如何使用自反ACL限制外网访问?


ACL可以限制网络流量、提高网络性能,为了保护内网的安全,可以只允许内网访问外网,不允许外网访问内网,这里利用cisco 路由器的自反ACL来实现。用户需要配置路由协议,以下配置的是RIP Version1的,也可以配置别的,如EIGRP或OSPF。

内网访问外网的自反ACL

  1. R1>en  
  2.  
  3. R1#conf t  
  4.  
  5. Enter configuration commands, one per line.  End with CNTL/Z.  
  6.  
  7. R1config)#ip access-list extended aclout  创建出去的ACL  
  8.  
  9. R1config-ext-nacl)#permit tcp any any reflect tcp 自定该条目为自反,名字是tcp 

外网访问内网的自反ACL

  1. R1config)#ip access-list extended aclin  
  2.  
  3. R1config-ext-nacl)#evaluate tcp 生成自反列表第一步生成自反ACL的名字是tcp,所以对应的名字也就是tcp了)  
  4.  
  5. R1config-ext-nacl)#permit udp any any 

将自反alc应用到相应的接口上

  1. R1config)#int fa0/1 外网接口  
  2.  
  3. R1config-if)#ip access-group aclout out  
  4.  
  5. R1config-if)#ip access-group aclin in 

之后在PC上只能ping通外网,但不能ping通内网了。

ACL限制外网访问的配置就向大家介绍完了,希望大家已经掌握。

相关内容

    暂无相关文章