手机媒体即将大迸发 全球收入达450亿美元
2005-12-02 12:13
399 查看
配置自反ACL就能够解决这种问题
1.实验目的
通过本实验可以掌握:
(1)自反 ACL 工作原理
(2)配置自反 ACL
(3)自反 ACL 调试
2.拓扑结构
实验拓扑如图 19-2 所示。
图 19-2 自反 ACL 配置
本实验要求内网可以主动访问外网,但是外网不能主动访问内网,从而有效保护内网。
3.实验步骤
(1)步骤 1:分别在路由器 R1 和 R3 配置默认路由确保 IP 连通性
R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.12.2
R3(config)#ip route 0.0.0.0 0.0.0.0 202.210.23.2
(2)步骤 2:在路由器 R2 上配置自反 ACL
R2(config)#ip access-list extended ACLOUT
R2(config-ext-nacl)#permit tcp any any reflect REF //定义自反 ACL
R2(config-ext-nacl)#permit udp any any reflect REF
R2(config)#ip access-list extended ACLIN
R2(config-ext-nacl)#evaluate REF //评估反射
R2(config)#int s0/0/1
R2(config-if)#ip access-group ACLOUT out
R2(config-if)#ip access-group ACLIN in
【技术要点】
1.自反 ACL 永远是 permit 的;
2.自反 ACL 允许高层 Session 信息的 IP 包过滤;
3. 利用自反 ACL 可以只允许出去的流量,但是阻止从外部网络产生的向内部网络的流
量,从而可以更好地保护内部网络;
4. 自反 ACL 是在有流量产生时(如出方向的流量)临时自动产生的,并且当 Session
结束条目就删除;
5. 自反 ACL 不是直接被应用到某个接口下的,而是嵌套在一个扩展命名访问列表下的。
4.实验调试
(1)同时在路由器 R1 和 R3 都打开 TELNET 服务,在 R1(从内网到外网)TELNET 路由器
R3 成功,同时在路由器 R2 上查看访问控制列表:
R2#show access-lists
Extended IP access list ACLIN
10 evaluate REF
Extended IP access list ACLOUT
10 permit tcp any any reflect REF
20 permit udp any any reflect REF
Reflexive IP access list REF
permit tcp host 202.210.23.3 eq telnet host 192.168.12.1 eq 11002 (48 matches) (time
left 268)
以上输出说明自反列表是在有内部到外部 TELNET 流量经过的时候,临时自动产生一条
列表。
(2)在路由器 R1 打开 TELNET 服务,在 R3(从外网到内网)TELNET 路由器 R1 不能成功,
同时在路由器 R2 上查看访问控制列表:
R2#show access-lists
Extended IP access list ACLIN
10 evaluate REF
Extended IP access list ACLOUT
10 permit tcp any any reflect REF
20 permit udp any any reflect REF
Reflexive IP access list REF
以上输出说明自反列表是在有外部到内部 TELNET 流量经过的时候,不会临时自动产生
一条列表,所以不能访问成功。
本文出自 “小聪的博客” 博客,请务必保留此出处http://kfcka.blog.51cto.com/4529377/1132014
1.实验目的
通过本实验可以掌握:
(1)自反 ACL 工作原理
(2)配置自反 ACL
(3)自反 ACL 调试
2.拓扑结构
实验拓扑如图 19-2 所示。
图 19-2 自反 ACL 配置
本实验要求内网可以主动访问外网,但是外网不能主动访问内网,从而有效保护内网。
3.实验步骤
(1)步骤 1:分别在路由器 R1 和 R3 配置默认路由确保 IP 连通性
R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.12.2
R3(config)#ip route 0.0.0.0 0.0.0.0 202.210.23.2
(2)步骤 2:在路由器 R2 上配置自反 ACL
R2(config)#ip access-list extended ACLOUT
R2(config-ext-nacl)#permit tcp any any reflect REF //定义自反 ACL
R2(config-ext-nacl)#permit udp any any reflect REF
R2(config)#ip access-list extended ACLIN
R2(config-ext-nacl)#evaluate REF //评估反射
R2(config)#int s0/0/1
R2(config-if)#ip access-group ACLOUT out
R2(config-if)#ip access-group ACLIN in
【技术要点】
1.自反 ACL 永远是 permit 的;
2.自反 ACL 允许高层 Session 信息的 IP 包过滤;
3. 利用自反 ACL 可以只允许出去的流量,但是阻止从外部网络产生的向内部网络的流
量,从而可以更好地保护内部网络;
4. 自反 ACL 是在有流量产生时(如出方向的流量)临时自动产生的,并且当 Session
结束条目就删除;
5. 自反 ACL 不是直接被应用到某个接口下的,而是嵌套在一个扩展命名访问列表下的。
4.实验调试
(1)同时在路由器 R1 和 R3 都打开 TELNET 服务,在 R1(从内网到外网)TELNET 路由器
R3 成功,同时在路由器 R2 上查看访问控制列表:
R2#show access-lists
Extended IP access list ACLIN
10 evaluate REF
Extended IP access list ACLOUT
10 permit tcp any any reflect REF
20 permit udp any any reflect REF
Reflexive IP access list REF
permit tcp host 202.210.23.3 eq telnet host 192.168.12.1 eq 11002 (48 matches) (time
left 268)
以上输出说明自反列表是在有内部到外部 TELNET 流量经过的时候,临时自动产生一条
列表。
(2)在路由器 R1 打开 TELNET 服务,在 R3(从外网到内网)TELNET 路由器 R1 不能成功,
同时在路由器 R2 上查看访问控制列表:
R2#show access-lists
Extended IP access list ACLIN
10 evaluate REF
Extended IP access list ACLOUT
10 permit tcp any any reflect REF
20 permit udp any any reflect REF
Reflexive IP access list REF
以上输出说明自反列表是在有外部到内部 TELNET 流量经过的时候,不会临时自动产生
一条列表,所以不能访问成功。
本文出自 “小聪的博客” 博客,请务必保留此出处http://kfcka.blog.51cto.com/4529377/1132014
相关文章推荐
- 乡镇赌博业调查:有人为躲赌债自杀身亡:媒体过渡宣传赌博违法,根据法律法规非法获得的收入可以不给的.
- 在MWC发布史上最尬AI手机,LG下一步可能想放弃全球手机市场
- vue2.3时使用手机调试,提示媒体已断开的解决方案
- 2007第二届全球蓝牙峰会: 中国蓝牙首脑论坛讨论蓝牙跟手机的关系实录
- 2017年苹果手机销量全球最高远超其它品牌
- KeyMob小帮手使手机应用也可以赚更多广告收入
- 三星今年将取代诺基亚成全球最大手机厂商
- 苹果与华为领衔 全球科技巨头进军AI手机领域
- MTK智能面世!全球首款双核MTK智能手机
- HTC下一款Android手机即将上市
- 全球限量650部 兰博基尼再推奢华新品手机
- 全球企业开发大会QCon即将召开,希望获得内部价的同学可以联系我
- 2k5 全球手机销售数量及 2k5Q4五大手机制造商 市场份额排名
- 2006年3GSM全球大会10佳手机
- 9月26日云栖精选夜读:阿里Java代码规约插件即将全球首发_邀您来发布仪式现场
- 6.9mm惊世骇俗 最薄手机三星X828全球抢先预览,WM5.0系统强援!首款数字电视SmartPhone曝光
- 2010年Q1全球智能手机出货5400万部
- CRC:2010-2015智能手机全球销量将达25亿部
- 智能手机全球普及率今年有望达到63%
- 全球最便宜的八核手机 - 小采手机? 吸引眼球!