用访问控制列表实现网络单向访问.docVIP

用访问控制列表实现网络单向访问 用访问控制列表实现网络单向访问 -------------------------------------------------------------------------------- 日期：2004-7-4 浏览次数：4423 　简易拓扑图（所有子网掩码均为）： 　　 PC()---E0()[RouterA]S0()---S1()[RouterB] 　　做网络的单向访问其实 但你不能访问我。 实现的是防火墙的基本功能：我 是内网，你是外网，我能访问你， 　　所以现在假设RouterA 设我想做的是内网的PC机能 的E0口所连网段为内网段，Rout ping通外网RouterB的S1口，但R erA S0所连的网段为外网段，还假 outerB却ping不进我的内网。 　　用ACL来实现类似的单向访问控制需 Reflexive ACL的配置分为两个部分，一 要用到一种特殊的ACL，叫Reflexive ACL。 部分是outbound的配置，一部分是inbound的配置。 　　在继续下面的说明之前，先说点题外 一些我的同事）自然的就这么想：那我在 RouterB的流量进来不就行了？看上去好 不行呢，因为很多人都忽略了这么一个问 方法只解决了去的问题，但这个流量在到 个返回的流量到了RouterA的S0口，但上 来的流量被挡住了，通讯失败。 话。在最开始想到单向访问问题时，我（也包括其它 E0口上允许PC的流量进来，然后再在S0口上禁止 像没什么问题，但一试就知道其实是不行的。为什么 题：即绝大多数的网络流量都是有去有回的，上面的 达RouterB后，RouterB还需要返回这个流量给PC，这 面的方法却在S0口上禁止了RouterB的流量进来，回 　　Reflexive ACL中outbo ，inbound部分决定了这些 und的部分决定了我出去的哪些 流量在返回后能被正确的识别并 内网网络流量是需要被单向访问的 送给内网发起连接的PC机。 　　Reflexive ACL中outbound的部分： 　　ip access-list extended outbound _filter 　　permit icmp any any reflect icmp_traffic 　　permit ip any any 　　!---注意在Reflexive ACL中只能用named方式的ACL， 不能用numbered方式的ACL。 　　!---基本配置和普通AC 意思是这条ACE作为单向流 inbound部分被引用。 L并没有什么太多不同，不同之 量来处理，并且给了一个名称叫 处是reflect icmp_traffic，它的 icmp_traffic，icmp_traffic在 　　!---permit ip any any并不是必要 的，加在这里是为了另一个测试，下面会说明。 　　Reflexive ACL中inbound的部分： 　　ip access-list extended inbound_filter 　　evaluate icmp_traffic 　　deny ip any any log 　　!---inbound的配置有和普通ACL有点 outbound配置中的icmp_traffic进行了引 个流量确实是从内网发起的对外访问的返 不同了，第一句evaluate icmp_traffic对上述 用，也就是说，它要检查从外网进来的流量，如果这 回流量，那么允许这个流量进来。 　　!---注意deny ip any any any，但我加了log来对 any log这句，虽然这句也是不 上面outbound部分的permit ip 必配的，因为是默认的deny ip any any进行测试。 　　Reflexive ACL中应用到接口的部分： 　　interface Serial0 　　ip address