Chinaunix首页 | 论坛 | 博客
  • 博客访问: 388139
  • 博文数量: 67
  • 博客积分: 0
  • 博客等级: 民兵
  • 技术积分: 1741
  • 用 户 组: 普通用户
  • 注册时间: 2013-07-21 22:46
文章分类
文章存档

2014年(22)

2013年(45)

分类: 网络与安全

2014-03-25 15:20:05

在外网和内网路由器上配置远程登录,现实环境中,为了保证网络安全,外网是不可以访问内网的,而内网可以访问外网。R1不可以telnet和pingR3,但是R3可以访问R1:

配置如下:

En

Conf t

Hostname R1

Int  f0/0

Ip add 12.1.1.1 255.255.255.0

No shutdown

Ip route 0.0.0.0 0.0.0.0 12.1.1.2

Line vty 0 4

Password 123

Login

Exit

Enable password 123

t

En

Conf t

Int f0/0

Ip add 12.1.1.2 255.255.255.0

No shu

Int e1/0

Ip add 23.1.1.2 255.255.255.0

No shu

Exit

Ip access-list extended out-acl (启用扩展命名ACL 名字是out-acl  cisco IOS只支持扩展命名   ACL来定义反射列表)

Permit ip any any reflect  out--ip

(允许所有IP流量 并对外出IP流量进行反射,创建临时列表 名字叫out--ip)

Exit

Ip access-list extended in-acl (创建在F0/0端口进来方向的扩展命名ACL 名字叫in-acl)

Evaluate out-ip (评估反射列表 其实就是调用前面创建的临时列表out-ip)

进入端口进行启用:

Int f0/0

Ip access-group out-acl out

Ip access-group in-acl in

(数据包外出时做反射 进入时做评估)

R3上的配置 和R1 差不多

En

Conf t

Hos R3

Int e1/0

Ip add 23.1.1.3 255.255.255.0

No shu

Exit

Ip route 0.0.0.0 0.0.0.0 23.1.1.2

配置完成后进行测试

R3 ping R1 可以ping 通


R3 可以telnet R1


但是R1不可以ping通R3


实验达到了要求。

但是,我们想想为什么R3可以访问R1,但是R1不能访问R3,原理是什么呢?

因为在现实网络环境中,做了反射ACL后,当内部网络发起一个会话(基于ip.icmp tcp udp等都可以),并且将数据包发送给外网时,反射ACL被触发,并且生成一个临时条目。如果从外部网络回来的数据流符合临时条目时,则允许进入内部网络,否则就禁止进入临时网络。反射ACL真正起到了防火墙的作用,只是仅仅检查数据包中的ACK和RST的比特位,同时还检查源和目的地址及端口号,可以很好的阻止欺骗和某些DOS攻击。

我们在R2上show access-list可以看见

表示再过283s,这个条目就会删除,下次再访问的话又会临时生成条目。
阅读(4385) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~