单向路由访问
单向路由访问的实现原理
实现拓扑如下,条件是内网和外网经过两个路由器相连,内网也有合法的ip地址,意思就是内网可以访问外网的internet,不需要做nat的转换就行,要求是外网不能访问内网的资源。
1.R1上的配置基本配置:
Router>
Router>en
Router#conf
Configuring from terminal, memory, or network [terminal]?
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#line con
Router(config)#line console 0
Router(config-line)#no exec-t
Router(config-line)#no exec-timeout
Router(config-line)#logging sy
Router(config-line)#logging synchronous
Router(config-if)#ip add 61.130.131.6 255.255.255.248
Router(config-if)#int s1/1
Router(config-if)#ip add 10.0.0.1 255.255.255.252
Router(config-if)#no shu
2.R2上的基本的配置:
Router(config)#line con
Router(config)#line console 0
Router(config-line)#no exec-ti
Router(config-line)#no exec-timeout
Router(config-line)#logging syn
Router(config-line)#logging synchronous
Router(config-line)#exit
Router(config)#hostname R2
R2(config)#int s1/1
R2(config-if)#ip add 10.0.0.2 255.255.255.252
R2(config-if)#int f0/0
R2(config-if)#ip add 61.130.130.254 255.255.255.0
3.两个路由器基本配置以后要保证直连的能通(注意:所有的端口都要no shu 一下才能通)
Router#ping 10.0.0.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.0.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/34/84 ms
4.为了实现上述的功能在R1上主要的配置:
1)R1上添加一条静态的路由
Router(config)#ip route 61.130.130.0 255.255.255.0 10.0.0.2(添加一条静态的路由使内网能够访问外网)
2)R2上也添加一条静态的路由
R2(config)#ip route 61.130.131.0 255.255.255.248 10.0.0.1
注意:只有两个路由器上都添加路由,才能够在内网主机上ping通10.0.0.2的因为路由使双向的不然会回不来的。
3)创建访问控制,包括外出的和进入的
Router(config)#ip access-list extended out-filter(创建一个扩展的表名叫out-filter)
Router(config-ext-nacl)#permit ip any any reflect hua(允许所有的都能够通过并生成一个hua的表格)
Router(config-ext-nacl)#int s1/1(进入外部的接口处)
Router(config-if)#ip access-group out-filter out(表示把此访问控制用到外接口上)
Router(config)#ip access-list extended in-filter(创建一个用于控制进入的流量)
Router(config-ext-nacl)#evaluate hua(表示匹配hua这个表格的允许进入)
Router(config-ext-nacl)#int s1/1
Router(config-if)#ip access-group in-filter in(应用于进接口)
5.做完以后两个pc机互相ping,并查看访问控制列表如下
