网站主页   操作系统    网络工程    服务器    网页制作    数据库    程序开发    网络安全    办公软件   
讲座日期: 本周六下午1点30分 抢座
讲座地点: 北大青鸟马甸校区
主讲老师: 王老师 金牌讲师
讲座主题: 网络安全
讲座内容: 检测、防御、黑客信息,如何过滤不安全的网站,如何防御黑客的进攻。
订座电话: 010-82011432/33
  您当前位置:主页 > 网络学院 > 网络工程 > 路由器 >

在路由器上配置自反访问控制列表




  注意必须是内部发起的!用命名的ACL做。

  不是很好理解,看个例子吧。

  先看下面的:

  ip access-list extended abc

  deny icmp any 192.168.1.0 0.0.0.255

  permit ip any any

  exit

  int s0/0

  ip access-group abc in

  这个ACL是禁止外网去ping内网的192.168.1.0/24这个网段,但是我如果从192.168.1.1去ping外网是否能ping通?

  不通!!记住,通信都是双向的!限制住一面的流量就都不通了!!

  下面再来看自反ACL吧;

  ip access-list extended refin

  permit ospf any any

  evaluate abc '注意这条语句!

  exit

  ip access-list extended refout

  permit ip any any reflect abc '还有这条!

  exit

  int s0/0

  ip access-group refin in

  ip access-group rofut out

  exit

  ip reflexive-list timeout 60

  仔细看看先,在接口的in方向上只允许了一个ospf协议,其他访问都禁止了,也就是不允许外网访问内网。evaluate abc嵌套了一个反射ACL,名称为abc。

  在接口的out方向上,允许所有的访问,记住刚才提到的;可以出去但是回不来!!!所以在permit ip any any 后加上了一个reflect abc,也就是说,任何从内网发起的流量如果它匹配这条permit ip any any reflect abc语句的话,则自动在refin的列表中创建一条动态的permit语句!用show access-lists可以看到!不是简单的将这个条目中的源目的地址调过来啊!是详细条目啊!

  记住,自反ACL永远是permit的,做个实验好好理解一下吧!

  ip reflexive-list timeout 60 设置的是反射出来的条目的有效时间!


上一篇:CISCO动态VLAN配置  
下一篇:在路由器上配置动态访问控制列表
相关信息:

·北大青鸟华腾教育 Cisco路由器基础命令总结 ·北大青鸟 Cisco 路由器安全配置必用10条命令
·【手把手教你如何使用路由器】 ·侠诺科技:多核成下一代云端网络推手
·思科CISCO与华为3COM路由器配置差别分析 ·备战下一代互联网 侠诺双核产品线巡礼
·D-Link发布DI-7001 开启企业管理路由新纪元 ·侠诺多核布局云端网络 备战IPv6商用
·组网不能少 2010年最受关注的路由器 ·技术盘点:2010年路由器技术趋势回顾

Copyright © 2004-2015 北大青鸟马甸校区 北京北方华腾技术培训中心 版权所有
学校地址:北三环中路马甸桥东北角商房大厦(国美电器)626
招生热线:010-82011433/32 京公网安备110102004704  京ICP备05043413号 京公网安备110102004704