A-A+
Cisco路由器:反向ACL的实例(附命令行)
昨天在4号通讯机房里,通过思科模拟器来完成了这个反向acl的试验。附带的命令行如下:
ip access-list extended REFLECTACLIN
evaluate FROMINSIDE
deny ip any any log
最重要的语句是evaluate,能自动根据FROMINSIDE这个反射ACL自动插入ACL来允许回包。
ip access-list extended REFLECTACLOUT
permit tcp any any reflect FROMINSIDE <<这是一条反射acl的写法,这个FROMINSIDE会自动创建,不需另外定义。 permit udp any any reflect FROMINSIDE permit icmp any any reflect FROMINSIDE 可以在后面加上超时时间
- permit tcp any any reflect FROMINSIDE timeout ?
- <1-2147483> Maximum time to live in seconds
- interface Dialer1
- ip access-group REFLECTACLIN in
- ip access-group REFLECTACLOUT out
这两条ACL需要挂在面向外部的接口上。