论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2008-12-02 15:57 |显示全部楼层 |倒序浏览

10可用积分

1.路由器cisco2800 e0/0 ip 172.31.130.220 e0/1 ip 129.9.168.110
  内网172.31.130.0/255.255.255. 外网129.9.168.0/255.255.255.0
1。内网172.31.130.0/255.255.255.0访问129.9.168.0/255.255.255.0 无限制
2。外网机器129.9.168.120访问内网无限制
3。外网可以访问内网的172.31.130.10 ftp
我现在配置了这样的策略
access-list 101 permit ip any host 129.9.168.120
access-list 101 permit tcp any  host 172.31.130.10 eq 20
access-list 101 permit tcp any  host 172.31.130.10 eq 21
int e0/1
ip access-group 101 in
策略生效后发现172.31.130.10 访问不了外网其他机器ftp是啥原因？

[ 本帖最后由 shimu 于 2008-12-2 16:08 编辑 ]

思科, 思科

文库|博客

shimu

家境小康

论坛徽章:: 0

2楼 [报告]

发表于 2008-12-02 17:01 |显示全部楼层

原帖由 hackmail 于 2008-12-2 16:35 发表
你做的ACL是错的,没有起到效果.
你的外网用的是公网IP,内网是私有的IP,在外部不可能直接访问内网服务器的.

这公网和外网是自己定义的，不是internet.
实际上是用这个路由器连接这连接这两个网段，并做策略路由。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

shimu

家境小康

论坛徽章:: 0

3楼 [报告]

发表于 2008-12-02 17:02 |显示全部楼层

原帖由 ssffzz1 于 2008-12-2 16:58 发表
1、确认没有ACL时候正常否。
2、用FTP的主动模式试试。

1、确认没有ACL时候正常否。正常2、用FTP的主动模式试试。必须支持FTP所有的模式
谢谢

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

shimu

家境小康

论坛徽章:: 0

4楼 [报告]

发表于 2008-12-02 18:07 |显示全部楼层

多谢各位的答复，这些方面不太熟。
1.不管我写的策略正确的策略应该怎么写呢？
2.我说的内网和外网只是表示两个网段（整个网络就这两个网段，这两网段都不和internet相连），不是公网和内网的区别，两网段之间互相访问，应该不需要NAT映射吧？
3.大家是不是把问题复杂化了？其实就上面两个网段，上面三个要求，和公网，internet不搭边。

[ 本帖最后由 shimu 于 2008-12-2 18:18 编辑 ]

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

shimu

家境小康

论坛徽章:: 0

5楼 [报告]

发表于 2008-12-02 18:17 |显示全部楼层

原帖由 shimu 于 2008-12-2 17:02 发表

1、确认没有ACL时候正常否。正常2、用FTP的主动模式试试。必须支持FTP所有的模式
谢谢

我现在就从172.31.130.10 用ftp 客户端访问129.9.168.162 不行，主动访问和被动访问还没弄特别明白。
我执行指令是
在172.31.130.10
ftp 129.9.168.162
就不动了
没生效上面策略就没问题。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

shimu

家境小康

论坛徽章:: 0

6楼 [报告]

发表于 2008-12-02 23:55 |显示全部楼层

原帖由 qdigrp 于 2008-12-2 18:37 发表
access-list 101 permit tcp any host 172.31.130.10 eq 20
access-list 101 permit tcp any host 172.31.130.10 eq 21
你这二句acl好像j172.31.130.10这台pc 开了ftp ,而172.31.130.10并不是你所说的外网p ...

172.31.130.10,这台机器是我定义的内网机器

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

shimu

家境小康

论坛徽章:: 0

7楼 [报告]

发表于 2008-12-03 00:00 |显示全部楼层

原帖由 ssffzz1 于 2008-12-2 20:04 发表
那你搜索自反ACL 这个可以满足你的要求

配置步骤<接口及路由配置略>
第一步：定义内网访问外网的ACL
RA(config)# ip access-list extended REFIN
RA(config-ext-nacl)# permit tcp 192.168.1.0 0.0.0.255 any reflect REF  //指定对该条语句执行自反，自反列表的名字为REF
第二步：定义外网访问内网的ACL
RA(config)# ip access-list extended REFOUT
RA(config-ext-nacl)# evaluate TCP  //计算并生成自反列表（对第一步定义的名字为TCP的条目进行自反计算并生成相应的条目）
RA(config-ext-nacl)#deny ip any any
第三步：将创建的自反列表应用于相应的接口
RA(config)# int f0/0  //内网接口
RA(config-if)# ip access-group REFIN in  //应用内网用户访问外网的ACL
RA(config)# int s0/0  //外网接口
RA(config-if)# ip access-group REFOUT in  //应用外网访问内网的ACL

谢谢，但外网段129.9.168.0/255.255.255.0 访问内网段172.31.130.10的ftp怎么加
对cisco不熟，感谢！

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

返回列表

Chinaunix › 论坛 › IT运维 › 网络技术 › 请教一个Cisco 的ACL的策略问题

请教一个Cisco 的ACL的策略问题 [复制链接]