【CCNA求助】关于ACL的问题

FinalFantasy · 发表于 2010-6-24 09:18:28

如果想教师不能访问校长，校长却能访问教师应该如何做ACL？起初以为在R1上e0/0上做个标准acl
就OK了，但是做完校长也ping不通教师了！！！！！！！why

hjn198916 · 发表于 2010-6-24 09:47:40

应为ping包要有来回，标准ACL没有用的
试试用自反列表或者Established选项

FinalFantasy · 发表于 2010-6-24 10:04:46

Established貌似只能对TCP有用，有没有UDP和tcp都行的！
就是要实现哥能玩你，你只能站着给哥玩！

hjn198916 · 发表于 2010-6-24 10:07:29

那就用自反列表啊哥别玩我

FinalFantasy · 发表于 2010-6-24 10:13:28

讲着讲着好像就到NP的内容了，这个自反杂回事，杂配置啊！

hjn198916 · 发表于 2010-6-24 10:33:10

用ACL来实现类似的单向访问控制需要用到一种特殊的ACL，叫
Reflexive ACL。Reflexive ACL的配置分为两个部分，一部分是
outbound的配置，一部分是inbound的配置。
   Reflexive ACL中outbound的部分决定了我出去的哪些内网网络
流量是需要被单向访问的，inbound部分决定了这些流量在返回后能
被正确的识别并送给内网发起连接的PC机。

ip access-list extended outbound
  permit icmp any any reflect icmp_traffic

ip access-list extended inbound
  evaluate icmp_traffic

interface s0
  ip access-group outbound out
  ip access-group inbound in

王晓强 · 发表于 2010-6-24 10:43:29

如果是想实现A能主动访问B，但B不能主动访问A。
可以使用防火墙实现。防火墙设置安全等级。
高安全等级主动访问低安全等级可以通过，低安全等级不允许主动访问高安全等级。

林原静羽 · 发表于 2010-6-24 10:49:51

6# 7#正解~

FinalFantasy · 发表于 2010-6-24 10:55:29

linda.! · 发表于 2010-6-24 11:12:58

6楼说的很正确，主要使用如下;
R1(config)#ip access-list extended outbound
R1(config-ext-nacl)# permit icmp any any reflect spoto
R1(config)#ip access-list extended inbound
R1(config-ext-nacl)# evaluate spoto
R1(config)#interface e0/1
R1(config-if)#ip access-group inbound in
R1(config-if)#ip access-group outbound out

账号		自动登录	找回密码
密码			立即注册

[讨论/求助] 【CCNA求助】关于ACL的问题

本帖子中包含更多资源