思科路由器用自反访问控制列表(ACL)实现网段之间单向访问配置(设置)方法图解..doc

思科路由器用自反访问控制列表（ACL）实现网段之间 单向访问配置（设置）方法 问题的提出： 有二个网段，网络号分别为与，分别有主机与，开启了WWW服务和远程桌面。要求只允许网络访问，而不允许反向访问，应该怎样用ACL解决？ 方案： 首先会想到用ACL实现，或者用扩展ACL实现。 Router#conf t Router(config)#acc 10 deny 55 //拒绝网段 Router(config)#acc 10 permit any Router(config)#int e0 Router(config-if)#ip ace 10 in //ACL应用在流入方向 Router(config)#end Router#wri 显示配置清单 看上去拒绝了网段发往网段的数据流，但是，由网段主动发起的发往网段的回程数据也被挡住了。两边无法通讯。 换扩展ACL试试 Router#conf t Router(config)#acc 110 deny tcp 55 55 eq 3389 //拒绝网段访问网段远程桌面 Router(config)#acc 110 permit ip any any Router(config)#int e0 Router(config-if)#ip ace 110 in Router(config)#end Router#wri 显示配置清单 测试结果网段不能访问网段远程桌面，网段可以访问网段，与目标近了一步。但是，是否要写完整全部的使用端口才能达到目的呢？这似乎不可能，并且也不是好办法。 一种被称为自反扩展ACL可以在这种场合使用。它能以出去为条件，触发开启返回数据流通道。使单向访问得以实现。 试试自反控制访问列表效果 Router(config)#ip acce ext refin //refin是访问控制列表名，随意定，此处表示 //自反应用在进方向 Router(config-ext-nacl)#per icmp 55 55 echo //允许网段ping网段 Router(config-ext-nacl)#evaluate abc //ACL到此处结束 Router(config-ext-nacl)#exit Router(config)#ip acce ext refout Router(config-ext-nacl)#per ip 55 55 ref abc time 5 //允许网段访问网段 Router(config-ext-nacl)#exit Router(config)#int e0 //在e0接口上作绑定 Router(config-if)#ip access-g refin in Router(config-if)#ip access-g refout out Router(config-if)#end Router# 显示配置清单 Router#sh sccess-l //显示ACL ACL生效后，远程桌面到 Router#sh sccess-l //显示ACL 可以看到自反触发了一条允许条目，用3389端口回应的随机端口1065 ACL生效后，访问的WWW服务 Router#sh sccess-l //显示ACL 可以看到自反触发了一条允许条目，用WWW端口回应的随机端口1064 ACL生效后，主机PING通 Router#sh sccess-l //显示ACL 可以看到自反触发了一条允许条目，允许PING 当timeout不限定是，默认是300秒 Router#sh sccess-l //显示ACL 可以看到自反触发的全部允许条目 再测试一下从从网段到网段，禁止了所有协议，除了ICMP协议中的ECHO（PING）以外 回顾总结 用命名的ACL，不能用编号 端口要绑定IN和OUT两个方向上的ACL 自反ACL中触发的只有允许条目 全文完 1