自反ACL

ESW1: (主要配置)    其它 电脑 就配置上IP 网关

!
interface FastEthernet1/0
 switchport access vlan 10
 duplex full
 speed 100
!
interface FastEthernet1/1
 switchport access vlan 30
 duplex full
 speed 100
!
interface FastEthernet1/2
 switchport access vlan 20
 duplex full
 speed 100
!
interface FastEthernet1/3
 switchport access vlan 10
 duplex full
 speed 100
!

interface Vlan10
 ip address 172.24.42.254 255.255.255.0
 ip access-group flow-in in
 ip access-group flow-out out
!
interface Vlan20
 ip address 172.24.8.254 255.255.255.0
!
interface Vlan30
 ip address 172.24.16.254 255.255.255.0
!
no ip http server
no ip http secure-server
!
!
!
!
ip access-list extended flow-in
 evaluate back
ip access-list extended flow-out
 deny   ip 172.24.16.0 0.0.0.255 host 172.24.42.1 log
 permit ip 172.24.8.0 0.0.0.255 host 172.24.42.1 log reflect back
 permit tcp any host 172.24.42.2 eq www log reflect back

permit ip any any

************************************************0.0*************************************************

工作原理

只含临时性条目,没有“拒绝一切”语句

临时性条目的特点:

1.总是允许语句;

2.指定与最初的外出数据包相同的协议(TCP);

3.指定与最初外出数据包相同的源地址和目的地址,但这两个地址的位置被互换;

4.指定与最初外出数据包相同的源和目的端口号码(对TCP/UDP),但这两个地址的位置被

互换;

5.对于不含端口号码的协议,如ICMP 和IGMP,它会指定其他准则;

6.入数据流将根据自反条目被评判,直到该条目过期被删除;

自反访问控制列表配置

自反访问列表的配置

需求:在公司的边界路由器上,要求只允许内网用户主动访问外网的流量,外网主动访问内网的所有流量都拒绝,注意:在企业边界路由器外口的入方向上要拒绝掉所有外网主动发起的流量,但是要能够允许内网发起而由外网返回的流量,否则内网发起的流量也不能正常通讯

—————————————————————–

企业边界路由器

interface FastEthernet0/0

ip address 23.0.0.1 255.255.255.0

ip access-group ZIFAN-2 in

duplex auto

speed auto

!

interface FastEthernet1/0

ip address 12.0.0.2 255.255.255.0

ip access-group ZIFAN in

duplex auto

speed auto

!

ip http server

no ip http secure-server

!

!

!

!

ip access-list extended ZIFAN

permit ip host 12.0.0.1 any reflect LINK_IN //指定该条语句执行自反,自反列表的名字为LINK_IN

ip access-list extended ZIFAN-2

evaluate LINK_IN //计算并生成自反列表

deny ip any any

—————————————————————–

说明1:reflect和evalute后面的对应名应该相同,此例中为LINK_IN

说明2:自反ACL只能在命名的扩展ACL里定义

—————————————————————–

试验结果:

router#sh access-lists

Reflexive IP access list LINK_IN

permit icmp host 23.0.0.2 host 12.0.0.1 (39 matches) (time left 289)

Extended IP access list ZIFAN

10 permit ip host 12.0.0.1 any reflect LINK_IN (188 matches)

Extended IP access list ZIFAN-2

10 evaluate LINK_IN

20 deny ip any any (52 matches)

时间: 2024-11-12 22:27:21

自反ACL的相关文章

自反ACL的配置

现在我们个需求:允许内网主机访问外部网络,而外部网络不能访问我们的内网,如果我们使用router(config)#access-list {access-list-number} deny ip any any 并在指定接口调用,那么,外部网络是不能够访问内部网络的,但内部网络的数据出去之后也回不来了,显然,我们并不想要这种结果.我们知道TCP在建立连接之前,有一个三次握手过程,在TCP的包头里面有一个标志位,我们的扩展访问控制列表可以对这个标志位进行控制.我们分析下,内部主机向外发起连接的时候

自反ACL实验(GNS3)

