为了保护内网的安全。有的时候我想,只允许内网访问外网,不允许外网访问内网,我们利用cisco路由器的自反acl来实现。
配置ip地址就不在这赘诉了,外网与内网不是一个网段的,我们需要配置路由协议,我在这配置的是ripversion1的也可以配置别的,eigrpospf都行
下面看怎么配置自反alc
内网访问外网的自反alc
R1>en
R1#conft
Enterconfigurationcommands,oneperline. EndwithCNTL/Z.
R1(config)#ipaccess-listextendedaclout 创建出去的acl
R1(config-ext-nacl)#permittcpanyanyreflecttcp自定该条目为自反,名字是tcp
外网访问内网的自反acl
R1(config)#ipaccess-listextendedaclin
R1(config-ext-nacl)#evaluatetcp生成自反列表(第一步生成自反acl的名字是tcp,所以对应的名字也就是tcp了)
R1(config-ext-nacl)#permitudpanyany
将自反alc应用到相应的接口上
R1(config)#intfa0/1 外网接口
R1(config-if)#ipaccess-groupacloutout
R1(config-if)#ipaccess-groupaclinin
现在我们在pc上ping下如果能ping通外网ping不通内网就成功了
内ping外 ping通了 外ping内 没ping通说明我们的实验成功了