自反ACL
- 拓扑
2.地址规划
Device |
interface |
IP |
mask |
R1 |
F 0/0 |
10.20.1.1 |
/24 |
F 0/1 |
14.20.1.1 |
/24 |
|
R2 |
F 0/0 |
10.20.1.2 |
/24 |
R3 |
F 0/0 |
10.20.1.3 |
/24 |
R4 |
F 0/1 |
14.20.1.4 |
/24 |
- 先把网络做通(静态路由)
- 配置拒绝外网主动访问内网
说明:拒绝外网主动访问内网,但是ICMP可以不受限制
(1)配置允许ICMP可以不用标记就进入内网,其它的必须被标记才返回
R1(config)#ip access-list extended come
R1(config-ext-nacl)#permit icmp any any //被允许的ICMP是不用标记即可进入内网的
R1(config-ext-nacl)#evaluate abc //其它要进入内网的,必须是标记为abc的
(2)应用ACL
R1(config)#int f0/1
R1(config-if)#ip access-group come in
- 测试结果
(1)测试外网R4的ICMP访问内网
结果:可以看到,icmp是可以任意访问的。
(2)测试外网R4 telnet内网
结果:可以看到,除ICMP之外,其它流量是不能进入内网的。
(3)测试内网R2的ICMP访问外网
结果:可以看到,内网发ICMP到外网,也正常返回了。
- 配置内网向外网发起的telnet被返回
(1)配置内网出去时,telnet被记录为abc,将会被允许返回
R1(config)#ip access-list extended goto
R1(config-ext-nacl)#permit tcp any any eq telnet reflect abc timeout 60 //telnet已记为abc
R1(config-ext-nacl)#permit ip any any
(2)应用ACL
R1(config)#int f0/1
R1(config-if)#ip access-group goto out
- 测试结果
(1)查看R2到外网的ICMP
结果:icmp正常
(2)查看内网向外网发起telnet
结果:可以看出,此时内网发向外网的telnet因为被标记为abc,所以在回来时,开了缺口,也就可以允许返回了。
(3)查看ACL
说明:可以看到,有一条为abc的ACL为允许外网到内网的telnet,正是由于内网发到外网的telnet被标记了,所以也自动产生了允许其返回的ACL,并且后面跟有剩余时间。