当前位置：首页> 正文

利用自反ACL实现对内外网访问的控制

条件： www.zhishiwu.com 1. R1为内网路由器2. R2为连接内外网的路由3. R3为外网路由组网要求：内网可以访问外网，但是外网不可以访问内网。原理：自反ACL R1:配置接口IPRouter(config)#int s0/0Router(config-if)#ip add 10.1.1.1 255.255.255.0Router(config-if)#no sh配置静态路由Router(config)#ip route 192.168.1.0 255.255.255.0 10.1.1.2 R2:配置接口IP Router(config)#int s0/0Router(config-if)#ip add 10.1.1.2 255.255.255.0Router(config-if)#no sh Router(config-if)#int s0/1Router(config-if)#ip add 192.168.1.1 255.255.255.0Router(config-if)#no sh 创建允许内网访问外网的基于名称的ACL request，并生成一个自反ACL子条目，名字为aaRouter(config)#ip access-list extended requestRouter(config-ext-nacl)#permit ip any any reflect aa创建允许应答数据包穿过路由，ACL名字为reply ,引用条目aaRouter(config)#ip access-list extended replyRouter(config-ext-nacl)#evaluate aa把request应用到接口S0/0Router(config)#int s0/0Router(config-if)#ip access-group request in把reply应用到接口S0/1Router(config)#int s0/1Router(config-if)#ip access-group reply in R3:配置接口IP Router(config)#int s0/1Router(config-if)#ip add 192.168.1.2 255.255.255.0Router(config-if)#no sh配置静态路由Router(config-if)#ip route 10.1.1.0 255.255.255.0 192.168.1.1