應用通路控制清單ACL實作網絡單向通路

所謂單向通路，就是一部分網絡主機可以通路另一部分網絡主機，而反過來則不允許通路。對于單向通路不能簡單的通過通路控制清單ACL中的deny語句來實作，deny語句可以實作A、B主機間通路資料流的徹底阻斷，但是無法實作單向通路。因為如果deny掉A主機到B主機的通路，那麼B主機也就不能通路A主機了（因為B主機到A主機的通路資料雖然能到達A主機，但是A主機的回複資料流被ACL通路控制清單規則阻斷了）。

那麼怎麼實作單向通路呢？答案是利用permit語句。方法就是利用permit語句讓B主機通路A主機的同時允許A主機的響應資料流通過（要在permit語句中使用established參數），但是不允許由A主機發起的到B主機的通路通過，這樣就可以實作B主機向A主機的單向通路。

擴充的單向通路控制清單ACL的基本配置指令如下：

Router(config)#access-list access-list-number {permit|deny} protocol source source-wildcard [operator port] destination destination-wildcard [operator port] [established] [log]

參數解釋：

access-list-number 擴充的通路控制清單ACL的編号，比如100

permit|deny 允許或不允許通過

protocol 協定類型，比如 TCP IP UDP .

soure 源位址

destination 目标位址

established 已建立的連接配接

established參數可以在拒絕資料流通過的方向上，讓已建立的連接配接的TCP資料流通過（比如ACK确認包），我們正是利用這一點來實作單向通路，将一個普通的擴充通路清單ACL轉變成一個允許單向通路的控制清單ACL。

在路由器接口上應用擴充的通路控制清單ACL的配置指令如下：

Router(config)#ip access-group access-list-number in (一般都是進方向)

下邊我們用一個ACL執行個體來看一下具體的實作單向通路的方法:

網絡環境假定：

A部門網段：路由 S0：192.168.0.1 E0：10.98.0.1

B部門網段：路由 S0：192.168.0.2 E0：10.98.1.1

主機A、 B分别屬于兩個部門

主要配置如下：

A路由配置：

!

interface eth0

ip add 10.98.0.1 255.255.0.0

interface s0

ip add 192.168.0.1 255.255.255.0

<b>ip access-group 100 in</b>

ip route 10.98.1.0 255.255.0.0 s0

<b>access-list 100 permit tcp any host 10.98.0.1 established log</b><b></b>

<b>(</b><b>這條指令允許10.98.0.1建立的連接配接回送資料)</b>

<b>access-list 100 deny ip any any log</b>

B路由配置：

ip add 10.98.1.1 255.255.0.0

inter s0

ip add 192.168.0.2 255.255.255.0

ip route 10.98.0.1 255.255.0.0 s0

通過通路控制清單ACL的限制實作了B部門到A部門之間單項通路，部門A可以通路部門B的網絡主機或伺服器，而B部門的主機無法通路到A部門的主機。

本文轉自 沐小七  51CTO部落格，原文連結:http://blog.51cto.com/3088522/1031959