扩展的acl实现icmp的控制

1081302221

用两台路由器r1与r2直连，用扩展的acl怎么实现r1能ping通r2，但r2不能ping通r1

tea

access-list 100 permit icmp host 1.1.1.2 host 1.1.1.1 echo-reply
access-list 100 deny   icmp host 1.1.1.2 host 1.1.1.1 echo
access-list 100 permit ip any any
应用在R1接口，in方向 上述是为了让楼主搞清楚acl对icmp的控制，

其实
access-list 100 deny   icmp host 1.1.1.2 host 1.1.1.1 echo
access-list 100 permit ip any any
也可以

1081302221

tea 发表于 2012-3-25 13:25
access-list 100 permit icmp host 1.1.1.2 host 1.1.1.1 echo-reply
access-list 100 deny   icmp host 1 ...

那我想问下ehco与ehco-reply的区别是什么呀？为什么我禁用icmp（不加ehco的时候）会造成不能ping通另一方

tea

你想啊，你在R1上把R2过来的icmp包给禁了，就变成啥了？ 数据通信是双向的，
你想让R1ping通R2，但不让R2ping通R1，于是就在R1上把R2过来的icmp全给禁了，那么r1 ping R2的时候，出去没有问题，但是icmp 的回报呢？ 一样给禁了，

1081302221

tea 发表于 2012-3-25 13:56
你想啊，你在R1上把R2过来的icmp包给禁了，就变成啥了？ 数据通信是双向的，
你想让R1ping通R2，但不让R2p ...

谢谢哦