用访问控制列表实现网络单向访问_路由技术

frtyeee

简易拓扑图（所有子网掩码均为255.255.255.0）： PC(10.1.1.2)---E0(10.1.1.1)[RouterA]S0(192.1.1.1)---S1(192.1.1.2)[RouterB] 　　做网络的单向访问实在实现的是防火墙的基本功能：我是内网，你是外网，我能访问你，但你不能访问我。 　　所以现在假设RouterA的E0口所连网段为内网段，RouterA S0所连的网段为外网段，还假设我想做的是内网的PC性能ping通外网RouterB的S1口，但RouterB却ping不进我的内网。 　　用ACL来实现类似的单向访问控制需要用到一种特殊的ACL，叫Reflexive ACL。Reflexive ACL的配置分为两个部分，一部分是outbound的配置，一部分是inbound的配置。 　　在继续下面的说明之前，先说点题外话。在最开始想到单向访问题目时，我（也包括其它一些我的同事）自然的就这么想：那我在E0口上答应PC的流量进来，然后再在S0口上禁止RouterB的流量进来不就行了？看上去似乎没什么题目，但一试就知道实在是不行的。为什么不行呢，由于很多人都忽略了这么一个题目：即绝大多数的网络流量都是有去有回的，上面的方法只解决了去的题目，但这个流量在到达RouterB后，RouterB还需要返回这个流量给PC，这个返回的流量到了RouterA的S0口，但上面的方法却在S0口上禁止了RouterB的流量进来，回来的流量被挡住了，通讯失败。 　　Reflexive ACL中outbound的部分决定了我出去的哪些内网网络流量是需要被单向访问的，inbound部分决定了这些流量在返回后能被正确的识别并送给内网发起连接的PC机。 Reflexive ACL中outbound的部分： ip access-list extended outbound_filter permit icmp any any reflect icmp_traffic permit ip any any 　　!---留意在Reflexive ACL中只能用named方式的ACL，不能用numbered方式的ACL。 !---基本配置和普通ACL并没有什么太多不同，不同之处是reflect icmp_traffic，它的意思是这条ACE作为单向流量来处理，并且给了一个名称叫icmp_traffic，icmp_traffic在inbound部分被引用。 　　!---permit ip any any并不是必要的，加在这里是为了另一个测试，下面会说明。 　　Reflexive ACL中inbound的部分： ip access-list extended inbound_filter evaluate icmp_traffic deny ip any any log 　　!---inbound的配置有和普通ACL有点不同了，第一句evaluate icmp_traffic对上述outbound配置中的icmp_traffic进行了引用，也就是说，它要检查从外网进来的流量，假如这个流量确实是从内网发起的对外访问的返回流量，那么答应这个流量进来。 　　!---留意deny ip any any log这句，固然这句也是不必配的，由于是默认的deny ip any any，但我加了log来对上面outbound部分的permit ip any any进行测试。 　　Reflexive ACL中应用到接口的部分： inte***ce Serial0 ip address 192.1.1.1 255.255.255.0 ip access-group inbound_filter in ip access-group outbound_filter out 　　 !---这里也有一些讲究，ACL outbound_filter被应用到外网口的out方向，ACL inbound_filter被应用到外网口的in方向，in和out不能搞混。 　　好，现在进行测试，在10.1.1.2上ping 192.1.1.2，通了，RouterB上则ping不通10.1.1.2。 　　现在还余下一个题目：路由器既然已经deny了外网进来的所有流量，那么它是怎么答应内网出去的返回流量进来呢？ 　　它是通过创建动态天生的ACL来答应返回流量的，下面看看show access-list的结果： …… Reflexive IP access list icmp_traffic 　permit icmp host 192.1.1.2 host 10.1.1.2 (24 matches) (time left 196) …… 　　这些动态ACL可通过TCP的FIN/RST包来动态自动消除，对ICMP这样stateless的包来说，是通过内置的timer来消除的，这点可通过上述show access-list结果中的(time left 196)来核实。 　　最后再说说那另一个测试，也就是两个ACL中加的多余的东西： ip access-list extended o      1/2 12下一页尾页