Cisco自反控制列表应用

网络 路由交换
本文详细的介绍了对于自反控制列表应用的基本设置,同时详细的介绍了基本的配置命令,并给出了配置过程。

文章从配置的整体过程详细的介绍了自反访问表的配置整体过程,同时给大家列出了SHOW RUN的配置结果,相信看完之后你会对自反列表有个清晰的配置过程。

自反访问表实际上是扩展I P命名访问表的一种附加特性或功能。你可以为所有想要创建反向的表项的协议,使用一条p e r m i t语句创建一个扩展I P命名访问表。还要在每个p e r m i t语句中使用r e f l e c t关键字,用以表明访问表中需要使用一个自反向开启表项。除了需要在一个或多个p e r m i t语句中使用r e f l e c t关键字外,还必须考虑两条相关的I O S语句。一条是e v a l u a t e语句,该语句要加在列表的结尾,以结束自反访问表。另一条语句是i preflexice-list timeout命令,用于改变临时自反访问表表项的全局t i m e - o u t的值(默认是300s,可以在全局模式通过ip reflexive-list timeout修改全局超时时间也可以在相应的应用行设置超时时间,其优先于全局设置值 )。

自反列表的基本格式是:

ip access-list extended xxx

permit protocol source destination reflect name [time-out seconds]

ip access-list extended yyy

evaluate name  (此关键字临时创建内部通往外部的返回流量的开启表项,两标红处须相同,意思我想就不用赘述了吧)

最后在接口启用,这和普通列表的应用规则类似。

先查看一下测试前自反列表的配置:

R2#

R2#sh ip acce

Reflexive IP access list cisco

Extended IP access list infilter

10 permit ospf any any (33 matches)(显示的定义允许ospf流量通过)

20 evaluate cisco

Extended IP access list outfilter

10 permit ospf any any (39 matches)

20 permit icmp any host 2.2.2.2 reflect cisco

30 permit icmp any host 30.1.1.1 reflect cisco

40 permit tcp any host 2.2.2.2 eq telnet reflect cisco

50 permit tcp any host 30.1.1.1 eq telnet reflect cisco

R2#

再查看一下测试后的自反列表的配置有什么不同:

Reflexive IP access list cisco

permit tcp host 2.2.2.2 eq telnet host 1.1.1.1 eq 13232 (73 matches) (time left 293)

permit icmp host 2.2.2.2 host 1.1.1.1  (19 matches) (time left 262)   (这里就是动态创建的临时开启表项。默认时间是300s后删除)

Extended IP access list infilter

10 permit ospf any any (100 matches)

20 evaluate cisco

Extended IP access list outfilter

10 permit ospf any any (105 matches)

20 permit icmp any host 2.2.2.2 reflect cisco (22 matches)

30 permit icmp any host 30.1.1.1 reflect cisco (11 matches)

40 permit tcp any host 2.2.2.2 eq telnet reflect cisco (245 matches)

50 permit tcp any host 30.1.1.1 eq telnet reflect cisco (138 matches)

R2#

然后我们查看一下在接口下的应用:

interface Serial1/0

ip address 2.2.2.1 255.255.255.0

ip access-group infilter in

clock rate 64000

!

interface Serial1/1

ip address 1.1.1.2 255.255.255.0

ip access-group outfilter in

注意:内外方向列表的应用不一定要在同一个接口下。

Ok,我们现在R1上测试一下ping结果:

R1#ping 2.2.2.2

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 2.2.2.2, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 136/213/268 ms

R1#ping 30.1.1.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 30.1.1.1, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 72/164/268 ms

R1#

#p#再测试一下telnet结果:

R1#

R1#telnet 2.2.2.2

Trying 2.2.2.2 ... Open

User Access Verification

Username: test

Password:

R3#

R1#telnet 30.1.1.1

Trying 30.1.1.1 ... Open

User Access Verification

Username: test

Password:

R3#(结果全部ok,符合题目要求)

我们再在R3执行相同的测试:

R3#

R3#ping 1.1.1.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 1.1.1.1, timeout is 2 seconds:

U.U.U

Success rate is 0 percent (0/5)

R3#ping 10.1.1.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:

U.U.U

Success rate is 0 percent (0/5)

R3#telnet 1.1.1.1

Trying 1.1.1.1 ...

% Destination unreachable; gateway or host down

R3#telnet 10.1.1.1

Trying 10.1.1.1 ...

% Destination unreachable; gateway or host down

R3#

【编辑推荐】

  1. 常用思科路 由器密码恢复经典案例
  2. 思科路由器 口令恢复办法全解
  3. 思科路由器 安全性管理
  4. cisco路由器 配置ACL详解
  5. cisco路由器 启动进程
责任编辑:chenqingxiang 来源: IT实验室
相关推荐

2010-08-06 10:10:17

思科路由器动态访问列表

2009-02-12 11:59:11

2011-03-01 13:22:18

自反访问控制列表

2019-07-31 08:11:46

ACL访问控制列表网络通信

2009-12-18 16:57:02

CISCO路由器

2010-08-03 09:06:26

路由器

2013-11-14 09:33:13

Cisco快速转发CEF

2011-03-14 17:50:27

访问控制列表

2023-12-06 21:50:40

2010-08-06 10:02:07

2011-04-06 17:30:46

ACL

2009-07-30 21:22:02

ACL限制外界访问网络安全

2010-07-12 11:33:52

2010-08-04 09:07:01

2010-01-06 14:28:00

2009-06-09 10:30:48

思科控制列表配置实例

2009-02-05 10:12:00

访问控制列表限制访问

2014-06-24 13:23:13

2009-05-13 10:26:02

CCNAACLIP访问控制

2009-04-09 10:10:00

点赞
收藏

51CTO技术栈公众号