如何使用自反ACL限制外網訪問?
作者:佚名
信息點間通信,內外網絡的通信都是企業網絡中必不可少的業務需求,但是為了保證內網的安全性,需要通過安全策略來保障非授權用戶只能訪問特定的網絡資源,從而達到對訪問進行控制的目的。簡而言之,ACL可以過濾網絡中的流量,控制訪問的一種網絡技術手段。
ACL可以限制網絡流量、提高網絡性能,為了保護內網的安全,可以只允許內網訪問外網,不允許外網訪問內網,這里利用cisco 路由器的自反ACL來實現。用戶需要配置路由協議,以下配置的是RIP Version1的,也可以配置別的,如EIGRP或OSPF。
內網訪問外網的自反ACL
- R1>en
- R1#conf t
- Enter configuration commands, one per line. End with CNTL/Z.
- R1(config)#ip access-list extended aclout 創建出去的ACL
- R1(config-ext-nacl)#permit tcp any any reflect tcp 自定該條目為自反,名字是tcp
外網訪問內網的自反ACL
- R1(config)#ip access-list extended aclin
- R1(config-ext-nacl)#evaluate tcp 生成自反列表(***步生成自反ACL的名字是tcp,所以對應的名字也就是tcp了)
- R1(config-ext-nacl)#permit udp any any
將自反alc應用到相應的接口上
- R1(config)#int fa0/1 外網接口
- R1(config-if)#ip access-group aclout out
- R1(config-if)#ip access-group aclin in
之后在PC上只能ping通外網,但不能ping通內網了。
ACL限制外網訪問的配置就向大家介紹完了,希望大家已經掌握。
【編輯推薦】
責任編輯:佚名
來源:
網界網
