[计算机]自反ACL和策略路由配置实例.doc

自反ACL和策略路由配置实例 (2010-12-31 12:42:55) 转载 实验拓扑: QQ截图未命名.png (64.88 KB) 2010-5-25 09:29 ? 试验说明：三台路由器串联，要求阻止R3对R1的远程访问（telnet），但只能在R2上做。R1可以对R3进行telnet登陆。 1.初始配置: R1 interface Ethernet0/0ip address 192.168.12.1 255.255.255.0ip route 192.168.23.0 255.255.255.0 192.168.12.2――――――――――――――――R2interface Ethernet0/0ip address 192.168.12.2 255.255.255.0interface Ethernet0/1ip address 192.168.23.2 255.255.255.0――――――――――――――――R3interface Ethernet0/1ip address 192.168.23.3 255.255.255.0ip route 192.168.12.0 255.255.255.0 192.168.23.22.在R2上做ACL拒绝R3对R1的所有TCP连接，但不能影响R1对R3的telnet在这里我们先用扩展访问列表做一下，看能不能实现:r2(config)#access-list 100 deny tcp host 192.168.23.3 host 192.168.12.1??r2(config)#access-list 100 permit ip any anyr2(config)#int e0/1r2(config-if)#ip access-group 100 in? ? /将ACL应用到接口为了验证将R1和R3的VTY线路配置成直接登陆，无需密码。现在进行验证:r3#telnet 192.168.12.1Trying 12.0.0.1 ...% Destination unreachable; gateway or host down在R3上无法telnetR1，访问列表起了作用。我们再去R1做一下验证:r1#telnet 192.168.23.3Trying 23.0.0.3 ...% Connection timed out; remote host not responding这时，R1也无法telnet到R3这可不是我们所希望的结果。那为什么会产生这种结果呢？这是因为R1向R3发起telnet请求时，是R1的一个随机端口与R3的23号端口通信。R3收到这个请求后，再用自己的23号端口向R1的随即端口回应。在这个例子中，R1向R3的请求，R3可以收到。但当R3向R1回应时，却被R2上的ACL阻止了。因为R2的ACL的作用是阻止R3向R1的所有TCP连接。这个TCP回应也就被阻止掉了，所以就间接的造成了R1无法telnet到R3。综上所述，在R2上用扩展访问列表可以阻止R3主动向R1发起的TCP连接，但也阻止了R3被动回应R1发的TCP请求。这是不合题意的。因此就目前而言，扩展访问列表无法满足这个需求。于是就引出了一个新型的访问列表―――自反访问控制列表。3.用自反访问列表解决此问题注意：自反访问列表只能建立在命名访问控制列表中 建立命名扩展访问列表:Extended IP access list REFIN? ? deny tcp host 192.168.23.3 host 192.168.12.1? ? permit ip any any? ? evaluate REF??/根据上面的列表产生自反项,当使用此命令后,再show ip access-lists会看到产生了一个自反列表:Reflexive IP access list REF 根据产生的自反项建立自反列表:Extended IP access list REFOUT? ? permit ip any any reflect REF 将两个访问列表应用到接口上:r2(config)#int s2/2r2(config-if)#ip access-group REFIN in? ?/在进站方向调用REFINr2(config-if)#ip access-group REFOUT out /在出站方向调用REFOUT 下面进行检验r3#telnet 192.168.12.1Trying 192.168.12.1 ...% Destination unreachable; gateway or host downR3无法