自反訪問控制列表

2021-09-20 20:27:19 字數 1074 閱讀 8030

【實驗要求】

需求:在企業邊界路由器上,只允許內網使用者主動訪問外網的流量,外網主動訪問內網的所有流量都拒絕,

【實驗拓撲】

【實驗配置】

企業邊界路由器:

inte***ce fastethernet0/0

ip address 23.0.0.1 255.255.255.0

ip access-group zifan-2 in !

inte***ce fastethernet1/0

ip address 12.0.0.2 255.255.255.0

ip access-group zifan in

! ip access-list extended zifan

permit ip host 12.0.0.1 any reflect link_in //指定該條語句執行自反,自反列表的名字為link_in !

ip access-list extended zifan-2

evaluate link_in //計算並生成自反列表

deny ip any any

—————————————————————–

說明1:reflect和evalute後面的對應名應該相同,此例中為link_in

說明2:自反acl只能在命名的擴充套件acl裡定義

—————————————————————–

【實驗驗證】  

router#sh access-lists

reflexive ip access list link_in

permit icmp host 23.0.0.2 host 12.0.0.1 (39 matches) (time left 289)

extended ip access list zifan

10 permit ip host 12.0.0.1 any reflect link_in (188 matches)

extended ip access list zifan-2

10 evaluate link_in

20 deny ip any any (52 matches)

在路由器上配置自反訪問控制列表

注意必須是內部發起的!用命名的acl做。不是很好理解,看個例子吧。先看下面的 ip access list extended abc deny icmp any 192.168.1.0 0.0.0.255 permit ip any any exit int s0 0 ip access group...

訪問控制列表

使用 acl 的指導原則 命名 acl 為 acl 指定名稱 名稱中可以包含字母數字字元。建議名稱以大寫字母書寫。名稱中不能包含空格或標點,而且必須以字母開頭。您可以新增或刪除 acl 中的條目。acl 的最佳做法 注 使用 acl 時務必小心謹慎 關注細節。一旦犯錯可能導致代價極高的後果,例如停機...

訪問控制列表

1 acl access control list。訪問控制列表 是用來實現資料報識別功能的 2 acl可應用於諸多方面 包過濾防火牆功能 nat network address translation,網路位址轉換 qos quality of service,服務質量 的資料分類 路由策略和過濾...