目錄

一、前言

二、實驗

實驗1：使用ACL控制鏈路連通性

 實驗2：在思科模擬器Cisco Packet Tracer實現自反ACL

步驟一：給路由器2911開啟securityk9模式

步驟二：配置ACL

步驟三：驗證連通性

 三、總結

一、前言

        最近在通過Cisco Packet Tracer模擬器學習ACL時，遇到的一點小問題，ACL分為標准的ACL訪問控制列錶和擴展的訪問控制列錶，但是當給某一路由器配置了一條訪問控制列錶，雖然是實現禁止該條例控制列錶，但是無法從對端PING回來。具體現象如下：

二、實驗

實驗1：使用ACL控制鏈路連通性

實驗拓撲圖

測試連通性

配置ACL

給路由器0 2911配置ACL（這裏只是簡單的使用了標准的ACL）

tsy(config)#access-list 11 deny 192.168.10.0 0.0.0.255  //禁止192.168.10.0網段的路由通過
tsy(config)#access-list 11 permit any          //注意：這一行是最重要的，在cisco裏面只要是創建了訪問控制列錶（上一條），其餘的網段也默認禁止，只有寫入這一行才能接觸默認的禁止
tsy(config)#int g0/1
tsy(config-if)#ip access-group 11 out          //引用到接口G0/1
tsy(config-if)#exit
tsy(config)#exit

查看訪問控制列錶

tsy#show ip ac
tsy#show ip access-lists 
Standard IP access list 11
    10 deny 192.168.10.0 0.0.0.255
    20 permit any

tsy#

再次測試連通性

為什麼PC1去PingPC0不通，不只是限制了PC0去往PC1的路由嗎？！！！

因為Ping的執行過程，是兩個終端之間相互詢問與確認的過程：

 實驗2：在思科模擬器Cisco Packet Tracer實現自反ACL

        那我們該如何實現單向的Ping通，對端無法Ping通自己呢？通過在度娘的知識寶庫找了一番，參考了百度經驗：https://jingyan.baidu.com/article/948f5924a79294d80ef5f95c.html

步驟一：給路由器2911開啟securityk9模式

tsy#conf terminal                       //進入配置模式
tsy(config)#license boot module c2900 technology-package securityk9  //開啟securityk9模式
                              
 //此處省略                                                                      
                                                                       
ACCEPT? [yes/no]: Y //確認
tsy#write 
Building configuration...
[OK]
tsy#reload          //重新啟動
//此處省略
tsy>en
tsy#show lic
tsy#show license fe
tsy#show license feature       //重啟後查看許可文件情况，securityk9已開啟
Feature name      Enforcement  Evaluation  Subscription   Enabled  RightToUse
ipbasek9          no           no          no             yes      no
securityk9        yes          yes         no             yes      yes
datak9            yes          no          no             no       yes
uck9              yes          yes         no             no       yes

tsy#conf terminal 
Enter configuration commands, one per line.  End with CNTL/Z.
tsy(config)#

步驟二：配置ACL

tsy#conf terminal              //進入配置模式
tsy(config)#ip access-list extended TSY  //添加擴展訪問控制列錶TSY
tsy(config-ext-nacl)#deny ip any any     //禁止所有網段通過
tsy(config-ext-nacl)#exit
tsy(config)#int G0/1                     //在接口G0/1中應用
tsy(config-if)#ip access-group TSY in    //訪問控制列錶TSY被應用於接口G0/1的進入通道
tsy(config-if)#exit
tsy(config)#ip inspect name Tong http audit-trail on  //這一句我理解的是允許http往返報文的執行，標志為Tong的
tsy(config)#ip inspect name Tong icmp audit-trail on  //允許icmp往返報文的執行，標志為Tong的
tsy(config)#int G0/1                     //在接口G0/1中應用
tsy(config-if)#ip inspect Tong out       //訪問控制列錶TONG被應用於接口G0/1的輸出通道
tsy(config-if)#exit
tsy(config)#exit

這裏不知道理解的對不對，望大佬指正！

查看訪問控制列錶

tsy#show ip access-lists 
Extended IP access list TSY
    10 deny ip any any (4 match(es))

步驟三：驗證連通性

 三、總結

這裏的自反ACL，只是在思科模擬器中的是這麼使用的，但是正確的自反ACL並不是這樣的！！！