思科路由器用自反访问控制列表(ACL)实现网段之间单向访问配置(设置)方法图解.pdf

勿以恶小而为之，勿以善小而不为。——刘备

思科路由器用自反访问控制列表（ACL）实现网段之间

单向访问配置（设置）方法

问题的提出：

有二个网段，网络号分别为与，分别有主机与

，开启了WWW服务和远程桌面。要求只允许网络访问，

而不允许反向访问，应该怎样用ACL解决？

方案：

首先会想到用ACL实现，或者用扩展ACL实现。

Router#conft

Router(config)#acc10deny55//

拒绝网段

Router(config)#acc10permitany

Router(config)#inte0

Router(config-if)#ipace10in//

ACL应用在流入方向

Router(config)#end

Router#wri

显示配置清单

看上去拒绝了网段发往网段的数据流，但是，由网段主

动发起的发往网段的回程数据也被挡住了。两边无法通讯。

换扩展ACL试试

Router#conft

Router(config)#acc110denytcp5555eq3389

1

勿以恶小而为之，勿以善小而不为。——刘备

//拒绝网段访问网段远程桌面

Router(config)#acc110permitipanyany

Router(config)#inte0

Router(config-if)#ipace110in

Router(config)#end

Router#wri

显示配置清单

测试结果网段不能访问网段远程桌面，网段可以访问

网段，与目标近了一步。但是，是否要写完整全部的使用端口才能达到目的呢？

这似乎不可能，并且也不是好办法。

一种被称为自反扩展ACL可以在这种场合使用。它能以出去为条件，触发开启返回数

据流通道。使单向访问得以实现。

试试自反控制访问列表效果

Router(config)#ipacceextrefin//refin是访问控制列表名，随意定，此处表示

//自反应用在进方向

Router(config-ext-nacl)#pericmp5555echo

//允许网段ping网段

Router(config-ext-nacl)#evaluateabc//

ACL到此处结束

Router(config-ext-nacl)#exit

Router(config)#ipacceextrefout

Router(config-ext-nacl)#perip5555refabc

time5//允许网段访