!!!!!why 应为ping包要有来回,标准ACL没有用的
试试用自反列表或者Established选项 Established貌似只能对TCP有用,有没有UDP和tcp都行的!
就是要实现哥能玩你,你只能站着给哥玩! 那就用自反列表啊哥 别玩我 --讲着讲着好像就到NP的内容了,这个自反杂回事,杂配置啊! 用ACL来实现类似的单向访问控制需要用到一种特殊的ACL,叫
Reflexive ACL。Reflexive ACL的配置分为两个部分,一部分是
outbound的配置,一部分是inbound的配置。
Reflexive ACL中outbound的部分决定了我出去的哪些内网网络
流量是需要被单向访问的,inbound部分决定了这些流量在返回后能
被正确的识别并送给内网发起连接的PC机。
ip access-list extended outbound
permit icmp any any reflect icmp_traffic
ip access-list extended inbound
evaluate icmp_traffic
interface s0
ip access-group outbound out
ip access-group inbound in 如果是想实现A能主动访问B,但B不能主动访问A。
可以使用防火墙实现。防火墙设置安全等级。
高安全等级主动访问低安全等级可以通过,低安全等级不允许主动访问高安全等级。 6# 7#正解~ ---- 6楼说的很正确,主要使用如下;
R1(config)#ip access-list extended outbound
R1(config-ext-nacl)# permit icmp any any reflect spoto
R1(config)#ip access-list extended inbound
R1(config-ext-nacl)# evaluate spoto
R1(config)#interface e0/1
R1(config-if)#ip access-group inbound in
R1(config-if)#ip access-group outbound out
页:
[1]
2