思科认证:如何使用自反ACL限制外网访问

会计考友

思科认证:如何使用自反ACL限制外网访问
ACL可以限制网络流量、提高网络性能，为了保护内网的安全，可以只允许内网访问外网，不允许外网访问内网，这里利用cisco 路由器的自反ACL来实现。用户需要配置路由协议，以下配置的是RIP Version1的，也可以配置别的，如EIGRP或OSPF。
内网访问外网的自反ACL
; \# W( }* x- r% R! F) BR1》en
R1#conf t
6 ?$ x! g3 q+ _: z) CEnter configuration commands， one per line.　 End with CNTL/Z.
+ x& ^4 s3 A! h. L2 yR1（config）#ip access-list extended aclout　 创建出去的ACL
R1（config-ext-nacl）#permit tcp any any reflect tcp 自定该条目为自反，名字是tcp
- O) J: l2 r% z外网访问内网的自反ACL
R1（config）#ip access-list extended aclin
" L% h# C0 I& U5 Z) pR1（config-ext-nacl）#evaluate tcp 生成自反列表（第一步生成自反ACL的名字是tcp，所以对应的名字也就是tcp了）
R1（config-ext-nacl）#permit udp any any
% T+ W" X# c) r3 E! B. O' b将自反alc应用到相应的接口上
R1（config）#int fa0/1 外网接口
R1（config-if）#ip access-group aclout out
1 q* h2 n5 [+ U7 b4 DR1（config-if）#ip access-group aclin in
之后在PC上只能ping通外网，但不能ping通内网了。
ACL限制外网访问的配置就向大家介绍完了，希望大家已经掌握。