雏鹰部落

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
查看: 6785|回复: 14

[讨论/求助] 【CCNA求助】关于ACL的问题

  [复制链接]
发表于 2010-6-24 09:18:28 | 显示全部楼层 |阅读模式

如果想教师不能访问校长,校长却能访问教师应该如何做ACL?起初以为在R1上e0/0上做个标准acl
就OK了,但是做完校长也ping不通教师了!!!!!!!why

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x
发表于 2010-6-24 09:47:40 | 显示全部楼层
应为ping包要有来回,标准ACL没有用的
试试用自反列表或者Established选项
 楼主| 发表于 2010-6-24 10:04:46 | 显示全部楼层
Established貌似只能对TCP有用,有没有UDP和tcp都行的!
就是要实现哥能玩你,你只能站着给哥玩!
发表于 2010-6-24 10:07:29 | 显示全部楼层
那就用自反列表啊  哥 别玩我
 楼主| 发表于 2010-6-24 10:13:28 | 显示全部楼层
讲着讲着好像就到NP的内容了,这个自反杂回事,杂配置啊!
发表于 2010-6-24 10:33:10 | 显示全部楼层
用ACL来实现类似的单向访问控制需要用到一种特殊的ACL,叫
Reflexive ACL。Reflexive ACL的配置分为两个部分,一部分是
outbound的配置,一部分是inbound的配置。
      Reflexive ACL中outbound的部分决定了我出去的哪些内网网络
流量是需要被单向访问的,inbound部分决定了这些流量在返回后能
被正确的识别并送给内网发起连接的PC机。

ip access-list extended outbound
  permit icmp any any reflect icmp_traffic

ip access-list extended inbound
  evaluate icmp_traffic

interface s0
  ip access-group outbound out
  ip access-group inbound in
发表于 2010-6-24 10:43:29 | 显示全部楼层
如果是想实现A能主动访问B,但B不能主动访问A。
可以使用防火墙实现。防火墙设置安全等级。
高安全等级主动访问低安全等级可以通过,低安全等级不允许主动访问高安全等级。
发表于 2010-6-24 10:49:51 | 显示全部楼层
6# 7#正解~
 楼主| 发表于 2010-6-24 10:55:29 | 显示全部楼层
发表于 2010-6-24 11:12:58 | 显示全部楼层
6楼说的很正确,主要使用如下;
R1(config)#ip access-list extended outbound
R1(config-ext-nacl)# permit icmp any any reflect spoto
R1(config)#ip access-list extended inbound
R1(config-ext-nacl)# evaluate spoto
R1(config)#interface e0/1
R1(config-if)#ip access-group inbound in
R1(config-if)#ip access-group outbound out
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|熊猫同学技术论坛|小黑屋| 网络工程师论坛 ( 沪ICP备09076391 )

GMT+8, 2024-12-23 20:05 , Processed in 0.087976 second(s), 19 queries , Gzip On.

快速回复 返回顶部 返回列表