配置自反acl
需求:ra是公司的邊界路由器,要求只允許內網使用者主動訪問外網的tcp流量,外網主動訪問內網的所有流量都拒絕
注意:在ra外口的入方向上要拒絕掉所有外網主動發起的流量,但是要能夠允許內網發起而由外網返回的流量,否則內網發起的流量也不能正常通訊
配置步驟介面及路由配置
第一步:定義內網訪問外網的acl
ra(config)# ip access-list extended refin
ra(config-ext-nacl)# permit tcp 192.168.1.0 0.0.0.255 any reflect tcp //指定對該條語句執行自反,自反列表的名字為tcp
第二步:定義外網訪問內網的acl
ra(config)# ip access-list extended refout
ra(config-ext-nacl)# evaluate tcp //計算並生成自反列表(對第一步定義的名字為tcp的條目進行自反計算並生成相應的條目)
ra(config-ext-nacl)#deny ip any any
第三步:將建立的自反列表應用於相應的介面
ra(config)# int f0/0 //內網介面
ra(config-if)# ip access-group refin in //應用內網使用者訪問外網的acl
ra(config)# int s0/0 //外網介面
ra(config-if)# ip access-group refout in //應用外網訪問內網的acl
注意:自反acl只能在命名的擴充套件acl裡定義 測試
1.檢視配置的自反acl
ra# sh ip access-lists
reflexive ip access list tcp
extended ip access list refin
10 evaluate tcp
20 deny ip any any
extended ip access list refout
10 permit tcp 192.168.1.0 0.0.0.255 any reflect tcp
2.內網使用者192.168.1.2 telnet 202.155.144.2
telnet 202.155.144.2
trying 202.155.144.2 ... open
3.再次檢視配置的自反acl
ra#sh ip access-lists
reflexive ip access list tcp
permit tcp host 202.155.144.2 eq telnet host 192.168.1.2 eq 47361 (36 matches) (time left 285) //觸發的自反列表項,匹配自反列表後自動產生
extended ip access list refin
10 evaluate tcp
20 deny ip any any
extended ip access list refout
10 permit tcp 192.168.1.0 0.0.0.255 any reflect tcp (21 matches)
4.此時,外網主動訪問內網的任何流量都是不允許的
Cisco 自反ACL 基礎實驗(ICMP為例
自反acl和擴充套件acl的established引數很類似,但是應用場景不限於tcp,相對於established應用場景更加廣泛。自反acl的作用是,在資料經過的時候新增ref標記。然後在另外的策略裡可以允許帶有這個ref標記資料通過。以下為r14配置 ip access list extend...
「 自反 反自反」
自反 反自反 設r是a上的二元關係,二元關係 自反 任取乙個a中的元素x,如果都有在r中,那麼就說a在r上是自反的 反自反 任取乙個a中的元素x,如果都有不在r中,那麼就說a在r上是反自反的 在關係矩陣上的表示,自反 主對角線上的元素都是1 反自反 主對角線上的元素都是0 在關係圖上的表示,自反 每...
利用自反ACL實現對內外網訪問的控制
利用自反acl實現對內外網訪問的控制 條件 www.2cto.com 1.r1為內網路由器 2.r2為連線內外網的路由 3.r3為外網路由 組網要求 內網可以訪問外網,但是外網不可以訪問內網。原理 自反acl r1 配置介面ip router config int s0 0 router confi...