一、實驗拓撲
|
|
F0/0 |
E1/0 |
| R1 |
10.1.88.1 |
14.1.88.1 |
| R2 |
10.1.88.2 |
/ |
| R3 |
10.1.88.3 |
/ |
| R4 |
/ |
14.1.88.4 |
二、配置步驟
1.配置拒絕外網主動訪問內網
(1)配置允許ICMP可以不用標記就可以進入內網,其他的必須標記才返回
R1(config)#ip access-list extended come
R1(config-ext-nacl)#permit icmp any any //被允許的ICMP是不用標記就可以進入內網的
R1(config-ext-nacl)#evaluate abc //其他要進入內網的,必須是標記為abc的
(2)應用ACL
R1(config)#interface ethernet 1/0
R1(config-if)#ip access-group come in
2.測試結果
(1)測試外網R4的ICMP訪問內網
可見ICMP是可以任意訪問的
(2)測試外網R4telnet內網
可見除了ICMP之外,其他流量進入不了內網
(3)測試內網R2的ICMP訪問內網
可見內網發送的ICMP包正常從外網返回
(4)測試內網R2telnet到外網
可見,除ICMP之外其他流量通過不了
配置內網向外網發起的telnet被返回
(1)配置內網出去時,telnet被記錄為abc,將會被允許返回
R1(config)#ip access-list extended goto
R1(config-ext-nacl)#permit tcp any any eq telnet reflect abc timeout 60 //telnet標記為abc
R1(config-ext-nacl)#permit ip any any
(2)應用ACL
R1(config)#interface ethernet 1/0
R1(config-if)#ip access-group goto out
測試結果
(1)查看R2到外網的ICMP
ICMP傳送正常
(2)查看內網向外網發起telnet
可見,內網向外網發送的telnet因被標記了abc所以被允許返回了
(3)查看ACL
可見,有一條為abc的acl允許外網到內網telnet,由於內網發到外網的telnet被標記了,所以也自動產生了允許其返回的ACL