一、简单示例
ip access-list extended abc
deny icmp any 192.168.1.0 0.0.0.255
permit ip any any
exit
int s0/0
ip access-group abc in
上述是禁止外网去ping内网的192.168.1.0/24这个网段,这时如果你想从192.168.1.1去ping外网也是ping不通的,因为通信都是双向的,限制住一面的流量就都不通了。
二、自反ACL
ip access-list extended refin
permit ospf any any
evaluate abc
exit
ip access-list extended refout
permit ip any any reflect abc
exit
int s0/0
ip access-group refin in
ip access-group rofut out
exit
ip reflexive-list timeout 60
1、在接口的in方向上只允许了一个ospf协议,其他访问都禁止了,也就是不允许外网访问内网,evaluate abc嵌套了一个反射ACL,名称为abc。
2、在接口的out方向上,允许所有的访问,可以出去但是回不来,所以在permit ip any any 后加上了一个reflect abc,此时任何从内网发起的流量如果它匹配这条permit ip any any reflect abc语句的话,则自动在refin的列表中创建一条动态的permit语句。
3、自反ACL一直是permit的,ip reflexive-list timeout 60 设置的是反射出来的条目的有效时间。
【迅捷路由器自反访问控制列表实现方法】相关文章: