应用访问控制列表ACL实现网络单向访问

 在企业网络中常常遇到这样的问题：在网络一个重要的部门的主机或服务器不容许其余部门访问，而这个部门却能够去访问其余的部门的主机或服务器。咱们能够利用访问控制列表ACL实现单方向访问来实现以上单向访问功能。

所谓单向访问，就是一部分网络主机能够访问另外一部分网络主机，而反过来则不容许访问。对于单向访问不能简单的经过访问控制列表ACL中的deny语句来实现，deny语句能够实现A、B主机间访问数据流的完全阻断，可是没法实现单向访问。由于若是deny掉A主机到B主机的访问，那么B主机也就不能访问A主机了（由于B主机到A主机的访问数据虽然能到达A主机，可是A主机的回复数据流被ACL访问控制列表规则阻断了）。

那么怎么实现单向访问呢？答案是利用permit语句。方法就是利用permit语句让B主机访问A主机的同时容许A主机的响应数据流经过（要在permit语句中使用established参数），可是不容许由A主机发起的到B主机的访问经过，这样就能够实现B主机向A主机的单向访问。

扩展的单向访问控制列表ACL的基本配置命令以下：
Router(config)#access-list access-list-number {permit|deny} protocol source source-wildcard [operator port] destination destination-wildcard [operator port] [established] [log]
参数解释：
access-list-number 扩展的访问控制列表ACL的编号，好比100
permit|deny 容许或不容许经过
protocol 协议类型，好比 TCP IP UDP .
soure 源地址
destination 目标地址
established 已创建的链接
established参数能够在拒绝数据流经过的方向上，让已创建的链接的TCP数据流经过（好比ACK确认包），咱们正是利用这一点来实现单向访问，将一个普通的扩展访问列表ACL转变成一个容许单向访问的控制列表ACL。

在路由器接口上应用扩展的访问控制列表ACL的配置命令以下：
Router(config)#ip access-group access-list-number in (通常都是进方向)

下边咱们用一个ACL实例来看一下具体的实现单向访问的方法:
网络环境假定：
A部门网段：路由 S0：192.168.0.1 E0：10.98.0.1
B部门网段：路由 S0：192.168.0.2 E0：10.98.1.1
主机A、 B分别属于两个部门

主要配置以下：
A路由配置：
!
interface eth0
ip add 10.98.0.1 255.255.0.0
interface s0
ip add 192.168.0.1 255.255.255.0
ip access-group 100 in
!
ip route 10.98.1.0 255.255.0.0 s0
!
access-list 100 permit tcp any host 10.98.0.1 established log
(这条命令容许10.98.0.1创建的链接回送数据)
access-list 100 deny ip any any log

B路由配置：
!
interface eth0
ip add 10.98.1.1 255.255.0.0
!
inter s0
ip add 192.168.0.2 255.255.255.0
!
ip route 10.98.0.1 255.255.0.0 s0

经过访问控制列表ACL的限制实现了B部门到A部门之间单项访问，部门A能够访问部门B的网络主机或服务器，而B部门的主机没法访问到A部门的主机。