- 1、本文档共7页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
[计算机]自反ACL和策略路由配置实例
自反ACL和策略路由配置实例
(2010-12-31 12:42:55)
转载
实验拓扑:
QQ截图未命名.png (64.88 KB)
2010-5-25 09:29
?
试验说明:三台路由器串联,要求阻止R3对R1的远程访问(telnet),但只能在R2上做。R1可以对R3进行telnet登陆。
1.初始配置:
R1
interface Ethernet0/0ip address 192.168.12.1 255.255.255.0ip route 192.168.23.0 255.255.255.0 192.168.12.2――――――――――――――――R2interface Ethernet0/0ip address 192.168.12.2 255.255.255.0interface Ethernet0/1ip address 192.168.23.2 255.255.255.0――――――――――――――――R3interface Ethernet0/1ip address 192.168.23.3 255.255.255.0ip route 192.168.12.0 255.255.255.0 192.168.23.22.在R2上做ACL拒绝R3对R1的所有TCP连接,但不能影响R1对R3的telnet在这里我们先用扩展访问列表做一下,看能不能实现:r2(config)#access-list 100 deny tcp host 192.168.23.3 host 192.168.12.1??r2(config)#access-list 100 permit ip any anyr2(config)#int e0/1r2(config-if)#ip access-group 100 in? ? /将ACL应用到接口为了验证将R1和R3的VTY线路配置成直接登陆,无需密码。现在进行验证:r3#telnet 192.168.12.1Trying 12.0.0.1 ...% Destination unreachable; gateway or host down在R3上无法telnetR1,访问列表起了作用。我们再去R1做一下验证:r1#telnet 192.168.23.3Trying 23.0.0.3 ...% Connection timed out; remote host not responding这时,R1也无法telnet到R3这可不是我们所希望的结果。那为什么会产生这种结果呢?这是因为R1向R3发起telnet请求时,是R1的一个随机端口与R3的23号端口通信。R3收到这个请求后,再用自己的23号端口向R1的随即端口回应。在这个例子中,R1向R3的请求,R3可以收到。但当R3向R1回应时,却被R2上的ACL阻止了。因为R2的ACL的作用是阻止R3向R1的所有TCP连接。这个TCP回应也就被阻止掉了,所以就间接的造成了R1无法telnet到R3。综上所述,在R2上用扩展访问列表可以阻止R3主动向R1发起的TCP连接,但也阻止了R3被动回应R1发的TCP请求。这是不合题意的。因此就目前而言,扩展访问列表无法满足这个需求。于是就引出了一个新型的访问列表―――自反访问控制列表。3.用自反访问列表解决此问题注意:自反访问列表只能建立在命名访问控制列表中
建立命名扩展访问列表:Extended IP access list REFIN? ? deny tcp host 192.168.23.3 host 192.168.12.1? ? permit ip any any? ? evaluate REF??/根据上面的列表产生自反项,当使用此命令后,再show ip access-lists会看到产生了一个自反列表:Reflexive IP access list REF
根据产生的自反项建立自反列表:Extended IP access list REFOUT? ? permit ip any any reflect REF
将两个访问列表应用到接口上:r2(config)#int s2/2r2(config-if)#ip access-group REFIN in? ?/在进站方向调用REFINr2(config-if)#ip access-group REFOUT out /在出站方向调用REFOUT
下面进行检验r3#telnet 192.168.12.1Trying 192.168.12.1 ...% Destination unreachable; gateway or host downR3无法
文档评论(0)