RSS

以自反acl限制外网访问

为了保护内网的安全。有的时候我想,只允许内网访问外网,不允许外网访问内网,我们利用cisco路由器的自反acl来实现。

  配置ip地址就不在这赘诉了,外网与内网不是一个网段的,我们需要配置路由协议,我在这配置的是ripversion1的也可以配置别的,eigrpospf都行

  下面看怎么配置自反alc

  内网访问外网的自反alc

  R1>en

  R1#conft

  Enterconfigurationcommands,oneperline. EndwithCNTL/Z.

  R1(config)#ipaccess-listextendedaclout 创建出去的acl

  R1(config-ext-nacl)#permittcpanyanyreflecttcp自定该条目为自反,名字是tcp

  外网访问内网的自反acl

  R1(config)#ipaccess-listextendedaclin

  R1(config-ext-nacl)#evaluatetcp生成自反列表(第一步生成自反acl的名字是tcp,所以对应的名字也就是tcp了)

  R1(config-ext-nacl)#permitudpanyany

  将自反alc应用到相应的接口上

  R1(config)#intfa0/1    外网接口

  R1(config-if)#ipaccess-groupacloutout

  R1(config-if)#ipaccess-groupaclinin

  现在我们在pc上ping下如果能ping通外网ping不通内网就成功了

  内ping外 ping通了  外ping内  没ping通说明我们的实验成功了

[时间:2010-08-14]
相关文章