192.168.1.1-路由器设置 | 192.168.0.1-无线路由器设置

Cisco路由器:反向ACL的实例(附命令行)

发布时间:2016-01-12 09:27

 昨天在4号通讯机房里,通过思科模拟器来完成了这个反向acl的试验。附带的命令行如下:

 
ip access-list extended REFLECTACLIN
 evaluate FROMINSIDE 
 deny   ip any any log
最重要的语句是evaluate,能自动根据FROMINSIDE这个反射ACL自动插入ACL来允许回包。
 
ip access-list extended REFLECTACLOUT
 permit tcp any any reflect FROMINSIDE  <<这是一条反射acl的写法,这个FROMINSIDE会自动创建,不需另外定义。
 permit udp any any reflect FROMINSIDE
 permit icmp any any reflect FROMINSIDE
可以在后面加上超时时间
permit tcp any any reflect FROMINSIDE timeout ?
  <1-2147483>  Maximum time to live in seconds
 
 
interface Dialer1
 ip access-group REFLECTACLIN in
 ip access-group REFLECTACLOUT out
这两条ACL需要挂在面向外部的接口上。
关于我们 - RSS地图 - 最近更新 - 友情链接 - 网站地图 - 版权声明