迅捷路由器自反訪問控制列表實現方法

2020-04-18 12:38:18

字體：大中小

來源：轉載

供稿：網友

一、簡單示例
ip access-list extended abc
deny icmp any 192.168.1.0 0.0.0.255
permit ip any any
exit
int s0/0
ip access-group abc in
上述是禁止外網去ping內網的192.168.1.0/24這個網段，這時如果你想從192.168.1.1去ping外網也是ping不通的，因為通信都是雙向的，限制住一面的流量就都不通了。

二、自反ACL
ip access-list extended refin
permit ospf any any
evaluate abc
exit
ip access-list extended refout
permit ip any any reflect abc
exit
int s0/0
ip access-group refin in
ip access-group rofut out
exit
ip reflexive-list timeout 60

1、在接口的in方向上只允許了一個ospf協議，其他訪問都禁止了，也就是不允許外網訪問內網，evaluate abc嵌套了一個反射ACL，名稱為abc。
2、在接口的out方向上，允許所有的訪問，可以出去但是回不來，所以在permit ip any any 后加上了一個reflect abc，此時任何從內網發起的流量如果它匹配這條permit ip any any reflect abc語句的話，則自動在refin的列表中創建一條動態的permit語句。
3、自反ACL一直是permit的，ip reflexive-list timeout 60 設置的是反射出來的條目的有效時間。

上一篇：騰達tenda路由器虛擬服務器設置介紹(圖)

下一篇：如何設置3G無線路由器的圖文詳細步驟