请教一个Cisco 的ACL的策略问题

shimu

1.路由器cisco2800 e0/0 ip 172.31.130.220 e0/1 ip 129.9.168.110
  内网172.31.130.0/255.255.255. 外网129.9.168.0/255.255.255.0
1。内网172.31.130.0/255.255.255.0访问129.9.168.0/255.255.255.0 无限制
2。外网机器129.9.168.120访问内网无限制
3。外网可以访问内网的172.31.130.10 ftp
我现在配置了这样的策略
access-list 101 permit ip any host 129.9.168.120
access-list 101 permit tcp any  host 172.31.130.10 eq 20
access-list 101 permit tcp any  host 172.31.130.10 eq 21
int e0/1
ip access-group 101 in
策略生效后发现172.31.130.10 访问不了外网其他机器ftp是啥原因？

[ 本帖最后由 shimu 于 2008-12-2 16:08 编辑 ]

84master

ip nat outside source static tcp 129.9.168.110 21 172.31.130.10 21 extendable
ip nat outside source static tcp 129.9.168.110 20 172.31.130.10 20 extendable
这样是不是应该就可以了呢

shimu

原帖由 ssffzz1 于 2008-12-2 20:04 发表
那你搜索 自反ACL 这个可以满足你的要求

配置步骤<接口及路由配置略>
第一步：定义内网访问外网的ACL
RA(config)# ip access-list extended REFIN
RA(config-ext-nacl)# permit tcp 192.168.1.0 0.0.0.255 any reflect REF  //指定对该条语句执行自反，自反列表的名字为REF
第二步：定义外网访问内网的ACL
RA(config)# ip access-list extended REFOUT
RA(config-ext-nacl)# evaluate TCP  //计算并生成自反列表（对第一步定义的名字为TCP的条目进行自反计算并生成相应的条目）
RA(config-ext-nacl)#deny ip any any
第三步：将创建的自反列表应用于相应的接口
RA(config)# int f0/0  //内网接口
RA(config-if)# ip access-group REFIN in  //应用内网用户访问外网的ACL
RA(config)# int s0/0  //外网接口
RA(config-if)# ip access-group REFOUT in  //应用外网访问内网的ACL

谢谢，但外网段129.9.168.0/255.255.255.0 访问内网段172.31.130.10的ftp怎么加
对cisco不熟，感谢！

shimu

原帖由 qdigrp 于 2008-12-2 18:37 发表
access-list 101 permit tcp any  host 172.31.130.10 eq 20
access-list 101 permit tcp any  host 172.31.130.10 eq 21
你这二句acl好像j172.31.130.10这台pc 开了ftp ,而172.31.130.10并不是你所说的外网p ...

172.31.130.10,这台机器是我定义的内网机器

ssffzz1

那你搜索 自反ACL 这个可以满足你的要求

qdigrp

access-list 101 permit tcp any  host 172.31.130.10 eq 20
access-list 101 permit tcp any  host 172.31.130.10 eq 21
你这二句acl好像j172.31.130.10这台pc 开了ftp ,而172.31.130.10并不是你所说的外网pc的 ip address
是不是应该这样写
access-list 101 permit tcp any  host 外网 eq 20
access-list 101 permit tcp any  host 外网 eq 21
access-list 101 permit ip any any

[ 本帖最后由 qdigrp 于 2008-12-2 18:40 编辑 ]

shimu

原帖由 shimu 于 2008-12-2 17:02 发表

1、确认没有ACL时候正常否。正常2、用FTP的主动模式试试。 必须支持FTP所有的模式
谢谢

我现在就从172.31.130.10 用ftp 客户端访问129.9.168.162 不行，主动访问和被动访问还没弄特别明白。
我执行指令是
在172.31.130.10
ftp 129.9.168.162
就不动了
没生效上面策略就没问题。

shimu

多谢各位的答复，这些方面不太熟。
1.不管我写的策略正确的策略应该怎么写呢？
2.我说的内网和外网只是表示两个网段（整个网络就这两个网段，这两网段都不和internet相连），不是公网和内网的区别，两网段之间互相访问，应该不需要NAT映射吧？
3.大家是不是把问题复杂化了？其实就上面两个网段，上面三个要求，和公网，internet不搭边。

[ 本帖最后由 shimu 于 2008-12-2 18:18 编辑 ]

ssffzz1

算了，不和你细说了。

要么做NAT，开映射。

要么做自反ACL

ssffzz1

我是问你用主动模式是否正常，不是说要你以后就用主动模式。

我要你的结果是分析问题用的。

shimu

原帖由 ssffzz1 于 2008-12-2 16:58 发表
1、确认没有ACL时候正常否。
2、用FTP的主动模式试试。

1、确认没有ACL时候正常否。正常2、用FTP的主动模式试试。 必须支持FTP所有的模式
谢谢