自反acl

拓扑

 

 

我的学号为201610110045,所以是45

路由器

接口

Ip地址

R1

F0/0

10.45.1.1

R3

F0/0

10.45.1.2

F0/1

10.45.2.1

R4

F0/0

10.45.2.2

R2

F0/0

10.45.2.3

 

首先先配置ip地址,让拓扑配置通

自反acl

R3:

R3(config)#ip access-list extended come

R3(config-ext-nacl)#permit icmp any any //允许icmp报文通过,就是允许内外网互相ping

R3(config-ext-nacl)#evaluate abc//其他报文要需要abc这个tag才能通过

R3(config)#ip access-list extended goto

R3(config-ext-nacl)#permit tcp any any reflect abc timeout 10//通过的tcp报文打上abc的tag

R3(config)#interface f0/0

R3(config-if)#ip access-group goto out//从f0/0出去的使用goto规则

R3(config-if)#ip access-group come in//从f0/0进来的使用come规则

 

这样理论上是内外网ping可以互通,内网telnet外网允许,外网telnet内网不允许,测试如下理论成功

 

 

上图R4telnetR1成功

 

 

上图R1telnetR4失败

posted @ 2019-05-29 18:30  外焦里嫩马斯洛  阅读(383)  评论(6编辑  收藏  举报