单向路由访问的实现原理

实现拓扑如下,条件是内网和外网经过两个路由器相连,内网也有合法的ip地址,意思就是内网可以访问外网的internet,不需要做nat的转换就行,要求是外网不能访问内网的资源。

 

 

1.R1上的配置基本配置:

Router>

Router>en

Router#conf

Configuring from terminal, memory, or network [terminal]? 

Enter configuration commands, one per line.  End with CNTL/Z.

Router(config)#line con

Router(config)#line console 0

Router(config-line)#no exec-t 

Router(config-line)#no exec-timeout 

Router(config-line)#logging sy

Router(config-line)#logging synchronous 

Router(config-if)#ip add 61.130.131.6 255.255.255.248

Router(config-if)#int s1/1

Router(config-if)#ip add 10.0.0.1 255.255.255.252    

Router(config-if)#no shu

2.R2上的基本的配置:

Router(config)#line con

Router(config)#line console 0

Router(config-line)#no exec-ti

Router(config-line)#no exec-timeout 

Router(config-line)#logging syn

Router(config-line)#logging synchronous 

Router(config-line)#exit

Router(config)#hostname R2

R2(config)#int s1/1

R2(config-if)#ip add 10.0.0.2 255.255.255.252

R2(config-if)#int f0/0

R2(config-if)#ip add 61.130.130.254 255.255.255.0

3.两个路由器基本配置以后要保证直连的能通(注意:所有的端口都要no shu 一下才能通)

Router#ping 10.0.0.2

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 10.0.0.2, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 4/34/84 ms

4.为了实现上述的功能在R1上主要的配置:

1R1上添加一条静态的路由

Router(config)#ip route 61.130.130.0 255.255.255.0 10.0.0.2(添加一条静态的路由使内网能够访问外网)

2)R2上也添加一条静态的路由

R2(config)#ip route 61.130.131.0 255.255.255.248 10.0.0.1

注意:只有两个路由器上都添加路由,才能够在内网主机上ping10.0.0.2的因为路由使双向的不然会回不来的。

 

 

3)创建访问控制,包括外出的和进入的

Router(config)#ip access-list extended out-filter(创建一个扩展的表名叫out-filter

Router(config-ext-nacl)#permit ip any any reflect hua(允许所有的都能够通过并生成一个hua的表格)

Router(config-ext-nacl)#int s1/1(进入外部的接口处)

Router(config-if)#ip access-group out-filter out(表示把此访问控制用到外接口上)

Router(config)#ip access-list extended in-filter(创建一个用于控制进入的流量)

Router(config-ext-nacl)#evaluate hua(表示匹配hua这个表格的允许进入)

Router(config-ext-nacl)#int s1/1

Router(config-if)#ip access-group in-filter in(应用于进接口)

5.做完以后两个pc机互相ping,并查看访问控制列表如下