【实验说明】
使用访问控制列表技术,为路由器自动创建返回流量的ACL条目。
本实验利用自反访问控制列表:自反访问列表的英文名字是Reflexive Access Lists,Reflexive是自反的意思,他会根据一个方向的访问控制列表,自动创建出一个反方向的控制列表,被创建的这个访问控制列表和原来的控制列表—IP的源地址和目的地址颠倒,并且作为临时自反列表的允许语句,当出现以下情况之后允许语句会自动消失,第一不再有任何有关会话的数据流和超时值;第二收到两个FIN标记的数据包,或者在TCP数据包中设置了RST标记。
自反访问列表不支持那些在会话期间改变端口号的协议,例如FTP
这样做的目的是,只允许内部的用户主动连接外部,同时连接返回的流量被允许,但不允许外部主动连接内部。
这样大大增加了安全性。
【实验拓扑】
【实验配置向导】
- 本实验将允许内部主机通过telnet与http访问外部资源,同时允许ping。
- 使用PAT配置R4路由器,参照ipservice实验中的“Standard NAT with Overloading(PAT)”
- 创建访问控制列表OUTBOUND ,允许连接到外部TCP端口 80、23 的流量出去,同时该流量的返回流量需要反射到MIRROR 访问控制列表
- 此外,允许出站ICMP类型的echo,并且返回的流量反射到访问列表MIRROR
- 创建名为INBOUND的访问控制列表,在一开始就计算MIRROR访问控制列表,另外允许OSPF流量,最后拒绝其他流量并记录日志
- 应用访问控制列表OUTBOUND与INBOUND 到两个串口上,充当流量出入的过滤器。
- 请注意,默认情况下,路由器产生的流量不会进行自反
【实验配置】
----------------------------------------Static PAT 配置----------------------------------------------------------------
|
R1:
interface FastEthernet0/0
ip address 10.0.0.1 255.255.255.0
ip route 0.0.0.0 0.0.0.0 10.0.0.4
no sh
R6:
interface FastEthernet0/0
ip address 10.0.0.6 255.255.255.0
ip route 0.0.0.0 0.0.0.0 10.0.0.4
no sh
R4:
interface Loopback0
ip address 150.1.4.4 255.255.255.0
ip ospf network point-to-point
no sh
!
interface FastEthernet0/0
ip address 10.0.0.4 255.255.255.0
ip nat inside
no sh
!
interface serial0/0
en fram
no sh
!
interface Serial0/0.1 point-to-point
ip address 155.1.0.4 255.255.255.0
frame-relay interface-dlci 405
ip nat outside
no sh
!
interface Serial0/1
ip address 155.1.45.4 255.255.255.0
clock rate 2000000
ip nat outside
no sh
!
router ospf 1
router-id 150.1.4.4
network 150.1.4.4 0.0.0.0 area 0
network 155.1.0.4 0.0.0.0 area 0
network 155.1.45.4 0.0.0.0 area 0
!
router bgp 1
bgp router-id 150.1.4.4
neighbor 150.1.5.5 remote-as 2
neighbor 150.1.5.5 ebgp-multihop 255
neighbor 150.1.5.5 update-source Loopback0
!
ip access-list standard INSIDE_NETWORK
permit 10.0.0.0 0.0.0.255
!
ip nat inside source list INSIDE_NETWORK interface Loop0 overload
|
R5:
interface Loopback0
ip address 150.1.5.5 255.255.255.0
ip ospf network point-to-point
no sh
!
interface Serial0/0
encapsulation frame-relay
no sh
!
interface Serial0/0.1 point-to-point
ip address 155.1.0.5 255.255.255.0
frame-relay interface-dlci 504
no sh
!
interface Serial0/1
ip address 155.1.45.5 255.255.255.0
clock rate 2000000
no sh
!
router ospf 1
router-id 150.1.5.5
network 150.1.5.5 0.0.0.0 area 0
network 155.1.0.5 0.0.0.0 area 0
network 155.1.45.5 0.0.0.0 area 0
!
router bgp 2
bgp router-id 150.1.5.5
neighbor 150.1.4.4 remote-as 1
neighbor 150.1.4.4 ebgp-multihop 255
neighbor 150.1.4.4 update-source Loopback0
neighbor 150.1.4.4 default-originate
|
--------------------------------------------访问控制列表配置-----------------------------------------------------
R4:
ip access-list extended OUTBOUND
permit tcp any any eq 80 reflect MIRROR
permit tcp any any eq 23 reflect MIRROR
permit icmp any any echo reflect MIRROR
!
ip access-list extended INBOUND
evaluate MIRROR
permit ospf any any
deny ip any any log
!
int s0/1
ip access-group OUTBOUND out
ip access-group INBOUND in
!
int s0/0.1
ip access-group OUTBOUND out
ip access-group INBOUND in
【实验验证】
R1#telnet 150.1.5.5
Trying 150.1.5.5 ... Open
R1#ping 150.1.5.5
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 150.1.5.5, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 20/49/120 ms
R4#show ip access MIRROR
Reflexive IP access list MIRROR
permit tcp host 150.1.5.5 eq telnet host 150.1.4.4 eq 40578 (35 matches) (time left 1)
permit icmp host 150.1.5.5 host 150.1.4.4 (99 matches) (time left 297)
请注意,默认情况下,源于自身路由器的流量不会进行自反,因此R4的loopback0 ping不通R5的loopback0
R4#ping 150.1.5.5
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 150.1.5.5, timeout is 2 seconds:
*Mar 1 01:05:00.951: %SEC-6-IPACCESSLOGDP: list INBOUND denied icmp 150.1.5.5 -> 155.1.45.4 (0/0), 1 packet .....
Success rate is 0 percent (0/5)
转载于:https://blog.51cto.com/haolun/992195
2391
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
