自反ACL案例配置

一、作业要求

路由器模仿的pc1，pc2;要求pc1可以访问pc2上的所有服务，而PC2不能访问PC1上的任何服务。

配置思路：

使用自反acl，使PC1发出的数据在回来时也被允许进入路由器。然后在Route上配置扩展acl禁止所有数据包从s0/1接口进入。

二、拓扑图

　　三、配置步骤：

　　PC1

　　Router>en

　　Router#config t

　　Router(config)#line con 0

　　Router(config-line)#logg sy //日志同步

　　Router(config-line)#no exec-timeout //取消超时

　　Router(config-line)#EXIT

　　Router(config)#int ser 0/0

　　Router(config-if)#ip add 192.168.1.1 255.255.255.0

　　Router(config-if)#no shut

　　Router(config-if)#ex

　　Router(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.2 //配置网关

　　Router(config)#end

　　PC2

　　Router#config t

　　Router(config)#line con 0

　　Router(config-line)#no exec-timeout //取消超时

　　Router(config-line)#exit

　　Router(config)#int se 0/1

　　Router(config-if)#ip add 192.168.2.2 255.255.255.0

　　Router(config-if)#no shut

　　Router(config-if)#

　　Router(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.1 //配置网关

　　Router(config)#end

　　配置vty登录密码，允许telnet登录

　　Router(config)#line vty 0 4

　　Router(config-line)#password 123

　　Router(config-line)#login

　　Route

　　Router>en

　　Router#config t

　　Router(config)#line con 0

　　Router(config-line)#logg sy //日志同步

　　Router(config-line)#no exec-timeout //取消超时

　　Router(config-line)#exit

　　Router(config)#int ser 0/0

　　Router(config-if)#ip add 192.168.1.2 255.255.255.0

　　Router(config-if)#no shut

　　Router(config-if)#int ser 0/1

　　Router(config-if)#ip add 192.168.2.1 255.255.255.0

　　Router(config-if)#no shut

　　Router(config)#end

　　Router(config)#ip access-list extended to_out //创建内网访问外网的名称访问控制列表to_out

　　Router(config-ext-nacl)#permit ip 192.168.1.0 0.0.0.255 any reflect REF//允许内网访问任何网络，创建自反列表，名字为REF

　　Router(config-ext-nacl)#exit

　　Router(config)#ip access-list extended to_in//创建外网访问内网的名称访问控制列表to_in

　　Router(config-ext-nacl)#evaluate REF //计算并生成自反列表(对第一步定义的名字为REF的条目进行自反计算并生成相应的条目)