控制列表实现单向访问

实施环境:思科小凡的模拟器

1、要求:

现有路由器两台和PC机两台,两台路由器分别连接一个区域lan1和lan2,每个区域分别有一台PC,要求实现针对任何应用协议如{tcp/udp},lan1到lan2是通的,但lan2到lan1是不通的。

2、网络拓扑图

使用亿图工具绘制出网络拓扑图如图1所示:

wKioL1Nc2U_RrSasAAEeYEyv7nM991.jpg

1:网络拓扑图

3、设备配置

(1)路由器R1的配置

//进入特权模式

Router>enable

Router#config t

Enter configuration commands, one per line.  End with CNTL/Z.

Router(config)#hos

//修改名称

Router(config)#hostname R1

R1(config)#int f0/0

R1(config-if)#ip add

//配置IP地址

R1(config-if)#ip address 192.168.2.1 255.255.255.0

R1(config-if)#no shutdown

//进入接口

R1(config-if)#int s1/0

R1(config-if)#ip add

//配置IP地址

R1(config-if)#ip address 192.168.1.1 255.255.255.0

//配置静态路由

R1(config)#ip route 192.168.3.0 255.255.255.0 192.168.1.2

//创建出站控制列表

R1(config)#ip access-list extended out-filter

//允许所有协议从192.168.2.0到192.168.30

R1(config-ext-nacl)#permit ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255

R1(config-ext-nacl)#permit ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255 re

R1(config-ext-nacl)#$92.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255 reflect ?

 WORD  Access-list name

R1(config-ext-nacl)#$92.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255 reflect abc

//把出站控制列表应用到接口上

R1(config)#int s1/0

R1(config-if)#ip access-group out-filter out

//创建进入的控制列表

R1(config-if)#exit

R1(config)#ip access-list ex

R1(config)#ip access-list extended in-filter

R1(config-ext-nacl)#evaluate abc

//把进入的控制应用到接口上

R1(config-ext-nacl)#exit

R1(config)#int s1/0

R1(config-if)#ip access-group in-fil

R1(config-if)#ip access-group in-filter in

(2)路由器R1的配置

Router>enable

Router#config t

Enter configuration commands, one per line.  End with CNTL/Z.

Router(config)#host

Router(config)#hostname R2

R2(config)#int f0/0

R2(config-if)#ip add

//配置IP地址

R2(config-if)#ip address 192.168.3.1 255.255.255.0

R2(config-if)#no shutdown

R2(config-if)#int s1/0

//配置IP地址

R2(config-if)#ip add 192.168.1.2 255.255.255.0

R2(config-if)#no shutdown

//配置静态路由

R2(config)#ip route 192.168.2.0 255.255.255.0 192.168.1.1

4、验证实施:

(1)未配置acl时在PC2上远程访问PC1,如下图所示:

wKioL1Nc2krh5tLnAAEUhJzWJjQ234.jpg

(2)未配置acl时在PC1上远程访问PC2,如下图所示:

wKioL1Nc2mHSNBIwAAEbqNa07vw342.jpg

(3)未配置acl时在PC1 ping PC2结果如下图所示:

wKioL1Nc2nXjkHnTAAFe65ah_J4109.jpg

(4)配置acl后PC2远程PC1,如下图所示:

wKiom1Nc2sPjNSrFAAID9w_cT5Q246.jpg

(5)配置acl后PC1远程PC2,如下图所示:

wKiom1Nc2uKz9q-pAAEbqNa07vw830.jpg

(6)配置acl后在PC1 ping PC2结果如下图所示:

wKioL1Nc2siDmeMkAAGdUMbkcbc500.jpg

(7)配置完acl后再PC1上pingPC2,查看R1的控制列表

R1#show access-lists

Reflexive IP access list abc

permit icmp host 192.168.3.2 host 192.168.2.2  (16 matches) (time left 291)

Extended IP access list in-filter

   10 evaluate abc

Extended IP access list out-filter

   10 permit ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255 reflect abc (8 matches)

从以上验证信息可以看出在这已经实现了针对任何应用协议如{tcp/udp},lan1到lan2是通的,但lan2到lan1是不通的。