ciscoacl自反访问列表的应用.pdf

自反访问列表的应用

实验拓扑:

试验说明：三台路由器串联，要求阻止R3对R1的远程访问（telnet），但只能在R2上做。

R1可以对R3进行telnet登陆。

1.初始配置:

R1

interfaceEthernet0/0

ipaddress192.168.12.1255.255.255.0

iproute192.168.23.0255.255.255.0192.168.12.2

――――――――――――――――

R2

interfaceEthernet0/0

ipaddress192.168.12.2255.255.255.0

interfaceEthernet0/1

ipaddress192.168.23.2255.255.255.0

――――――――――――――――

R3

interfaceEthernet0/1

ipaddress192.168.23.3255.255.255.0

iproute192.168.12.0255.255.255.0192.168.23.2

2.在R2上做ACL拒绝R3对R1的所有TCP连接，但不能影响R1对R3的telnet

在这里我们先用扩展访问列表做一下，看能不能实现:

r2(config)#access-list100denytcphost192.168.23.3host192.168.12.1

r2(config)#access-list100permitipanyany

r2(config)#inte0/1

r2(config-if)#ipaccess-group100in/将ACL应用到接口

为了验证将R1和R3的VTY线路配置成直接登陆，无需密码。

现在进行验证:

r3#telnet192.168.12.1

Trying12.0.0.1...

%Destinationunreachable;gatewayorhostdown

在R3上无法telnetR1，访问列表起了作用。我们再R1做一下验证:

r1#telnet192.168.23.3

Trying23.0.0.3...

%Connectiontimedout;remotehostnotresponding

这时，R1也无法telnet到R3这可不是我们所希望的结果。那为什么会产生这种结果呢？

这是因为R1向R3发起telnet请求时，是R1的一个随机端口与R3的23号端口通信。R3

收到这个请求后，再用自己的23号端口向R1的随即端口回应。在这个例子中，R1向R3的

请求，R3可以收到。但当R3向R1回应时，却被R2上的ACL阻止了。因为R2的ACL的作

用是阻止R3向R1的所有TCP连接。这个TCP回应也就被阻止掉了，所以就间接的造成了

R1无法telnet到R3。

综上所述，在R2上用扩展访问列表可以阻止R3主动向R1发起的TCP连接，但也阻止了R3

被动回应R1发的TCP请求。这是不合题意的。因此就目前而言，扩展访问列表无法满足这

个需求。于是就引出了一个新型的访问列表―――自反访问控制列表。

3.用自反访问列表解决此问题

注意：自反访问列表只能建立在命名访问控制列表中

1.建立命名扩展访问列表:

ExtendedIPaccesslistREFIN

denytcphost192.168.23.3host192.168.12.1

permitipanyany

evaluateREF/根据上面的列表产生自反项,当使用此命令后,再

showipaccess-lists会看到产生了一个自反列表:

ReflexiveIPaccesslistREF

2.根据产生的自反项建立自反列表:

ExtendedIPaccesslistREFOUT

permitipanyanyreflectREF

3.将两个访问列表应用到接口上:

r2(config)#ints2/2

r2(config-if)#ipaccess-groupREFINin/在进站方向调用REFIN

r2(config-if)#ipaccess-