9.9 自反ACL典型配置
【需求】
PC1通过路由器访问外网,通过启用自反acl功能,pc1发起的请求,外网应答报文可以进入内网,
但是外网主动发起的请求不能进入内网,这样有效的保护了内网不被攻击。
【组网图】
【配置脚本】
Router配置脚本 |
# sysname Quidway # acl number 3001 nesting 3000
/配置嵌套组/ rule 1 deny ip
/禁止所有数据包/ acl number 3002 rule 0 permit ip reflect
3000 timeout 300 /配置自反组,单条老化时间的默认值是300秒/ # interface
Ethernet0/0 ip address 192.168.0.1 255.255.255.0 # interface
Serial1/1 clock DTECLK1 link-protocol ppp ip address 202.38.0.1 255.255.255.0 firewall packet-filter 3001 inbound
/将acl3001应用于接口的入方向/ firewall packet-filter 3002 outbound /将acl3002应用于接口的出方向/ # user-interface con 0 user-interface aux 0 user-interface vty 0 4 authentication-mode scheme # return |
PC1的ip地址设为192.168.0.2,网关设为192.168.0.1
PC2的ip地址设为202.38.0.2,网关设为202.38.0.1
【验证】
在pc1的Dos视图下执行:ping 202.38.0.2
Reply from 202.38.0.2: bytes=56 Sequence=1 ttl=127 time=28 ms
Reply from 202.38.0.2: bytes=56 Sequence=2 ttl=127 time=28 ms
Reply from 202.38.0.2: bytes=56 Sequence=3 ttl=127 time=28 ms
Reply from 202.38.0.2: bytes=56 Sequence=4 ttl=127 time=28 ms
Reply from 202.38.0.2: bytes=56 Sequence=5 ttl=127 time=28 ms
在pc2的Dos视图下执行:ping 192.168.0.2
From 202.38.0.1 : Communication Administratively
Prohibited
From 202.38.0.1 : Communication Administratively
Prohibited
From 202.38.0.1 : Communication Administratively
Prohibited
From 202.38.0.1 : Communication Administratively
Prohibited
From 202.38.0.1 : Communication Administratively
Prohibited
【提示】
1.对接口的入方向的acl一定要配置禁止ip包访问,因为系统默认的是permit。否则外网可以访问内网。
2.此功能在VRP3.4-E0201及其以后版本上实现。