基本介紹
- 中文名:自反訪問控制列表
- 外文名:Reflexive Access Lists
- 工作原理:只含臨時性條目,
- 配置需求:企業邊界路由器
工作原理,配置,
工作原理
只含臨時性條目,沒有“拒絕一切”語句
臨時性條目的特點:
1.總是允許語句;
2.指定與最初的外出數據包相同的協定(TCP);
3.指定與最初外出數據包相同的源地址和目的地址,但這兩個地址的位置被互換;
4.指定與最初外出數據包相同的源和目的連線埠號碼(對TCP/UDP),但這兩個地址的位置被
互換;
5.對於不含連線埠號碼的協定,如ICMP 和IGMP,它會指定其他準則;
6.入數據流將根據自反條目被評判,直到該條目過期被刪除;
配置
自反訪問列表的配置
需求:在公司的邊界路由器上,要求只允許區域網路用戶主動訪問外網的流量,外網主動訪問區域網路的所有流量都拒絕,注意:在企業邊界路由器外口的入方向上要拒絕掉所有外網主動發起的流量,但是要能夠允許區域網路發起而由外網返回的流量,否則區域網路發起的流量也不能正常通訊
—————————————————————–
企業邊界路由器:
interface FastEthernet0/0
ip address 23.0.0.1 255.255.255.0
ip access-group ZIFAN-2 in
duplex auto
speed auto
!
interface FastEthernet1/0
ip address 12.0.0.2 255.255.255.0
ip access-group ZIFAN in
duplex auto
speed auto
!
ip http server
no ip http secure-server
!
!
!
!
ip access-list extended ZIFAN
permit ip host 12.0.0.1 any reflect LINK_IN //指定該條語句執行自反,自反列表的名字為LINK_IN
ip access-list extended ZIFAN-2
evaluate LINK_IN //計算並生成自反列表
deny ip any any
—————————————————————–
說明1:reflect和evalute後面的對應名應該相同,此例中為LINK_IN
說明2:自反ACL只能在命名的擴展ACL里定義
—————————————————————–
試驗結果:
router#sh access-lists
Reflexive IP access list LINK_IN
permit icmp host 23.0.0.2 host 12.0.0.1 (39 matches) (time left 289)
Extended IP access list ZIFAN
10 permit ip host 12.0.0.1 any reflect LINK_IN (188 matches)
Extended IP access list ZIFAN-2
10 evaluate LINK_IN
20 deny ip any any (52 matches)