自反ACL
原创
©著作权归作者所有:来自51CTO博客作者z673696797的原创作品,请联系作者获取转载授权,否则将追究法律责任
自反ACL
自反 ACL 允许最近出站数据包的目的地发出的应答流量回到该出站数据包的源地址。这样您可以更加严格地控制哪些流量能进入您的网络,并提升了扩展访问列表的能力。
简单的讲就是内网inside能访问外网,而外网不能够访问内网。
自反 ACL 具有以下优点:
帮助保护您的网络免遭网络黑客攻击,并可内嵌在防火墙防护中。 提供一定级别的安全性,防御欺骗攻击和某些 DoS 攻击。自反 ACL 方式较难以欺骗,因为允许通过的数据包需要满足更多的过滤条件。例如,源和目的地址及端口号都会检查到,而不只是 ACK 和 RST 位。
实验拓扑:
R1/R2/R3:配置ip以及路由确保链路之间能够相互ping通。
R1(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.2
R2(config)#ip route 0.0.0.0 0.0.0.0 100.1.1.3
R2(config)#ip route 192.168.1.0 255.255.255.0 10.1.1.1
R3(config)#ip route 0.0.0.0. 0.0.0.0 100.1.1.2
配置R2自反ACL:
R2(config)#ip access-list extended A //创建一个ACL A
R2(config-ext-nacl)#permit ip any any reflect B //定义自反 ACL B
R2(config)#ip access-list extended zifan //创建一个zifan ACL
R2(config-ext-nacl)#evaluate B //评估反射,调用A中的B
R2(config)#int e0/1 //接口调用
R2(config-if)#ip access-group A out
R2(config-if)#ip access-group zifan in
实验调试
(1)查看R2的ACL
R2#sh ip access-lists
Extended IP access list A //扩展ACL A
10 permit ip 192.168.1.0 0.0.0.255 any reflect B (62 matches)
Reflexive IP access list B
Extended IP access list zifan
10 evaluate B
(2)在路由器 R1 和 R3 都打开 TELNET 服务,在 R1(从内网到外网)TELNET 路由器
R3 成功,同时在路由器 R2 上查看ACL:
R2#sh ip access-lists
Extended IP access list A
10 permit ip 192.168.1.0 0.0.0.255 any reflect B (72 matches)
Reflexive IP access list B
permit tcp host 3.3.3.3 eq telnet host 192.168.1.10 eq 42890 (14 matches) (time left 297) //自反列表是在有内部到外部 TELNET 流量经过的时候,临时自动产生一条列表。297为生存时间
Extended IP access list zifan
10 evaluate B
(3)在路由器 R1 打开 TELNET 服务,在 R3(从外网到内网)TELNET 路由器 R1 不能成功,同时在路由器 R2 上查看访问控制列表:
R2#sh ip access-lists
Extended IP access list A
10 permit ip 192.168.1.0 0.0.0.255 any reflect B (62 matches)
Reflexive IP access list B
Extended IP access list zifan
10 evaluate B
以上输出说明自反列表是在有外部到内部 TELNET 流量经过的时候,不会临时自动产生
一条列表,所以不能访问成功。
下一篇:ADSL之PPPOE
提问和评论都可以,用心的回复会被更多人看到
评论
发布评论
相关文章
-
自反ACL(2)
自反ACL 详细实验分析
自反ACL -
演示:自反ACL的配置
演示:自反ACL的配置
CCNA ACL 自反ACL 200-120 -
VLAN自反ACL访问控制列表实例实例 列表 VLAN ACL 访问