路由器连接外网时,有关路由器安全的配置

本实验把真实机当成内部网络，ONE当成外部网络。要实现的效果是真实机可以远程桌面或PING通ONE，但ONE却不能主动访问真实机。

en
conf t
int fa 0/0 //配置接真实主机的路由器接口
ip add 172.16.66.243 255.255.255.0 //配置IP地址，真实主机的真实网卡的网关需改成这个IP地址
no shut
int fa 2/0 //配置接ONE主机的路由器接口
ip add 192.168.1.1 255.255.255.0 //配置IP地址，ONE主机的网关需改成这个IP地址
no shut
exit
ip access-list extend out-packet //写一个扩展的命名访问控制列表，名字是out-packet,用于对外出的包做标记
permit ip any any ref cbl //对所有的IP包都打上标记"cbl"
ip access-list extend in-packet //写一个扩展的命名访问控制列表，名字是in-packet，用于评价进来的包有没有被打上"cbl"标记
eval cbl
int fa 2/0
ip access-group out-packet out //把命名列表“out-packet”用在对外接口的外出的包上，给外出的包添加标记
ip access-group in-packet in //把命名列表“in-packet”用在对外接口的进来的包上，判断这个包是不是内部主动发起的