R6
ip access-list extended aclin
evaluate tcp
permit ospf any any
deny ip any any
ip access-list extended aclout
permit ip 192.168.5.0 0.0.0.255 any reflect tcp(192.168.5.0应该变成192.168.11.0吧?)
怪了,我发的帖子怎么总没呢?
Router(config-ext-nacl)#permit ip 192.168.5.0 0.0.0.255 any reflect tcp
需要修改为:
Router(config-ext-nacl)#permit ip 192.168.11.0 0.0.0.255 any reflect tcp
按你的方法两边都ping不通了,下面是我R6的ACL配置,S0/0就是R6右边的口子
ip access-list extended aclin
evaluate tcp
permit ospf any any
deny ip any any
ip access-list extended aclout
permit ip 192.168.11.0 0.0.0.255 any reflect tcp
int s0/0
ip access-group aclin in
你从领导办公室往外ping一下,然后使用命令show ip access-list。
查看下有没有下面的条目
Reflexive IP access list test
permit ip host 192.168.X.Y host 192.168.11.Z
如果没出来,那就是反向ACL没起作用,就是reflect这条语句,那我估计就是你的模拟器的问题了。
我又有了一个想法,我不知道你做控制访问列表的时候,用没用序号。
我刚才做了一个实验,
ip access-list extended dd
deny ip any any
permit ip any any
!
!
控制访问列表做成这样,也能ping通,因为我做的时候permit序号是5,但是deny(序号10)是先敲进去的,所以就出现了这种情况。
我建议你把所有的条目删除掉,重新加载下,带上序号避免出错。
ip access-list extended aclin
10 evaluate tcp
20 permit ospf any any
30 deny ip any any
把所有条目都删了,按照上面的重新加载下试试。(必须删除重做,重新定义序列号,试图覆盖原有命令不好使)
ip access-list extended aclout只有一个条目,就不用重新做了。
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
发表于 2015-5-10 06:23:53
楼主