自反ACL配置.doc

自反ACL配置需求:在公司的边界路由器上,要求只允许内网用户主动访问外网的流量,外网主动访问内网的所有流量都拒绝,注意:在企业边界路由器外口的入方向上要拒绝掉所有外网主动发起的流量,但是要能够允许内网发起而由外网返回的流量,否则内网发起的流量也不能正常通讯—————————————————————–企业边界路由器:0/-groupZIFAN-2induplexautospeedauto!1/-groupZIFANinduplexautospeedauto!iphttpservernoiphttpsecure-server!!!!ess-//指定该条语句执行自反,ess-listextendedZIFAN-2evaluateLINK_IN//计算并生成自反列表denyipanyany—————————————————————–说明1:reflect和evalute后面的对应名应该相同,此例中为LINK_IN说明2:自反ACL只能在命名的扩展ACL里定义—————————————————————–试验结果:router#ess-(39matches)(timeleft289)(188matches)esslistZIFAN-210evaluateLINK_IN20denyipanyany(52matches)需求:RA是公司的边界路由器,要求只允许内网用户主动访问外网的TCP流量,外网主动访问内网的所有流量都拒绝注意:在RA外口的入方向上要拒绝掉所有外网主动发起的流量,但是要能够允许内网发起而由外网返回的流量,否则内网发起的流量也不能正常通讯配置步骤<接口及路由配置略>第一步:定义内网访问外网的ACLRA(config)#ess-listextendedREFINRA(config-ext-nacl)#//指定对该条语句执行自反,自反列表的名字为REF第二步:定义外网访问内网的ACLRA(config)#ess-listextendedREFOUTRA(config-ext-nacl)#evaluateTCP//计算并生成自反列表(对第一步定义的名字为TCP的条目进行自反计算并生成相应的条目)RA(config-ext-nacl)#denyipanyany第三步:将创建的自反列表应用于相应的接口RA(config)#intf0/0//内网接口RA(config-if)#ess-groupREFINin//应用内网用户访问外网的ACLRA(config)#ints0/0//外网接口RA(config-if)#ess-groupREFOUTin//应用外网访问内网的ACL注意:自反ACL只能在命名的扩展ACL里定义测试1(查看配置的自反ACLRA