好消息,超酷的在线虚拟网络实验室上线了!点击开始实验

为获得更好的浏览效果,建议您使用 Firefox 或者 Chrome 浏览器



9.9 自反ACL典型配置

【需求】

PC1通过路由器访问外网,通过启用自反acl功能,pc1发起的请求,外网应答报文可以进入内网

但是外网主动发起的请求不能进入内网,这样有效的保护了内网不被攻击。

【组网图】

【配置脚本】

Router配置脚本

#

sysname Quidway

#

acl number 3001

nesting 3000                                              /配置嵌套组/

rule 1 deny ip                                           /禁止所有数据包/

acl number 3002

rule 0 permit ip reflect 3000 timeout 300    /配置自反组,单条老化时间的默认值是300/

#

interface Ethernet0/0

ip address 192.168.0.1 255.255.255.0

#

interface Serial1/1

clock DTECLK1

link-protocol ppp

ip address 202.38.0.1 255.255.255.0

firewall packet-filter 3001 inbound         /acl3001应用于接口的入方向/

firewall packet-filter 3002 outbound        /acl3002应用于接口的出方向/

#

user-interface con 0

user-interface aux 0

user-interface vty 0 4

authentication-mode scheme

#

return

 

PC1ip地址设为192.168.0.2,网关设为192.168.0.1

PC2ip地址设为202.38.0.2,网关设为202.38.0.1

 

【验证】

pc1Dos视图下执行:ping 202.38.0.2

Reply from 202.38.0.2: bytes=56 Sequence=1 ttl=127 time=28 ms

Reply from 202.38.0.2: bytes=56 Sequence=2 ttl=127 time=28 ms

Reply from 202.38.0.2: bytes=56 Sequence=3 ttl=127 time=28 ms

Reply from 202.38.0.2: bytes=56 Sequence=4 ttl=127 time=28 ms

Reply from 202.38.0.2: bytes=56 Sequence=5 ttl=127 time=28 ms

 

 

pc2Dos视图下执行:ping 192.168.0.2

From 202.38.0.1 : Communication Administratively Prohibited

From 202.38.0.1 : Communication Administratively Prohibited

From 202.38.0.1 : Communication Administratively Prohibited

From 202.38.0.1 : Communication Administratively Prohibited

From 202.38.0.1 : Communication Administratively Prohibited

 

【提示】

1.对接口的入方向acl一定要配置禁止ip包访问,因为系统默认的是permit否则外网可以访问内网

2.此功能在VRP3.4-E0201及其以后版本上实现。

X Close
X Close