自反acl的配置
實驗環境:小凡模擬器
實驗目的:通過訪問控制列表實現內網可以訪問外網但是,外網不能訪問內網。
配置r1:
r1(config)#line console 0
r1(config-line)#logging syn
r1(config-line)#no exec
r1(config-line)#int f0/0
r1(config-if)#ip address 192.168.1.1 255.255.255.0
r1(config-if)#inter s1/0
r1(config-if)#ip address 192.168.2.1 255.255.255.0
r1(config-if)#exit
r1(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.2(配置路由)
配置r2:
r2(config-if)#line conso 0
r2(config-line)#logging syn
r2(config-line)#no exec
r2(config)#inter s1/0
r2(config-if)#ip address 192.168.2.2 255.255.255.0
r2(config-if)#inter f0/0
r2(config-if)#ip address 192.168.3.1 255.255.255.0
r2(config)#ip route 192.168.2.0 255.255.255.0 192.168.2.1(做路由)
r1上:
r1(config)#ip access-list extend out-filt
r1(config-ext-nacl)#permit ip any any reflect liufan(定義自反reflect)
r1(config-if)#ip access-group out-filt out
r1(config-if)#ip access-list extend in-filt
r1(config-ext-nacl)#evaluate liufan (評估反射)
r1(config-ext-nacl)#inter s1/0
r1(config-if)#ip access-group in-filt in
測試:
內網ping外網(pc1————)pc2):
外網ping內網:
R1上查看:
Pc1和pc2建立遠程連接:
R1上查看:
Pc2不能連接到pc1