1.拓扑图 R2.R3为内网      R4为外网 2.对路由器进行配置 先将网络配通再配ACL,往各个接口配上相应的地址,然后配置静态路由使内外网连通 测试网络连通性 R2 ping R4 开始配置ACL (1)配置允许ICMP可以不用标记就进入内网,其它的必须被标记为meaqua才返回,然后应用ACL (2) 测试外网ICMP访问内网和telnet内网 可以发现ICMP可以访问,而telnet不能 (3)配置内网向外网发起的telnet被返回,并在端口f1/0上应用ACL (4)测试内网te

Quidway AR 28-12 做自反ACL+NAT

要求:公司新成立一部门,设置开发部和业务部,需实现新部门人员上网的控制,新部门人员可以访问现有网络里的主机,反之不行:开发部可以访问业务部,业务部不能访问开发部. 环境: 1台路由器,三个以太口,一个做出口,上联其它路由器:另两个分别下联两个网段. <DZSW>dis cur # sysname DZSW # cpu-usage cycle 1min # firewall enable # nat address-group 5 192.168.142.228 192.168.142.228

[Lab7]ACL

[Lab7]ACL 访问控制列表简称为ACL,它使用包过滤技术,在路由器上读取第三层及第四层包头中 的信息如源地址.目的地址.源端口.目的端口等,根据预先定义好的规则对包进行过滤, 从而达到访问控制的目的.ACL 分很多种,不同场合应用不同种类的ACL. 1. 标准ACL 标准ACL 最简单,是通过使用IP 包中的源IP 地址进行过滤,表号范围1-99 或 1300-1999: 2. 扩展ACL 扩展ACL 比标准ACL 具有更多的匹配项,功能更加强大和细化,可以针对包括协议类型. 源地址.目的

CCNP路由实验之十四 路由器的訪问控制ACL

?? ACL(Access Control List,訪问控制列表) 是路由器接口的指令列表,用来控制port进出的数据包.ACL适用于全部的路由协议,如IP.IPX.AppleTalk等.这张表中包括了匹配关系.条件和查询语句,表仅仅是一个框架结构.其目的是为了对某种訪问进行控制.訪问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源port.目的port等,依据预先定义好的规则对包进行过滤.从而达到訪问控制的目的,该技术初期仅在路由器上支持.如今已经支持三

CCNA网络工程师学习进程(8)访问控制列表ACL

前面几节我们介绍了路由器的路由配置,接下来几节我们将介绍路由器的高级配置应用,包括ACL.NAT.DHCP.PPP.VPN和远程连接等的配置.     (1)ACL概述:   ACL(Access Control List)是一系列运用到路由器接口的指令列表.这些指令告诉路由器如何接收和丢弃数据包,按照一定的规则进行,如源地址.目的地址和端口号等.路由器将根据ACL中指定的条件,对经过路由器端口的数据包进行检查,ACL可以基于所有的Routed Protocols(被路由协议)对经过路由器的数据

ACL简单配置

一.实验拓扑. 二.标准ACL配置. R2(config)#access-list 1 deny 10.1.1.0 0.0.0.255 R2(config)#access-list 1 permit any #R2只拒绝10.1.1.0网段访问 R2(config)#int s0/0 R2(config-if)#ip access-group 1 in #在接口上应用ACL R2(config)#access-list 2 permit 172.16.3.1 R2(config)#line vt

CCNA WAN ACL&NAT

ACL要么应用于入站数据流要么应用于出站数据流. ACL编号范围: 1 ~ 99 和1300 ~ 1999: 标准IP ACL 100 ~ 199和2000 ~ 2699: 扩展IP ACL 600 ~ 699: AppleTalk 800 ~ 899: IPX 标准ACL: 只指定源地址,不指定目标地址 扩展ACL: 查看源IP地址,也查看目标IP地址.协议和端口号. 配置标准ACL access-list 2 deny 192.168.0.1 access-list 2 permit 192

CCNA实验二十五 实战多种ACL访问控制 &nbsp;

CCNA实验二十五 实战多种ACL访问控制 环境:Windows XP .Pracket Tracert 5.3 . GNS3.0.7.2 目的:了解ACL作用并熟练在不同环境中配置ACL 说明: ACL是路由器和交换机接口的指令列表,用来控制端口进出的数据包并且可以保护网络,ACL适用于所有的被路由协议,如IP.IPX.AppleTalk等.ACL种类:标准ACL.扩展ACL.命名式ACL.基于时间ACL.自反ACL.动态ACL. 标准的ACL使用 1 ~ 99 以及1300~1999之间的数