ciscoacl自反访问列表的应用.docx

自反访问列表的应用 实验拓扑: ?试验说明：三台路由器串联，要求阻止R3对R1的远程访问（telnet），但只能在R2上做。R1可以对R3进行telnet登陆。1.初始配置:R1interface Ethernet0/0ip address 192.168.12.1 255.255.255.0ip route 192.168.23.0 255.255.255.0 192.168.12.2――――――――――――――――R2interface Ethernet0/0ip address 192.168.12.2 255.255.255.0interface Ethernet0/1ip address 192.168.23.2 255.255.255.0――――――――――――――――R3interface Ethernet0/1ip address 192.168.23.3 255.255.255.0ip route 192.168.12.0 255.255.255.0 192.168.23.2 2.在R2上做ACL拒绝R3对R1的所有TCP连接，但不能影响R1对R3的telnet在这里我们先用扩展访问列表做一下，看能不能实现:r2(config)#access-list 100 deny tcp host 192.168.23.3 host 192.168.12.1?r2(config)#access-list 100 permit ip any anyr2(config)#int e0/1r2(config-if)#ip access-group 100 in? ? /将ACL应用到接口为了验证将R1和R3的VTY线路配置成直接登陆，无需密码。现在进行验证:r3#telnet 192.168.12.1Trying 12.0.0.1 ...% Destination unreachable; gateway or host down在R3上无法telnetR1，访问列表起了作用。我们再去R1做一下验证:r1#telnet 192.168.23.3Trying 23.0.0.3 ...% Connection timed out; remote host not responding这时，R1也无法telnet到R3这可不是我们所希望的结果。那为什么会产生这种结果呢？这是因为R1向R3发起telnet请求时，是R1的一个随机端口与R3的23号端口通信。R3收到这个请求后，再用自己的23号端口向R1的随即端口回应。在这个例子中，R1向R3的请求，R3可以收到。但当R3向R1回应时，却被R2上的ACL阻止了。因为R2的ACL的作用是阻止R3向R1的所有TCP连接。这个TCP回应也就被阻止掉了，所以就间接的造成了R1无法telnet到R3。综上所述，在R2上用扩展访问列表可以阻止R3主动向R1发起的TCP连接，但也阻止了R3被动回应R1发的TCP请求。这是不合题意的。因此就目前而言，扩展访问列表无法满足这个需求。于是就引出了一个新型的访问列表―――自反访问控制列表。3.用自反访问列表解决此问题注意：自反访问列表只能建立在命名访问控制列表中建立命名扩展访问列表:Extended IP access list REFIN deny tcp host 192.168.23.3 host 192.168.12.1 permit ip any any evaluate REF?/根据上面的列表产生自反项,当使用此命令后,再show ip access-lists会看到产生了一个自反列表:Reflexive IP access list REF 根据产生的自反项建立自反列表:Extended IP access list REFOUT permit ip any any reflect REF将两个访问列表应用到接口上:r2(config)#int s2/2r2(config-if)#ip access-group REFIN in?/在进站方向调用REFINr2(config-if)#ip access-group REFOUT out /在出站方向调用REFOUT下面进行检验r3#telnet 192.168.12.1Trying 192.168.12.1 ...% Destination unreachable; gateway or host downR3无法登陆R1，这一步成功。再到R1上验证r1#telnet 192.168.23.3Trying 192.168.23.3 ...% Connection timed out; remote host not respondingR1也无法登陆R3，这个请求失败了，我们到R2上查看一下A