求助这个反向ACL怎么做

gkilometre · 发表于 2015-5-10 06:23:53

子非鱼安知鱼发表于 2015-5-9 23:04
deny ip any any前面加了一个permit ospf any any
路由条目可以看到了但是还是ping不通，你看看我的 ...

R6
ip access-list extended aclin
evaluate tcp
permit ospf any any
deny ip any any
ip access-list extended aclout
permit ip 192.168.5.0 0.0.0.255 any reflect tcp（192.168.5.0应该变成192.168.11.0吧？）

Rockyw · 发表于 2015-5-10 10:29:42

路过了解一下

gkilometre · 发表于 2015-5-10 12:08:12

怪了，我发的帖子怎么总没呢？
Router(config-ext-nacl)#permit ip 192.168.5.0 0.0.0.255 any reflect tcp
需要修改为：
Router(config-ext-nacl)#permit ip 192.168.11.0 0.0.0.255 any reflect tcp

子非鱼安知鱼 · 发表于 2015-5-10 12:40:45

qitzhan 发表于 2015-5-10 11:26
在r6上
配acl
ip acce ex qemu5

按你的方法两边都ping不通了，下面是我R6的ACL配置，S0/0就是R6右边的口子
ip access-list extended aclin
evaluate tcp
permit ospf any any
deny ip any any
ip access-list extended aclout
permit ip 192.168.11.0 0.0.0.255 any reflect tcp
int s0/0
ip access-group aclin in

gkilometre · 发表于 2015-5-10 18:54:48

本帖最后由 gkilometre 于 2015-5-10 19:14 编辑

你从领导办公室往外ping一下，然后使用命令show ip access-list。
查看下有没有下面的条目
Reflexive IP access list test
permit ip host 192.168.X.Y host 192.168.11.Z
如果没出来，那就是反向ACL没起作用，就是reflect这条语句，那我估计就是你的模拟器的问题了。

gkilometre · 发表于 2015-5-10 19:11:45

本帖最后由 gkilometre 于 2015-5-10 19:18 编辑

我又有了一个想法，我不知道你做控制访问列表的时候，用没用序号。
我刚才做了一个实验，
ip access-list extended dd
deny ip any any
permit ip any any
!
!
控制访问列表做成这样，也能ping通，因为我做的时候permit序号是5，但是deny（序号10）是先敲进去的，所以就出现了这种情况。
我建议你把所有的条目删除掉，重新加载下，带上序号避免出错。
ip access-list extended aclin
10 evaluate tcp
20 permit ospf any any
30 deny ip any any
把所有条目都删了，按照上面的重新加载下试试。（必须删除重做，重新定义序列号，试图覆盖原有命令不好使）
ip access-list extended aclout只有一个条目，就不用重新做了。

子非鱼安知鱼 · 发表于 2015-5-11 16:22:06

gkilometre 发表于 2015-5-10 18:54
你从领导办公室往外ping一下，然后使用命令show ip access-list。
查看下有没有下面的条目
Reflexive IP ...

我觉得应该是我GNS3有问题，我以前在别的电脑上做过这样的实验，都是可以的。不管怎么样都谢谢你了。

账号		自动登录	找回密码
密码			论坛注册

[求助] 求助这个反向ACL怎么做

客服中心

投诉建议