注意必須是內部發起的!用命名的acl做。
不是很好理解,看個例子吧。
先看下面的:
ip access-list extended abc
deny icmp any 192.168.1.0 0.0.0.255
permit ip any any
exit
int s0/0
ip access-group abc in
這個acl是禁止外網去ping內網的192.168.1.0/24這個網段,但是我如果從192.168.1.1去ping外網是否能ping通?
不通!!記住,通訊都是雙向的!限制住一面的流量就都不通了!!
下面再來看自反acl吧;
ip access-list extended refin
permit ospf any any
evaluate abc '注意這條語句!
exit
ip access-list extended refout
permit ip any any reflect abc '還有這條!
exit
int s0/0
ip access-group refin in
ip access-group rofut out
exit
ip reflexive-list timeout 60
仔細看看先,在介面的in方向上只允許了乙個ospf協議,其他訪問都禁止了,也就是不允許外網訪問內網。evaluate abc巢狀了乙個反射acl,名稱為abc。
在介面的out方向上,允許所有的訪問,記住剛才提到的;可以出去但是回不來!!!所以在permit ip any any 後加上了乙個reflect abc,也就是說,任何從內網發起的流量如果它匹配這條permit ip any any reflect abc語句的話,則自動在refin的列表中建立一條動態的permit語句!用show access-lists可以看到!不是簡單的將這個條目中的源目的位址調過來啊!是詳細條目啊!
記住,自反acl永遠是permit的,做個實驗好好理解一下吧!
ip reflexive-list timeout 60 設定的是反射出來的條目的有效時間!
在路由器上配置動態訪問控制列表
這種acl是基於lock and key的,動態acl平時是不生效的,只用當條件觸發時才生效。例如 在某台路由器上我進行了如下配置 username netdigedu password 123 username netdigedu autocommand access enable host ti...
邁普路由器訪問控制列表配置命令 邁普路由器配置手冊
第 章系統基礎 本章主要講述邁普路由器中 mypower r 系統的基本知識,包括 mypower r 系統模式 配置環境的準備及命令列 介面的有關知識等。本章主要內容 路由器配置方式 命令執行模式 搭建配置環境 命令列介面 路由器web 配置1.1 路由器配置方式 邁普路由器為使用者提供了四種典型...
邁普路由器訪問控制列表配置命令 邁普路由器配置手冊
路由器配置手冊第章 系統基礎 本章主要講述邁普路由器中 mypower r 系統的基本知識,包括 mypower r 系統模式 配置環境的準備及命令列 介面的有關知識等。本章主要內容 路由器配置方式 命令執行模式 搭建配置環境 命令列介面 路由器web 配置1.1 路由器配置方式 邁普路由器為使用者...