Ping 通截图
(1)配置允许ICMP可以不用标记就进入内网,其它的必须被标记才返回
r1(config)#ip access-list extended come
r1(config-ext-nacl)#permit icmp any any 被允许的ICMP是不用标记即可进入内网的
r1(config-ext-nacl)#evaluate abc 其它要进入内网的,必须是标记为abc的
r1(config)#int f0/1
r1(config-if)#ip access-group come in
测试外网R4的ICMP访问内网
测试外网R4 telnet内网
说明:可以看到,除ICMP之外,其它流量是不能进入内网的。
(1) 测试内网R2的ICMP访问外网
(2) 测试内网R2发起telnet到外网
(1)配置内网出去时,telnet被记录为abc,将会被允许返回
r1(config)#ip access-list extended goto
r1(config-ext-nacl)#permit tcp any any eq telnet reflect abc timeout 60 telnet已记为abc
r1(config-ext-nacl)#permit ip any any
r1(config)#int f0/1
r1(config-if)#ip access-group goto out
查看R2到外网的ICMP
查看内网向外网发起telnet
查看ACL
可以看到,有一条为abc的ACL为允许外网到内网的telnet,正是由于内网发到外网的telnet被标记了,所以也自动产生了允许其返回的ACL,并且后面跟有剩余时间。
原文:https://www.cnblogs.com/www66267729/p/10902608.html