一、拓扑图
R4为外网,R2和R3为内网。
二、地址表
| Device |
Interface |
IP address |
| R1 |
F 0/0 |
10.1.63.1 |
| F 0/1 |
14.1.63.1 |
|
| R2 |
F 0/0 |
10.1.63.2 |
| R3 |
F 0/0 |
10.1.63.3 |
| R4 |
F 0/0 |
14.1.63.4 |
三、实验配置
先在R2、R3与R4上配置配置静态路由
R2(config)#ip route 14.1.63.0 255.255.255.0 10.1.63.1
R3(config)#ip route 14.1.63.0 255.255.255.0 10.1.63.1
R4(config)#ip route 10.1.63.0 255.255.255.0 14.1.63.1
配置静态路由完成,路由之间互通,即可做自反ACL
1.配置拒绝外网主动访问内网(拒绝外网主动访问内网,但是ICMP可以不受限制)
(1)配置允许ICMP可以不用标记就进入内网,其它的必须被标记才返回
R1(config)#ip access-list extended come
R1(config-ext-nacl)#permit icmp any any
R1(config-ext-nacl)#evaluate abc
(2)应用ACL
R1(config)#int f0/1
R1(config-if)#ip access-group come in
2.测试结果
(1)测试外网R4的ICMP访问内网
可以看到,ICMP是可以任意访问的
(2)测试外网R4 telnet内网
可以看到,除ICMP之外,其它流量是不能进入内网的。
(3) 测试内网R3的ICMP访问外网
可以看到,内网发ICMP到外网,也正常返回了
(2) 测试内网R3发起telnet到外网
可以看到,除ICMP之外,其它流量是不能通过的。
3.配置内网向外网发起的telnet被返回
(1)配置内网出去时,telnet被记录为abc,将会被允许返回
R1(config)#ip access-list extended goto
R1(config-ext-nacl)#permit tcp any any eq telnet reflect abc timeout 60
R1(config-ext-nacl)#permit ip any any
(2)应用ACL
R1(config)#int f0/1
R1(config-if)#ip access-group goto out
4.测试结果
(1)查看R3到外网的ICMP
ICMP属正常
(2)查看内网向外网发起telnet
可以看出,此时内网发向外网的telnet因为被标记为abc,所以在回来时,存在缺口,可以允许返回。
(3)查看ACL
可以看到,有一条为abc的ACL为允许外网到内网的telnet,正是由于内网发到外网的telnet被标记了,所以也自动产生了允许其返回的ACL,并且后面跟有剩余时间。