ACL可以限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能，為了保護(hù)內(nèi)網(wǎng)的安全，可以只允許內(nèi)網(wǎng)訪問外網(wǎng)，不允許外網(wǎng)訪問內(nèi)網(wǎng)，這里利用cisco 路由器的自反ACL來實(shí)現(xiàn)。用戶需要配置路由協(xié)議，以下配置的是RIP Version1的，也可以配置別的，如EIGRP或OSPF。　　

　　一、實(shí)驗(yàn)拓?fù)鋱D

　　二、實(shí)驗(yàn)要求

　　要求內(nèi)網(wǎng)可以主動(dòng)訪問外網(wǎng)，但是外網(wǎng)不能主動(dòng)訪問內(nèi)網(wǎng)，從而有效保護(hù)內(nèi)網(wǎng)。

　　三、實(shí)驗(yàn)配置

　　1、配置路由器，并在R1、R3上配置默認(rèn)路由確保IP連通性。

　　R1(config)#interface s0/0/0

　　R1(config)#ip address 192.168.12.1 255.255.255.0

　　R1(config)#no shutdown

　　R1(config)#interface g0/0

　　R1(config)#ip address 172.16.1.1 255.255.255.0

　　R1(config)#no shutdown

　　R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.12.2

　　R2(config)#interface s0/0/0

　　R2(config)#ip address 192.168.12.2 255.255.255.0

　　R2(config)#no shutdown

　　R2(config)#interface s0/0/1

　　R2(config)#ip address 202.210.23.2 255.255.255.0

　　R2(config)#no shutdown

　　R3(config)#interface loopback 0

　　R3(config)#ip address 3.3.3.3 255.255.255.0

　　R3(config)#no shutdown

　　R3(config)#interface s0/0/1

　　R3(config)#ip address 202.210.23.3 255.255.255.0

　　R3(config)#no shutdown

　　R3(config)#ip route 0.0.0.0 0.0.0.0 202.210.23.2

　　2、在路由器R2上配置自反ACL

　　R2(config)#ip access-list extended ACLOUT

　　R2(config-ext-nacl)#permit tcp any any reflect REF //定義自反ACL

　　R2(config-ext-nacl)#permit udp any any reflect REF

　　R2(config)#ip access-list extended ACLIN

　　R2(config-ext-nacl)#evaluate REF //評(píng)估反射

　　R2(config)#int s0/0/1

　　R2(config-if)#ip access-group ACLOUT out

　　R2(config-if)#ip access-group ACLIN in

　　PS：(1)、自反ACL永遠(yuǎn)是permit的;

　　(2)、自反ACL允許高層Session信息的IP包過濾;

　　(3)、利用自反ACL可以只允許出去的流量，但是阻止從外部網(wǎng)絡(luò)產(chǎn)生的向內(nèi)部網(wǎng)絡(luò)的流量，從而可以更好地保護(hù)內(nèi)部網(wǎng)絡(luò);

　　(4)、自反ACL是在有流量產(chǎn)生時(shí)(如出方向的流量)臨時(shí)自動(dòng)產(chǎn)生的，并且當(dāng)Session結(jié)束條目就刪除;

　　(5)、自反ACL不是直接被應(yīng)用到某個(gè)接口下的，而是嵌套在一個(gè)擴(kuò)展命名訪問列表下的。

　　3、調(diào)試

　　(1)同時(shí)在路由器R1和R3都打開TELNET服務(wù)，在R1(從內(nèi)網(wǎng)到外網(wǎng))TELNET路由器R3成功，同時(shí)在路由器R2上查看訪問控制列表：

　　R2#show access-lists

　　Extended IP access list ACLIN

　　10 evaluate REF

　　Extended IP access list ACLOUT

　　10 permit tcp any any reflect REF

　　20 permit udp any any reflect REF

　　Reflexive IP access list REF

　　permit tcp host 202.210.23.3 eq telnet host 192.168.12.1 eq 11002 (48 matches) (time left 268)

　　//以上輸出說明自反列表是在有內(nèi)部到外部TELNET流量經(jīng)過的時(shí)候，臨時(shí)自動(dòng)產(chǎn)生一條列表。

　　(2)在路由器R1打開TELNET 服務(wù)，在R3(從外網(wǎng)到內(nèi)網(wǎng))TELNET路由器R1不能成功，同時(shí)在路由器R2上查看訪問控制列表：

　　R2#show access-lists

　　Extended IP access list ACLIN

　　10 evaluate REF

　　Extended IP access list ACLOUT

　　10 permit tcp any any reflect REF

　　20 permit udp any any reflect REF

　　Reflexive IP access list REF

　　以上輸出說明自反列表是在有外部到內(nèi)部TELNET流量經(jīng)過的時(shí)候，不會(huì)臨時(shí)自動(dòng)產(chǎn)生一條列表，所以不能訪問成功。之后在PC上只能ping通外網(wǎng)，但不能ping通內(nèi)網(wǎng)了。ACL限制外網(wǎng)訪問的配置就向大家介紹完了，希望大家已經(jīng)掌握。謝謝閱讀，希望能幫到大家，請(qǐng)繼續(xù)關(guān)注腳本之家，我們會(huì)努力分享更多優(yōu)秀的文章。

最新評(píng)論