自反ACL
拓扑以及地址规划
Ping 通截图
- 配置拒绝外网主动访问内网
配置允许ICMP可以不用标记就进入内网,其它的必须被标记才返回
r1(config)#ip access-list extended come
r1(config-ext-nacl)#permit icmp any any 被允许的ICMP是不用标记即可进入内网的
r1(config-ext-nacl)#evaluate abc 其它要进入内网的,必须是标记为abc的
r1(config)#int f0/1
r1(config-if)#ip access-group come in
测试外网R4的ICMP访问内网以及外网R4 telnet内网
ICMP可进入内网 Telnet不能进入内网
测试内网R3的ICMP访问外网以及内网R3发起telnet到外网
- 配置内网向外网发起的telnet被返回
配置内网出去,telnet被记录为abc,将会被允许返回
r1(config)#ip access-list extended goto
r1(config-ext-nacl)#permit tcp any any eq telnet reflect abc timeout 60 telnet已记为abc
r1(config-ext-nacl)#permit ip any any
r1(config)#int f0/1
r1(config-if)#ip access-group goto out
测试R3到外网的ICMP以及内网向外网发起telnet
查看ACL
Show ip access-lists
可知abc的ACL为允许外网到内网的telnet,正是由于内网发到外网的telnet被标记了,所以也自动产生了允许其返回的ACL,并且后面跟有剩余时间。