扩展ACL与RACL.doc

不像只能过滤第3层信息的标准IP ACL和能过滤第3，4层信息的扩展IP ACL，反射访问列表（RACL）能在第3，4和5层（会话层）上作过滤。 一、反射ACL概述 标准的和扩展的ACL不跟踪连接的状态，且不善于过滤双向的连接。RACL可以过滤会话层上的信息。使用这种过滤方法，Cisco IOS可以跟踪那些离开网络的连接，并允许这些连接的返回流量回来进入网络。默认地，RACL会拒绝那些从网络外面进来并试图连接到内部资源的流量。不论何时，当内部设备打开一个到外部设备的会话时，RACL一般会在输入过滤器中建立临时的条目。这个临时条目允许该会话的返回流量通过边界防火墙路由器回到网络中。 1、扩展的ACL相比反射ACL ⑴扩展ACL如何处理返回的ICMP流量 下面这个例子中，内部用户使用ICMP回声消息ping外部服务器（）。假设边界路由器允许该流量出去，在ping已经被发送到网络外之后，假设回复了回声请求，回声应答使它回到过滤路由器。要允许ICMP应答回到网络中，需要进行如下配置： Router(config)#ip access-list extended perimeter-filter Router(config-ext-nacl)#permit icmp any host echo-reply Router(config-ext-nacl)#deny ip any any Router(config-ext-nacl)#exit Router(config)#interface ethernet1 Router(config-if)#ip access-group perimeter-filter in ⑵扩展ACL如何处理返回的UDP流量 下面这个例子中，内部用户执行了DNS查询并期待来自的应答。因为DNS查询使用UDP，用户PC选择一个比1023大的源端口号，目的端口53。进行如下配置： Router(config)#ip access-list extended perimeter-filter Router(config-ext-nacl)#permit udp any eq 53 host gt 1023 Router(config-ext-nacl)#deny ip any any Router(config-ext-nacl)exit Router(config)#interface ethernet1 Router(config-if)#ip access-group perimeter-filter in ⑶扩展ACL如何处理返回的TCP流量 在使用扩展ACL允许返回的TCP流量时，可以用established关键字对实际上允许什么返回流量由更多的控制。 Router(config)#ip access-list extended perimeter-filter Router(config-ext-nacl)#permit tcp any host established Router(config-ext-nacl)#deny ip any any Router(config-ext-nacl)#exit Router(config)#interface ethernet1 Router(config-if)#ip access-group perimeter-filter in established关键字不用连接查看会话层信息。即不查看是否这个流量是已经存在的连接的一部分，而该连接是起源于内部网络的。相反，任何设置了正确的TCP控制标志的TCP报文都被允许到达。 ⑷RACL如何处理流量 RACL知道关于状态的信息。换句话说，当用户发起到外部的连接，一个反射ACL可以检测并只允许这些用户连接的返回流量。RACL可以为所有的IP协议完成这个功能。只有当会话是在网络内部发起的，才允许其返回流量。RACL使用临时的被插入到扩展ACL过滤器的ACL语句来完成该特性，过滤器应用在路由器的外部接口。当会话结束或者临时的条目超时时，它将从外部接口的ACL配置中被删除。 下面这个例子中，假设在路由器上已经配置了RACL，路由器的默认行为是丢弃任何从路由器之外发起的，并试图访问内部资源的流量。内部用户（）建立了一个到的输出Telnet连接。当路由器接收到数据包时，Cisco IOS检查是否已经配置了RACL，来决定该用户连接的返回流量是否可以被允许进入。如果是被允许的，Cisco IOS会在外部接口的输入方向建立一个临时的ACL条目。该ACL条目只允许从服务器到客户端的Telnet流量（只允许返回流量）。当