ACL配置與管理實戰 4

自反acl

自反acl（reflective acl）是動態acl技術的一種應用。它根據

ip報文的上層會話資訊生成，只有當私網使用者先訪問了公網後才允許對應的公網使用者訪問本地私網。利用自反acl可以很好的保護企業內部網路免受外部非法使用者的攻擊。只能針對高階acl或者高階

acl6進行自反

acl，並且只能根據

tcp、

udp和

icmp協議型別的報文自動生成

acl規則。

一、自反acl的基本工作原理

自反acl有以下兩個顯著的特點

（1）由內網始發的流量到達配置了自反acl功能的裝置後，裝置根據此流量的第三層和第四層資訊自動生成乙個臨時性的反向

acl，並保持一段時間。此臨時性

acl規則中的協議型別不變，源

ip位址和目的

ip位址，以及源埠與目的埠與始發

acl規則對調。

（2）當對端裝置發出的響應報文到達配置了自反

acl功能的裝置時，會自動根據這個臨時性的

acl允許響應通訊通過。裝置如何確定該響應通訊是始發acl通訊的響應通訊？依據響應報文中的第

三、四層資訊與先前始發acl通訊報文中的第

三、四層資訊是否嚴格匹配來判定。

根據不同的匹配規則，自反acl的實現原理如下：

（1）當配置自反acl功能的介面通過tcp或udp協議型別的報文時，介面將下發一條報文源ip位址和目的ip位址、源埠和目的埠互換的acl規則。

（2）當配置自反

acl功能的介面通過

icmp

協議型別的報文時，自反

acl功能阻止目的端傳送的icmp-echo-request報文通過，允許接收目的端傳送的icmp-echo-reply報文。

（3）自反acl匹配的協議型別與觸發介面自動生成自反acl的報文協議型別相同。

如上圖拓撲，在交換機上配置自反acl功能後，外網無法主動訪問內網。

即使生成了臨時自反acl，外網主動發起的報文也無法訪問內網，因為還有報文中的第

三、四層資訊與先前始發acl通訊報文中的第

三、四層資訊是否嚴格匹配的限制。

二、配置自反acl

配置任務3個方面：

（1）配置需要用於啟動自反acl功能的高階acl。

（2）在對應交換機埠上啟用對應高階acl的自反acl功能，並可選擇配置該自反acl的老化時間。

（3）（可選）在交換機上全域性配置自反acl的老化時間。

三、自反acl配置示例

如上拓撲，在switch的ge1/0/1埠連線了內網的使用者，ge2/0/1埠連線到internet。在ge2/0/1埠的出方向上配置基於udp協議的自反acl功能，當內網的主機先訪問internet中的伺服器之後才允許internet的伺服器訪問內網的主機。同時在全域性和ge2/0/1埠下配置自反acl的老化時間。

配置步驟：

（1）配置高階acl，允許udp報文通過。

system-view

[huawei]acl 3000

[huawei-acl-adv-3000]rule permit udp

[huawei-acl-adv-3000]quit

（2）在ge2/0/1埠出方向上自反acl功能和老化時間（假設600s）

[huawei]inte***ce gigabitethernet 2/0/1

[huawei-gigabitethernet2/0/1]traffic-reflect outbound acl 3000 timeout 600

[huawei-gigabitethernet2/0/1]quit

（3）配置全域性自反acl老化時間，但此時在ge2/0/1埠出方向上的自反acl的老化時間仍是在該埠上配置的老化時間——600s

[huawei]traffic-reflect timeout 900

配置例項：

如上拓撲，交換機按預設配置，此時server1、2和client1互相連通。現在在lsw1的ge0/0/2埠配置出方向上自反acl，允許server1自反訪問client1。

本意是通過在lsw1的ge0/0/2上應用自反acl，允許client1主動與server1通訊，而不允許server1主動與client1通訊，不允許server2與client1通訊，但是測試環境中沒有對應的traffic-reflect命令，無法測試。

ACL配置與管理實戰 4

ACL配置與管理（一）

ACL原理與配置

ACL的原理與基本ACL的配置

ACL配置與管理實戰 4

ACL配置與管理（一）

ACL原理與配置

ACL的原理與基本ACL的配置

相關推薦