请教一个Cisco 的ACL的策略问题

qdigrp

access-list 101 permit tcp any  host 172.31.130.10 eq 20
access-list 101 permit tcp any  host 172.31.130.10 eq 21
你这二句acl好像j172.31.130.10这台pc 开了ftp ,而172.31.130.10并不是你所说的外网pc的 ip address
是不是应该这样写
access-list 101 permit tcp any  host 外网 eq 20
access-list 101 permit tcp any  host 外网 eq 21
access-list 101 permit ip any any

[ 本帖最后由 qdigrp 于 2008-12-2 18:40 编辑 ]

ssffzz1

那你搜索 自反ACL 这个可以满足你的要求

shimu

原帖由 qdigrp 于 2008-12-2 18:37 发表
access-list 101 permit tcp any  host 172.31.130.10 eq 20
access-list 101 permit tcp any  host 172.31.130.10 eq 21
你这二句acl好像j172.31.130.10这台pc 开了ftp ,而172.31.130.10并不是你所说的外网p ...

172.31.130.10,这台机器是我定义的内网机器

shimu

原帖由 ssffzz1 于 2008-12-2 20:04 发表
那你搜索 自反ACL 这个可以满足你的要求

配置步骤<接口及路由配置略>
第一步：定义内网访问外网的ACL
RA(config)# ip access-list extended REFIN
RA(config-ext-nacl)# permit tcp 192.168.1.0 0.0.0.255 any reflect REF  //指定对该条语句执行自反，自反列表的名字为REF
第二步：定义外网访问内网的ACL
RA(config)# ip access-list extended REFOUT
RA(config-ext-nacl)# evaluate TCP  //计算并生成自反列表（对第一步定义的名字为TCP的条目进行自反计算并生成相应的条目）
RA(config-ext-nacl)#deny ip any any
第三步：将创建的自反列表应用于相应的接口
RA(config)# int f0/0  //内网接口
RA(config-if)# ip access-group REFIN in  //应用内网用户访问外网的ACL
RA(config)# int s0/0  //外网接口
RA(config-if)# ip access-group REFOUT in  //应用外网访问内网的ACL

谢谢，但外网段129.9.168.0/255.255.255.0 访问内网段172.31.130.10的ftp怎么加
对cisco不熟，感谢！

84master

ip nat outside source static tcp 129.9.168.110 21 172.31.130.10 21 extendable
ip nat outside source static tcp 129.9.168.110 20 172.31.130.10 20 extendable
这样是不是应该就可以了呢