Cisco ios 自反ACL配置详解

反身ACL是在Cisco   IOS   Release   11.3引入的,他只能和扩展的命名IP ACL一起定义而不能和基于数字或标准ACL,以及其他协议的ACL一起使用,语法如下:

ip access-list extended permit any any reflect name [timeout]

ip access-list extended evaluate

interface   xx

ip acces-group {name}   {in   |   out}

1)Reflexive-ACL 的工作流程：

a.由内网始发的流量到达配置了自反访问表的路由器，路由器根据此流量的第三层和第四层信息自动生成一个临时性的访问表，临时性访问表的创建依据下列原 则：

protocol 不变，source-IP 地址 , destination-IP 地址严格对调，source-port,destination-port 严格对调，对于ICMP 这样的协议，会根据类型号进行匹配。

b.路由器将此流量传出，流量到达目标，然后响应流量从目标返回到配置了自反访问表的路由器。

c.路由器对入站的响应流量进行评估，只有当返回流量的第三、四层信息与先前基于出站流量创建的临时性访问表的第三、四层信息严格匹配时，路由器才会允许 此流量进入内部网络。

2)自反访问表的超时：

对于TCP 流量，当下列三种情况中任何一种出现时，才会删除临时性的访问表：

a)两个连续的FIN 标志被检测到，之后3秒钟删除。

b)RST 标志被检测到，立即删除。

c)配置的空闲超时值到期(缺省是300 秒)。

对于UDP，由于没有各种标志，所以只有当配置的空闲超时值(

默认300 秒

)到期才会删除 临时性的访问表。

如下举例说明:

R2模拟边界路由器

R1模拟内部路由器

R3模拟外部路由器

试验要求:

运用reflexive access-list 实现,内网可以ping,telnet等...外部网络.而外部网络不能访问内部网络

R1的配置:

interface Ethernet0/0

no ip address

shutdown

half-duplex

!

interface Serial0/0

ip address 10.1.1.1 255.255.255.0

!

interface Serial0/1

no ip address

shutdown

!

interface Ethernet1/0

no ip address

shutdown

half-duplex

!

router ospf 100

log-adjacency-changes

network 10.1.1.1 0.0.0.0 area 0

!

no ip http server

(R1上的配置很简单,不用解释了)

R2的配置:

interface Ethernet0/0

no ip address

shutdown

half-duplex

!

interface Serial0/0

ip address 10.1.1.2 255.255.255.0

ip access-group neibu_in in

clock rate 64000

!

interface Serial0/1

ip address 192.168.1.1 255.255.255.0

ip access-group waibu_in in

!

interface Ethernet1/0

no ip address

shutdown

half-duplex

!

router ospf 100

log-adjacency-changes

network 10.1.1.2 0.0.0.0 area 0

network 192.168.1.1 0.0.0.0 area 0

!

no ip http server

!

!

!

!

ip access-list extended neibu_in

permit icmp host 10.1.1.1 any reflect cisco timeout 30

permit tcp host 10.1.1.1 any reflect cisco timeout 30    // timeout 默认是300秒.这儿为了测试,设置为30秒

permit ip any any                         (这句可以不要,但这儿为了保证连通性测试)

ip access-list extended waibu_in

evaluate cisco                // 引用(参照)外出的ACL,产生一条临时的permit语句 reflect+evalute实现单向访问控制列表

deny icmp any any                  

deny tcp any any eq telnet

permit ip any any

!

!

!

control-plane

R3的配置:

interface Ethernet0/0

no ip address

shutdown

half-duplex

!

interface Serial0/0

no ip address

shutdown

!

interface Ethernet0/1

no ip address

shutdown

half-duplex

!

interface Serial0/1

ip address 192.168.1.2 255.255.255.0

clock rate 64000

!

router ospf 100

log-adjacency-changes

network 192.168.1.2 0.0.0.0 area 0

!

no ip http server

!

control-plane

!

line con 0

exec-timeout 0 0

password cisco

login

line aux 0

line vty 0 4

password cisco

login

在没有测试只前:

R2#sh   ip   access-lists

Reflexive IP access list cisco

Extended IP access list neibu_in

10 permit icmp host 10.1.1.1 any reflect cisco (54 matches)

20 permit tcp host 10.1.1.1 any reflect cisco (88 matches)

30 permit ip any any (602 matches)

Extended IP access list waibu_in

10 evaluate cisco

20 deny icmp any any (68 matches)

30 deny tcp any any eq telnet (3 matches)

40 permit ip any any (758 matches)

R2#

开始测试:

r1#ping   192.168.1.2

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 56/57/60 ms

r1#

r1#telnet   192.168.1.2

Trying 192.168.1.2 ... Open

User Access Verification

Password:

r3>en

Password:

r3#    //telnet上去以后不要关闭,否则timeout时间马上会变为3秒,看不到试验现象

/////////////////////////////////////////////////////////////////

r2#sh   ip   access-lists

Reflexive IP access list cisco

   permit tcp host 192.168.1.2 eq telnet host 10.1.1.1 eq 31699 (103 matches) (time left 28)

    permit icmp host 192.168.1.2 host 10.1.1.1   (20 matches) (time left 0) //这两条是动态产生的,30秒的生存时间

Extended IP access list neibu_in

10 permit icmp host 10.1.1.1 any reflect cisco (65 matches)

20 permit tcp host 10.1.1.1 any reflect cisco (145 matches)

30 permit ip any any (611 matches)

Extended IP access list waibu_in

10 evaluate cisco

20 deny icmp any any (68 matches)

30 deny tcp any any eq telnet (3 matches)

40 permit ip any any (766 matches)

在外网测试(R3上)

r3#ping   10.1.1.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:

U.U.U

Success rate is 0 percent (0/5)

r3#

r3#telnet   10.1.1.1

Trying 10.1.1.1 ...

% Destination unreachable; gateway or host down

r3#

外网不能访问内部,达到试验效果.

亿速云「云服务器」，即开即用、新一代英特尔至强铂金CPU、三副本存储NVMe SSD云盘，价格低至29元/月。点击查看>>