利用自反ACL实现对内外网访问的控制

 

条件：

1.       R1为内网路由器

2.       R2为连接内外网的路由

3.       R3为外网路由

组网要求：

 内网可以访问外网，但是外网不可以访问内网。

原理：自反ACL

 

 

R1:

配置接口IP

Router(config)#int s0/0

Router(config-if)#ip add 10.1.1.1 255.255.255.0

Router(config-if)#no sh

配置静态路由

Router(config)#ip route 192.168.1.0 255.255.255.0 10.1.1.2

 

 

 

R2:

配置接口IP

 

Router(config)#int s0/0

Router(config-if)#ip add 10.1.1.2 255.255.255.0

Router(config-if)#no sh

 

Router(config-if)#int s0/1

Router(config-if)#ip add 192.168.1.1 255.255.255.0

Router(config-if)#no sh

 

创建允许内网访问外网的基于名称的ACL request，并生成一个自反ACL子条目，名字为aa

Router(config)#ip access-list extended request

Router(config-ext-nacl)#permit ip any any reflect aa

创建允许应答数据包穿过路由，ACL名字为reply ,引用条目aa

Router(config)#ip access-list extended reply

Router(config-ext-nacl)#evaluate aa

把request应用到接口S0/0

Router(config)#int s0/0

Router(config-if)#ip access-group request in

把reply应用到接口S0/1

Router(config)#int s0/1

Router(config-if)#ip access-group reply in

 

R3:

配置接口IP

 

Router(config)#int s0/1

Router(config-if)#ip add 192.168.1.2 255.255.255.0

Router(config-if)#no sh

配置静态路由

Router(config-if)#ip route 10.1.1.0  255.255.255.0 192.168.1.1