一、前言

最近在通过Cisco Packet Tracer模拟器学习ACL时，遇到的一点小问题，ACL分为标准的ACL访问控制列表和扩展的访问控制列表，但是当给某一路由器配置了一条访问控制列表，虽然是实现禁止该条例控制列表，但是无法从对端PING回来。具体现象如下：

二、实验

实验1：使用ACL控制链路连通性

实验拓扑图

**如图所示：2911路由器连接两台终端设备，分别处于不同网段，此时链路是Ping通的**

测试连通性

配置ACL

给路由器0 2911配置ACL（这里只是简单的使用了标准的ACL）

tsy(config)#access-list 11 deny 192.168.10.0 0.0.0.255  //禁止192.168.10.0网段的路由通过
tsy(config)#access-list 11 permit any          //注意：这一行是最重要的，在cisco里面只要是创建了访问控制列表（上一条），其余的网段也默认禁止，只有写入这一行才能接触默认的禁止
tsy(config)#int g0/1
tsy(config-if)#ip access-group 11 out          //引用到接口G0/1
tsy(config-if)#exit
tsy(config)#exit

查看访问控制列表

tsy#show ip ac
tsy#show ip access-lists
Standard IP access list 1110 deny 192.168.10.0 0.0.0.25520 permit anytsy#

再次测试连通性

为什么PC1去PingPC0不通，不只是限制了PC0去往PC1的路由吗？！！！

因为Ping的执行过程，是两个终端之间相互询问与确认的过程：

实验2：在思科模拟器Cisco Packet Tracer实现自反ACL

那我们该如何实现单向的Ping通，对端无法Ping通自己呢？通过在度娘的知识宝库找了一番，参考了百度经验：https://jingyan.baidu.com/article/948f5924a79294d80ef5f95c.html

步骤一：给路由器2911开启securityk9模式

tsy#conf terminal                       //进入配置模式
tsy(config)#license boot module c2900 technology-package securityk9  //开启securityk9模式//此处省略                                                                      ACCEPT? [yes/no]: Y //确认
tsy#write
Building configuration...
[OK]
tsy#reload          //重新启动
//此处省略
tsy>en
tsy#show lic
tsy#show license fe
tsy#show license feature       //重启后查看许可文件情况，securityk9已开启
Feature name      Enforcement  Evaluation  Subscription   Enabled  RightToUse
ipbasek9          no           no          no             yes      no
securityk9        yes          yes         no             yes      yes
datak9            yes          no          no             no       yes
uck9              yes          yes         no             no       yestsy#conf terminal
Enter configuration commands, one per line.  End with CNTL/Z.
tsy(config)#

步骤二：配置ACL

tsy#conf terminal              //进入配置模式
tsy(config)#ip access-list extended TSY  //添加扩展访问控制列表TSY
tsy(config-ext-nacl)#deny ip any any     //禁止所有网段通过
tsy(config-ext-nacl)#exit
tsy(config)#int G0/1                     //在接口G0/1中应用
tsy(config-if)#ip access-group TSY in    //访问控制列表TSY被应用于接口G0/1的进入通道
tsy(config-if)#exit
tsy(config)#ip inspect name Tong http audit-trail on  //这一句我理解的是允许http往返报文的执行，标志为Tong的
tsy(config)#ip inspect name Tong icmp audit-trail on  //允许icmp往返报文的执行，标志为Tong的
tsy(config)#int G0/1                     //在接口G0/1中应用
tsy(config-if)#ip inspect Tong out       //访问控制列表TONG被应用于接口G0/1的输出通道
tsy(config-if)#exit
tsy(config)#exit

这里不知道理解的对不对，望大佬指正！

查看访问控制列表

tsy#show ip access-lists
Extended IP access list TSY10 deny ip any any (4 match(es))

步骤三：验证连通性

三、总结

这里的自反ACL，只是在思科模拟器中的是这么使用的，但是正确的自反ACL并不是这样的！！！

在思科模拟器Cisco Packet Tracer实现自反ACL相关推荐

计算机网络实验（思科模拟器Cisco Packet Tracer）——路由器配置
目录前言实验结语前言本次实验将使用思科模拟器Cisco Packet Tracer来完成路由器配置的实验,将通过几个例子来讲述. 实验例.使用以下设备完成两个校区的相互通讯,共享资源,每个 ...
计算机网络实验（思科模拟器Cisco Packet Tracer）——交换机配置以及虚拟局域网VLAN
目录前言实验一实验二总结前言本次实验将使用思科模拟器Cisco Packet Tracer来完成交换机配置以及虚拟局域网的实验,将通过几个例子来讲述. 实验一例.有交换机Switch_2 ...
思科模拟器 Cisco Packet Tracer 8.2免登录以及汉化步骤
目录 1.1 安装软件 1.2 免登录 1.3 软件汉化思科模拟器Cisco Packet Tracer 8.2 在使用时需要必须登录才能使用,下面来教大家破解登录界面(文末有下载链接) 1.1 安 ...
怎么查看思科模拟器Cisco Packet Tracer的版本
点击"帮助"---"关于"就可以看到最下面显示的版本号了! 英文版是点击"help"---"about"就可以看到最下面 ...
计算机网络实验（思科模拟器Cisco Packet Tracer）——无线路由和防火墙配置
文章目录一.实验目的二.实验原理三.实验内容结语一.实验目的 1.理解标准IP访问控制列表的原理及功能. 2.掌握编号的标准IP访问控制列表的配置方法. 二.实验原理接入控制列表也称为防火 ...
思科模拟器|Cisco Packet Tracer v6.2 安装与汉化保姆级教程
所用软件:Cisco Packet Tracer v6.2 安装包和 Chinese_chi.ptl 汉化文件目录一:Cisco Packet Tracer v6.2 软件安装二.运用Chi ...
思科模拟器Cisco Packet Tracer交换机的管理配置
版权声明:如果对大家有帮助,大家可以自行转载的.原文链接:https://blog.csdn.net/qq_37992321/article/details/84235955 一.交换机的管理方式:带 ...
思科模拟器Cisco Packet Tracer交换机的端口聚合配置
版权声明:如果对大家有帮助,大家可以自行转载的.https://blog.csdn.net/qq_37992321/article/details/84668480 1.技术原理: 端口聚合使用的是 ...
使用思科模拟器 Cisco Packet Tracer 模拟交换机基本配置
一. 实验目的 (1)熟悉普通二层交换机的外观: (2)了解普通二层交换机各端口的名称和作用: (3)了解交换机最基本的管理方式--带外管理的方法. (4)了解交换机不同的配置模式的功能: (5)了解 ...

在思科模拟器Cisco Packet Tracer实现自反ACL