求助这个反向ACL怎么做

子非鱼安知鱼

领导办公室能访问其他部门和互联网，而其他部门和互联网不能访问领导办公室，我在R6上是这么做的，为什么这样做了之后R6上没有路由条目了，只有直连路由条目，而其他路由器上有R6的路由条目，但是ping不通。用的是OSPF协议。
Router(config)#ip access-list extended aclout
Router(config-ext-nacl)#permit ip 192.168.5.0 0.0.0.255 any reflect tcp
Router(config)#ip access-list extended aclin
Router(config-ext-nacl)#evaluate tcp
Router(config-ext-nacl)#deny ip any any
Router(config)#interface s0/0
Router(config-if)#ip access-group aclout out
Router(config-if)#ip access-group aclin in

fengyuzhuifeng

"Router(config-if)#ip access-group aclin in"
把这个删除掉试试。 或者说，这个 acl 都可以删除了，试试吧。

子非鱼安知鱼

fengyuzhuifeng 发表于 2015-5-9 18:42
"Router(config-if)#ip access-group aclin in"
把这个删除掉试试。 或者说，这个 acl 都可以删除了，试 ...

删掉是可以ping通，但是双方都可以ping了，达不到这个要求了啊领导办公室能访问其他部门和互联网，而其他部门和互联网不能访问领导办公室，一下子我不知道卡在哪里了。

940203388

562

gkilometre

我这么觉得的，如果要想实现这个功能，必须使用网络地址转换，领导办公室的IP包出去之后，源IP转换成其他的IP地址，这样其他人就访问不到领导办公室，因为没有路由。
我做了一个PT的模型，你看下吧，跟你的稍有不同，
我下面没那么些路由器，用的子接口做的，也起了OSPF，
不过不影响，主要是看领导路由器的OSPF配置、路由通告。

gkilometre

我这么觉得的，如果要想实现这个功能，必须使用网络地址转换，领导办公室的IP包出去之后，源IP转换成其他的IP地址，这样其他人就访问不到领导办公室，因为没有路由。
我做了一个PT的模型，你看下吧，跟你的稍有不同，
我下面没那么些路由器，用的子接口做的，也起了OSPF，
不过不影响，主要是看领导路由器的OSPF配置、路由通告。

fengyueshusheng

你这个路由器是什么型号的？

gkilometre

模拟器是Cisco Packet Tracer，路由器型号是2911。

子非鱼安知鱼

gkilometre 发表于 2015-5-9 21:26
我这么觉得的，如果要想实现这个功能，必须使用网络地址转换，领导办公室的IP包出去之后，源IP转换成其他的 ...

NAT是做了的 做在R1的F2/0口 就是对接云的口子

子非鱼安知鱼

fengyueshusheng 发表于 2015-5-9 21:52
你这个路由器是什么型号的？

3600

gkilometre

子非鱼安知鱼 发表于 2015-5-9 22:02
NAT是做了的 做在R1的F2/0口 就是对接云的口子

你看看我的配置，主要是领导办公室的路由器的配置，我说的NAT是指，在领导办公室的路由器上做NAT，然后领导访问外网的时候再进行NAT。领导办公室的路由器做OSPF的时候，只通告上联口的子网，不通告下联口的子网。我的配置中，两个路由器做了NAT。

gkilometre

我想了下，主要原因应该是OSPF包进行封装的时候，目的地址是组播地址，源地址是路由器自身IP地址，自反的时候，路由器允许进来的包源地址是组播地址，目的地址路由器自身的IP地址，你合计合计，这样OSPF肯定不通了，因为OSPF是发的组播包，不会发单播包，而且OSPF的源地址也不可能是组播地址。所以建议在deny ip any any前面加一个permit ospf any any。

子非鱼安知鱼

gkilometre 发表于 2015-5-9 22:33
我想了下，主要原因应该是OSPF包进行封装的时候，目的地址是组播地址，源地址是路由器自身IP地址，自反的时 ...

对哦 ，OSPF是对IP封装的，我把所有数据都给拒绝了， 我去试试，谢谢你的感慨指导了

子非鱼安知鱼

gkilometre 发表于 2015-5-9 22:33
我想了下，主要原因应该是OSPF包进行封装的时候，目的地址是组播地址，源地址是路由器自身IP地址，自反的时 ...

deny ip any any前面加了一个permit ospf any any   
路由条目可以看到了 但是还是ping不通，你看看我的配置吧，麻烦你了看看是不是那个地方有错。

子非鱼安知鱼

gkilometre 发表于 2015-5-9 21:26
我这么觉得的，如果要想实现这个功能，必须使用网络地址转换，领导办公室的IP包出去之后，源IP转换成其他的 ...

这样是可以了，但是另外一个需求怎么实现？4个部门不能相互访问，或者财务部门可以访问其他部门，而其他部门不可以访问财务部门除了领导。难道要一条一条的加ACL吗？子接口之间怎么用ACL，我只知道vlan之间怎么用啊。。