利用自反ACL实现对内外网访问的控制

利用自反ACL实现对内外网访问的控制



条件： www.ttep.cn
1. R1为内网路由器
2. R2为连接内外网的路由
3. R3为外网路由
组网要求：
内网可以访问外网，但是外网不可以访问内网。
原理：自反ACL

R1:
配置接口IP
Router(config)#int s0/0
Router(config-if)#ip add 10.1.1.1 255.255.255.0
Router(config-if)#no sh
配置静态路由
Router(config)#ip route 192.168.1.0 255.255.255.0 10.1.1.2

R2:
配置接口IP

Router(config)#int s0/0
Router(config-if)#ip add 10.1.1.2 255.255.255.0
Router(config-if)#no sh

Router(config-if)#int s0/1
Router(config-if)#ip add 192.168.1.1 255.255.255.0
Router(config-if)#no sh

创建允许内网访问外网的基于名称的ACL request，并生成一个自反ACL子条目，名字为aa
Router(config)#ip access-list extended request
Router(config-ext-nacl)#permit ip any any reflect aa
创建允许应答数据包穿过路由，ACL名字为reply ,引用条目aa
Router(config)#ip access-list extended reply
Router(config-ext-nacl)#evaluate aa
把request应用到接口S0/0
Router(config)#int s0/0
Router(config-if)#ip access-group request in
把reply应用到接口S0/1
Router(config)#int s0/1
Router(config-if)#ip access-group reply in

R3:
配置接口IP

Router(config)#int s0/1
Router(config-if)#ip add 192.168.1.2 255.255.255.0
Router(config-if)#no sh
配置静态路由
Router(config-if)#ip route 10.1.1.0 255.255.255.0 192.168.1.1