自反ACL的实验配置

 

 

 

 

GNS3拓扑和地址表

R1	F0/0	10.47.1.1	255.0.0.0
	F1/0	14.47.1.1	255.0.0.0
R2	F0/0	10.47.1.2	255.0.0.0
R3	F0/0	10.47.1.3	255.0.0.0
R4	F1/0	14.47.1.4	255.0.0.

 

 

二、网络连接配置

1、GNS3

R1配置

R1(config)#int f0/0

R1(config-if)#ip add

R1(config-if)#ip address 10.47.1.1 255.0.0.0

R1(config-if)#no sh

R1(config-if)#no shutdown

R1(config-if)#

R1(config-if)#int f

R1(config-if)#int f1/0

R1(config-if)#ip add

R1(config-if)#ip address 14.47.1.1 255.0.0.0

R1(config-if)#no sh

R1(config-if)#no shutdown

R1(config-if)#ex

R1(config)#router rip

R1(config-router)#net

R1(config-router)#network 10.47.1.0

R1(config-router)#net

R1(config-router)#network 14.47.1.0

R1(config-router)#ex

 

 

R2配置

 

R2#configure

R2(config)#

R2(config)#int f0/0

R2(config-if)#ip add

R2(config-if)#ip address 10.47.1.2 255.0.0.0

R2(config-if)#no sh

R2(config-if)#no shutdown

R2(config-if)#ex

R2(config)#ro

R2(config)#router rip

R2(config-router)#net

R2(config-router)#network 10.47.1.0

R2(config-router)#ex

 

 

R3配置

R3#configure

R3(config)#

R3(config)#int f0/0

R3(config-if)#ip add

R3(config-if)#ip address 10.47.1.3 255.0.0.0

R3(config-if)#no sh

R3(config-if)#no shutdown

R3(config-if)#

R3(config-if)#ex

R3(config)#

R3(config)#router rip

R3(config-router)#net

R3(config-router)#network 10.47.1.0

R3(config-router)#ex

 

 

R4配置

 

R4#configure

R4(config)#int f1/0

R4(config-if)#ip add

R4(config-if)#ip address 14.47.1.4 255.0.0.0

R4(config-if)#no sh

R4(config-if)#ex

R4(config)#ip add

R4(config)#router ri

R4(config)#router rip

R4(config-router)#net

R4(config-router)#network 14.47.1.0

R4(config-router)#ex

R4(config)#end

ping通情况

R4ping R2

 

R3pingR4 

自反ACL

 

（1）路由器配置

 R1配置

配置允许ICMP可以不用标记就进入内网，其它的必须被标记才返回

R1#configure

R1(config)#ip acce

R1(config)#ip access-list ex

R1(config)#ip access-list extended come

R1(config-ext-nacl)#per

R1(config-ext-nacl)#permit icmp any any

R1(config-ext-nacl)#eva

R1(config-ext-nacl)#evaluate abc

R1(config-ext-nacl)#int f1/0

R1(config-if)#ip acce

R1(config-if)#ip access-group come in

R1(config-if)#ex

配置内网出去时，telnet被记录为abc,将会被允许返回

R1(config)#

R1(config)#ip acce

R1(config)#ip access-list ex

R1(config)#ip access-list extended goto

R1(config-ext-nacl)#per

R1(config-ext-nacl)#permit tcp any any eq telnet re

R1(config-ext-nacl)#permit tcp any any eq telnet reflect abc time

R1(config-ext-nacl)#permit tcp any any eq telnet reflect abc timeout 60

R1(config-ext-nacl)#pere

R1(config-ext-nacl)#per

R1(config-ext-nacl)#permit ip any any

R1(config-ext-nacl)#int f1/0

R1(config-if)#ip acee

R1(config-if)#ip acce

R1(config-if)#ip access-group goto out

（1）结果测试

1、测试外网R4的ICMP访问内网

 

说明：可以看到，ICMP是可以任意访问的

 

2、测试外网R4 telnet内网

 

说明：可以看到，除ICMP之外，其它流量是不能进入内网的。

 

3、测试内网R2的ICMP访问外网

 

说明：可以看到，内网发ICMP到外网，也正常返回了

 

4、测试内网R2发起telnet到外网

 

说明：可以看到，除ICMP之外，其它流量是不能通过的。

5、查看R2到外网的ICMP

 

说明：ICMP属正常

 

6、查看内网向外网发起telnet

说明：可以看出，此时内网发向外网的telnet因为被标记为abc，所以在回来时，开了缺口，也就可以允许返回了。

 

7、查看ACL

 

说明：可以看到，有一条为abc的ACL为允许外网到内网的telnet，正是由于内网发到外网的telnet被标记了，所以也自动产生了允许其返回的ACL，并且后面跟有剩余时间。

 

三、总结：

自反ACL的应用可以拒绝外网主动访问内网，但是ICMP可以不受限制，缺点是它是根据TCP协议以应用，若UDP协议则不能实行。