思科路由器用自反访问控制列表(ACL)实现网段之间单向访问配置(设置)方法图解VIP专享

1 思科路由器用自反访问控制列表（ACL）实现网段之间 单向访问配置（设置）方法 问题的提出： 有二个网段，网络号分别为192.168.1.0 与192.168.0.0，分别有主机192.168.1.2 与192.168.0.2，开启了WWW 服务和远程桌面。要求只允许网络192.168.1.0 访问192.168.0.0，而不允许反向访问，应该怎样用ACL 解决？ 方案： 首先会想到用ACL 实现，或者用扩展 ACL 实现。 Router#conf t Router(config)#acc 10 deny 192.168.0.0 0.0.0.255 //拒绝 192.168.0.0 网段 Router(config)#acc 10 permit any Router(config)#int e0 Router(config-if)#ip ace 10 in //ACL 应用在流入方向 Router(config)#end Router#wri 显示配置清单 看上去拒绝了192.168.0.0 网段发往 192.168.1.0 网段的数据流，但是，由192.168.1.0 网段主动发起的发往 192.168.0.0 网段的回程数据也被挡住了。两边无法通讯。 换扩展 ACL 试试 Router#conf t Router(config)#acc 110 deny tcp 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255 eq 3389 2 //拒绝192.168.0.0 网段访问192.168.1.0 网段远程桌面 Router(config)#acc 110 permit ip any any Router(config)#int e0 Router(config-if)#ip ace 110 in Router(config)#end Router#wri 显示配置清单 测试结果192.168.0.0 网段不能访问192.168.1.0 网段远程桌面，192.168.1.0 网段可以访问192.168.0.0 网段，与目标近了一步。但是，是否要写完整全部的使用端口才能达到目的呢？这似乎不可能，并且也不是好办法。 一种被称为自反扩展 ACL 可以在这种场合使用。它能以出去为条件，触发开启返回数据流通道。使单向访问得以实现。 试试自反控制访问列表效果 Router(config)#ip acce ext refin //refin 是访问控制列表名，随意定，此处表示 //自反应用在进方向 Router(config-ext-nacl)#per icmp 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255 echo //允许 192.168.0.0 网段ping192.168.1.0 网段 Router(config-ext-nacl)#evaluate abc //ACL 到此处结束 Router(config-ext-nacl)#exit Router(config)#ip acce ext refout Router(config-ext-nacl)#per ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255 ref abc time 5 //允许 192.168.1.0 网段访问192.168.1.0 网段 Router(config-ext-nacl)#exit 3 Rou ...