自反acl的配置
实验环境:小凡模拟器
实验目的:通过访问控制列表实现内网可以访问外网但是,外网不能访问内网。
配置r1:
r1(config)#line console 0
r1(config-line)#logging syn
r1(config-line)#no exec
r1(config-line)#int f0/0
r1(config-if)#ip address 192.168.1.1 255.255.255.0
r1(config-if)#inter s1/0
r1(config-if)#ip address 192.168.2.1 255.255.255.0
r1(config-if)#exit
r1(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.2(配置路由)
配置r2:
r2(config-if)#line conso 0
r2(config-line)#logging syn
r2(config-line)#no exec
r2(config)#inter s1/0
r2(config-if)#ip address 192.168.2.2 255.255.255.0
r2(config-if)#inter f0/0
r2(config-if)#ip address 192.168.3.1 255.255.255.0
r2(config)#ip route 192.168.2.0 255.255.255.0 192.168.2.1(做路由)
r1上:
r1(config)#ip access-list extend out-filt
r1(config-ext-nacl)#permit ip any any reflect liufan(定义自反reflect)
r1(config-if)#ip access-group out-filt out
r1(config-if)#ip access-list extend in-filt
r1(config-ext-nacl)#evaluate liufan (评估反射)
r1(config-ext-nacl)#inter s1/0
r1(config-if)#ip access-group in-filt in
测试:
内网ping外网(pc1————)pc2):
外网ping内网:
R1上查看:
Pc1和pc2建立远程连接:
R1上查看:
Pc2不能连接到pc1
