配置反射ACL 拓扑图如上:
在外网和内网路由器上配置远程登录,现实环境中,为了保证网络安全,外网是不可以访问内网的,而内网可以访问外网。如上图,R1不可以telnet和pingR3,但是R3可以访问R1:
配置如下:
En
Conf t
Hostname R1
Int f0/0
Ip add 12.1.1.1 255.255.255.0
No shutdown
Ip route 0.0.0.0 0.0.0.0 12.1.1.2
Line vty 0 4
Password 123
Login
Exit
Enable password 123
t
En
Conf t
Int f0/0
Ip add 12.1.1.2 255.255.255.0
No shu
Int e1/0
Ip add 23.1.1.2 255.255.255.0
No shu
Exit
Ip access-list extended out-acl (启用扩展命名ACL 名字是out-acl cisco IOS只支持扩展命名 ACL来定义反射列表)
Permit ip any any reflect out--ip
(允许所有IP流量 并对外出IP流量进行反射,创建临时列表 名字叫out--ip)
Exit
Ip access-list extended in-acl (创建在F0/0端口进来方向的扩展命名ACL 名字叫in-acl)
Evaluate out-ip (评估反射列表 其实就是调用前面创建的临时列表out-ip)
进入端口进行启用:
Int f0/0
Ip access-group out-acl out
Ip access-group in-acl in
(数据包外出时做反射 进入时做评估)
R3上的配置 和R1 差不多
En
Conf t
Hos R3
Int e1/0
Ip add 23.1.1.3 255.255.255.0
No shu
Exit
Ip route 0.0.0.0 0.0.0.0 23.1.1.2
配置完成后进行测试
R3 ping R1 可以ping 通
R3 可以telnet R1
但是R1不可以ping通R3
实验达到了要求。
但是,我们想想为什么R3可以访问R1,但是R1不能访问R3,原理是什么呢?
因为在现实网络环境中,做了反射ACL后,当内部网络发起一个会话(基于ip.icmp tcp udp等都可以),并且将数据包发送给外网时,反射ACL被触发,并且生成一个临时条目。如果从外部网络回来的数据流符合临时条目时,则允许进入内部网络,否则就禁止进入临时网络。反射ACL真正起到了防火墙的作用,只是仅仅检查数据包中的ACK和RST的比特位,同时还检查源和目的地址及端口号,可以很好的阻止欺骗和某些DOS攻击。
我们在R2上show access-list可以看见
这个条目时R3访问R1时,R2通过反射ACL临时生成的,
表示再过283s,这个条目就会删除,下次再访问的话又会临时生成条目。
原文:http://jessecisco.blog.51cto.com/8727792/1383552