1R1(config)#interfaces0/0/0
R1(config)#ipaddress192.168.12.1255.255.255.0
R1(config)#noshutdown
R1(config)#interfaceg0/0
R1(config)#ipaddress172.16.1.1255.255.255.0
R1(config)#noshutdown
R1(config)#iproute0.0.0.00.0.0.0192.168.12.2
R2(config)#interfaces0/0/0
R2(config)#ipaddress192.168.12.2255.255.255.0
R2(config)#noshutdown
R2(config)#interfaces0/0/1
R2(config)#ipaddress202.210.23.2255.255.255.0
R2(config)#noshutdown
R3(config)#interfaceloopback0
R3(config)#ipaddress3.3.3.3255.255.255.0
R3(config)#noshutdown
R3(config)#interfaces0/0/1
R3(config)#ipaddress202.210.23.3255.255.255.0
R3(config)#noshutdown
R3(config)#iproute0.0.0.00.0.0.0202.210.23.2
2、在路由器R2上配置自反ACL
R2(config)#ipaccess-listextendedACLOUT
R2(config-ext-nacl)#permittcpanyanyreflectREF//定义自反ACL
R2(config-ext-nacl)#permitudpanyanyreflectREF
R2(config)#ipaccess-listextendedACLIN
R2(config-ext-nacl)#evaluateREF//评估反射
R2(config)#ints0/0/1
R2(config-if)#ipaccess-groupACLOUTout
R2(config-if)#ipaccess-groupACLINin
PS:(1)、自反ACL永远是permit的;
(2)、自反ACL允许高层Session信息的IP包过滤;
(3)、利用自反ACL可以只允许出去的流量,但是阻止从外部网络产生的向内部网络的流量,从而可以更好地保护内部网络;
(4)、自反ACL是在有流量产生时(如出方向的流量)临时自动产生的,并且当Session结束条目就删除;
(5)、自反ACL不是直接被应用到某个接口下的,而是嵌套在一个扩展命名访问列表下的。
3、调试
(1)同时在路由器R1和R3都打开TELNET服务,在R1(从内网到外网)TELNET路由器R3成功,同时在路由器R2上查看访问控制列表:
R2#showaccess-lists
ExtendedIPaccesslistACLIN
10evaluateREF
ExtendedIPaccesslistACLOUT
10permittcpanyanyreflectREF
20permitudpanyanyreflectREF
ReflexiveIPaccesslistREF
permittcphost202.210.23.3eqtelnethost192.168.12.1eq11002(48matches)(timeleft268)
//以上输出说明自反列表是在有内部到外部TELNET流量经过的时候,临时自动产生一条列表。
(2)在路由器R1打开TELNET服务,在R3(从外网到内网)TELNET路由器R1不能成功,同时在路由器R2上查看访问控制列表:
R2#showaccess-lists
ExtendedIPaccesslistACLIN
10evaluateREF
ExtendedIPaccesslistACLOUT
10permittcpanyanyreflectREF
20permitudpanyanyreflectREF
ReflexiveIPaccesslistREF
以上输出说明自反列表是在有外部到内部TELNET流量经过的时候,不会临时自动产生一条列表,所以不能访问成功。之后在PC上只能ping通外网,但不能ping通内网了。ACL限制外网访问的配置就向大家介绍完了,希望大家已经掌握。谢谢阅读,希望能帮到大家,请继续关注,我们会努力分享更多优秀的文章。