摘要: ACL可以限制网络流量、提高网络性能,为了保护内网的安全,可以只允许内网访问外网,不允许外网访问内网,这里利用cisco 路由器的自反ACL来实现。用户需要配置路由协议,以下配置的是RIP Version1的,也可以配置别的,如EIGRP或OSPF。
一、实验拓扑图
二、实验要求
要求内网可以主动访问外网,但是外网不能主动访问内网,从而有效保护内网。
三、实验配置
1、配置路由器,并在R1、R3上配置默认路由确保IP连通性。
R1(config)#interface s0/0/0
R1(config)#ip address 192.168.12.1 255.255.255.0
R1(config)#no shutdown
R1(config)#interface g0/0
R1(config)#ip address 172.16.1.1 255.255.255.0
R1(config)#no shutdown
R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.12.2
R2(config)#interface s0/0/0
R2(config)#ip address 192.168.12.2 255.255.255.0
R2(config)#no shutdown
R2(config)#interface s0/0/1
R2(config)#ip address 202.210.23.2 255.255.255.0
R2(config)#no shutdown
R3(config)#interface loopback 0
R3(config)#ip address 3.3.3.3 255.255.255.0
R3(config)#no shutdown
R3(config)#interface s0/0/1
R3(config)#ip address 202.210.23.3 255.255.255.0
R3(config)#no shutdown
R3(config)#ip route 0.0.0.0 0.0.0.0 202.210.23.2
2、在路由器R2上配置自反ACL
R2(config)#ip access-list extended ACLOUT
R2(config-ext-nacl)#permit tcp any any reflect REF //定义自反ACL
AR28/AR46系列 路由器基于源地址策略路由的典型配置
AR28/AR46系列 路由器基于源地址策略路由的典型配置 策略路由 策略路由,是一种比基于目标网络进行路由更加灵活的数据包路由转发机制。路由器将通过路由图决定如何对需要路由的数据包进行处理,路由图决定了一个数据包的下一跳转发路由器。 一、需求 定义策略aaa的策略路为由控制所有从以太网口E3/0/0接口接收的TCP报文,使用串口serial1/0/0发送,对其它报文,仍然按照查找路由表的方式进行转发。5号节点,表示匹配acl 3101的以太网报文将被发往串口serial1/0/0;10号节点,表示匹配a
R2(config-ext-nacl)#permit udp any any reflect REF
R2(config)#ip access-list extended ACLIN
R2(config-ext-nacl)#evaluate REF //评估反射
R2(config)#int s0/0/1
R2(config-if)#ip access-group ACLOUT out
R2(config-if)#ip access-group ACLIN in
PS:(1)、自反ACL永远是permit的;
(2)、自反ACL允许高层Session信息的IP包过滤;
(3)、利用自反ACL可以只允许出去的流量,但是阻止从外部网络产生的向内部网络的流量,从而可以更好地保护内部网络;
(4)、自反ACL是在有流量产生时(如出方向的流量)临时自动产生的,并且当Session结束条目就删除;
(5)、自反ACL不是直接被应用到某个接口下的,而是嵌套在一个扩展命名访问列表下的。
3、调试
(1)同时在路由器R1和R3都打开TELNET服务,在R1(从内网到外网)TELNET路由器R3成功,同时在路由器R2上查看访问控制列表:
R2#show access-lists
Extended IP access list ACLIN
10 evaluate REF
Extended IP access list ACLOUT
10 permit tcp any any reflect REF
20 permit udp any any reflect REF
Reflexive IP access list REF
permit tcp host 202.210.23.3 eq telnet host 192.168.12.1 eq 11002 (48 matches) (time left 268)
//以上输出说明自反列表是在有内部到外部TELNET流量经过的时候,临时自动产生一条列表。
(2)在路由器R1打开TELNET 服务,在R3(从外网到内网)TELNET路由器R1不能成功,同时在路由器R2上查看访问控制列表:
R2#show access-lists
Extended IP access list ACLIN
10 evaluate REF
Extended IP access list ACLOUT
10 permit tcp any any reflect REF
20 permit udp any any reflect REF
Reflexive IP access list REF
以上输出说明自反列表是在有外部到内部TELNET流量经过的时候,不会临时自动产生一条列表,所以不能访问成功。之后在PC上只能ping通外网,但不能ping通内网了。ACL限制外网访问的配置就向大家介绍完了,希望大家已经掌握。谢谢阅读,希望能帮到大家,请继续关注脚本之家,我们会努力分享更多优秀的文章。
D-Link无线路由器设置 D-Link系列家用设置图文教程
D-Link无线路由器设置 D-Link系列家用设置图文教程 据北京电信内部人士透露,春节过后将全面启动宽带免费提速,在用户现有速率的基础上,全部免费升速一档,真正的高速网络逐步进入家庭,但一根网线通常难以解决问题,所以购买一款无线路由器进行共享是很多家庭的选择,但网络这个东西虽好,真正懂的人却并不是很多,所以无线路由器在配置方面都极尽简约,尽量“傻瓜”式,以便用户都能方便应用,这样虽好,一旦出点儿小问题也真的让人抓耳挠腮,今天我就给大家介绍一下 D-Link无线路由器的设置过程。 D-Link DIR-
