怎样配置思科路由器自反ACL 实现网段之间单向访问?
我要评论ACL可以限制网络流量、提高网络性能,为了保护内网的安全,可以只允许内网访问外网,不允许外网访问内网,这里利用cisco 路由器的自反ACL来实现。用户需要配置路由协议,以下配置的是RIP Version1的,也可以配置别的,如EIGRP或OSPF。
一、实验拓扑图
二、实验要求
要求内网可以主动访问外网,但是外网不能主动访问内网,从而有效保护内网。
三、实验配置
1、配置路由器,并在R1、R3上配置默认路由确保IP连通性。
R1(config)#interface s0/0/0
R1(config)#ip address 192.168.12.1 255.255.255.0
R1(config)#no shutdown
R1(config)#interface g0/0
R1(config)#ip address 172.16.1.1 255.255.255.0
R1(config)#no shutdown
R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.12.2
R2(config)#interface s0/0/0
R2(config)#ip address 192.168.12.2 255.255.255.0
R2(config)#no shutdown
R2(config)#interface s0/0/1
R2(config)#ip address 202.210.23.2 255.255.255.0
R2(config)#no shutdown
R3(config)#interface loopback 0
R3(config)#ip address 3.3.3.3 255.255.255.0
R3(config)#no shutdown
R3(config)#interface s0/0/1
R3(config)#ip address 202.210.23.3 255.255.255.0
R3(config)#no shutdown
R3(config)#ip route 0.0.0.0 0.0.0.0 202.210.23.2
2、在路由器R2上配置自反ACL
R2(config)#ip access-list extended ACLOUT
R2(config-ext-nacl)#permit tcp any any reflect REF //定义自反ACL
R2(config-ext-nacl)#permit udp any any reflect REF
R2(config)#ip access-list extended ACLIN
R2(config-ext-nacl)#evaluate REF //评估反射
R2(config)#int s0/0/1
R2(config-if)#ip access-group ACLOUT out
R2(config-if)#ip access-group ACLIN in
PS:(1)、自反ACL永远是permit的;
(2)、自反ACL允许高层Session信息的IP包过滤;
(3)、利用自反ACL可以只允许出去的流量,但是阻止从外部网络产生的向内部网络的流量,从而可以更好地保护内部网络;
(4)、自反ACL是在有流量产生时(如出方向的流量)临时自动产生的,并且当Session结束条目就删除;
(5)、自反ACL不是直接被应用到某个接口下的,而是嵌套在一个扩展命名访问列表下的。
3、调试
(1)同时在路由器R1和R3都打开TELNET服务,在R1(从内网到外网)TELNET路由器R3成功,同时在路由器R2上查看访问控制列表:
R2#show access-lists
Extended IP access list ACLIN
10 evaluate REF
Extended IP access list ACLOUT
10 permit tcp any any reflect REF
20 permit udp any any reflect REF
Reflexive IP access list REF
permit tcp host 202.210.23.3 eq telnet host 192.168.12.1 eq 11002 (48 matches) (time left 268)
//以上输出说明自反列表是在有内部到外部TELNET流量经过的时候,临时自动产生一条列表。
(2)在路由器R1打开TELNET 服务,在R3(从外网到内网)TELNET路由器R1不能成功,同时在路由器R2上查看访问控制列表:
R2#show access-lists
Extended IP access list ACLIN
10 evaluate REF
Extended IP access list ACLOUT
10 permit tcp any any reflect REF
20 permit udp any any reflect REF
Reflexive IP access list REF
以上输出说明自反列表是在有外部到内部TELNET流量经过的时候,不会临时自动产生一条列表,所以不能访问成功。之后在PC上只能ping通外网,但不能ping通内网了。ACL限制外网访问的配置就向大家介绍完了,希望大家已经掌握。谢谢阅读,希望能帮到大家,请继续关注脚本之家,我们会努力分享更多优秀的文章。
相关文章
- 对于企业网络来说,随着使用人数的增加,其网络应用也越来越多,当所有人使用一条网线时,明显会感觉到网速越来越慢,如果能多添加一条线路接入,那么就可以大大提高上网的2012-10-26
- 思科IOS配置文件的自动备份与回退需要使用到IOS的archive归档配置模式功能,般来说,只有IOS的版本号在12.3(4) <含> 与其之后的版本才带有归档配置模式功能2012-11-18
- IP源地址欺骗可以应用在多种不同的攻击方式中,例如TCP SYN flooding、UDP flooding、ICMP flooding等,伪造的源地址可以是不存在的地址,或者是最终攻击目标的地址2012-11-12
- 思科路由器一般用于大型的网络环境,它的配置基本都是采用命令行的模式,主要从安全方面考虑的,当到配置一台新的思科路由,多数配置依赖于路由器的类型以及它将服务的用途2012-12-12
- 只要是使用思科路由器的网友,相信对思科专有的CDP肯定不会陌生,它极大方便了我们日常对网络的管理,但有时候CDP也会出错,本篇给就大家介绍一下CDP无法工作故障的解决办2012-11-16
- 本篇介绍的是思科路由器在使用过程中常见的一些故障,以方便大家在遇到故障时,可以迅速的查找出原因所在2012-12-09
- 这篇文章主要介绍了思科路由器的网络访问控制之静态路由配置介绍,本文讲解了什么是网络访问控制、手工配置静态路由等内容,需要的朋友可以参考下2015-03-15
- 进入路由器就有很多的密码,如果说我们把这些密码忘记了,怎么办?我们可以用几个简单的命令来重置路由的密码,需要的朋友可以看看2014-10-30
思科路由器怎么设置 Linksys无线路由器设置方法详细图解
思科路由器也可以称之为Linksys路由器,是国内用户使用很多的路由器品牌。那么,思科路由器怎么设置呢?针对此问题,本文就为大家图文详细介绍Linksys无线路由器的设置全过2015-03-26- 每个新的无线路由器都需要进入登陆页面进行某些设置才能正常使用,那么,思科路由器怎么进入登陆页面呢?针对问题,本文就为大家图文介绍Linksys进入登陆页面的方法2015-03-26
最新评论