自反ACL案例配置

一、作业要求

路由器模仿的pc1,pc2;要求pc1可以访问pc2上的所有服务,而PC2不能访问PC1上的任何服务。

配置思路:

使用自反acl,使PC1发出的数据在回来时也被允许进入路由器。然后在Route上配置扩展acl禁止所有数据包从s0/1接口进入。

二、拓扑图

clip_image002

三、配置步骤:

PC1

Router>en

Router#config t

Router(config)#line con 0

Router(config-line)#logg sy //日志同步

Router(config-line)#no exec-timeout //取消超时

Router(config-line)#EXIT

Router(config)#int ser 0/0

Router(config-if)#ip add 192.168.1.1 255.255.255.0

Router(config-if)#no shut

Router(config-if)#ex

Router(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.2 //配置网关

Router(config)#end

PC2

Router#config t

Router(config)#line con 0

Router(config-line)#no exec-timeout //取消超时

Router(config-line)#exit

Router(config)#int se 0/1

Router(config-if)#ip add 192.168.2.2 255.255.255.0

Router(config-if)#no shut

Router(config-if)#

Router(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.1 //配置网关

Router(config)#end

配置vty登录密码,允许telnet登录

Router(config)#line vty 0 4

Router(config-line)#password 123

Router(config-line)#login

Route

Router>en

Router#config t

Router(config)#line con 0

Router(config-line)#logg sy //日志同步

Router(config-line)#no exec-timeout //取消超时

Router(config-line)#exit

Router(config)#int ser 0/0

Router(config-if)#ip add 192.168.1.2 255.255.255.0

Router(config-if)#no shut

Router(config-if)#int ser 0/1

Router(config-if)#ip add 192.168.2.1 255.255.255.0

Router(config-if)#no shut

Router(config)#end

Router(config)#ip access-list extended to_out //创建内网访问外网的名称访问控制列表to_out

Router(config-ext-nacl)#permit ip 192.168.1.0 0.0.0.255 any reflect REF//允许内网访问任何网络,创建 自反列表,名字为REF

Router(config-ext-nacl)#exit

Router(config)#ip access-list extended to_in//创建外网访问内网的名称访问控制列表to_in

Router(config-ext-nacl)#evaluate REF //计算并生成自反列表(对第一步定义的名字为REF的条目进行自反计算并生成相应的条目)

Router(config-ext-nacl)#deny ip any any //拒绝所有包通过

Router(config-ext-nacl)#exit

Router(config)#int s 0/0 //路由器的内网接口

Router(config-if)#ip access-group to_out in//将to_out应用在该接口上,in方向[或者应用到ser 0/1的out方向上也行]

Router(config-if)#ex

Router(config)#int ser 0/1//路由器的外网接口

Router(config-if)#ip access-group to_in in//将to_in应用在该接口上,in方向

四、测试

 

PC1上测试结果:

自反列表创建生效后

Router#ping 192.168.2.2

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.2.2, timeout is 2 seconds:

!!!!!

telnet登录PC2

Router#telnet 192.168.2.2

Trying 192.168.2.2 ... Open

User Access Verification

Password:

Router>

PC2上测试结果:

自反列表创建生效后,无法ping通PC1

Router#ping 192.168.1.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds:

U.U.U

你可能感兴趣的:(自反ACL,自反访问控制列表acl)