自反acl和擴充套件acl的established引數很類似,但是應用場景不限於tcp,相對於established應用場景更加廣泛。
自反acl的作用是,在資料經過的時候新增ref標記。然後在另外的策略裡可以允許帶有這個ref標記資料通過。
!以下為r14配置
ip access-list extended iin
evaluate ref
ip access-list extended oout
permit icmp any any reflect ref timeout 300
!ref為自反acl的名字,timeout為臨時訪問條目的生存週期
!在進入路由器的時候新增ref標記,在放行的時候可以根據標記來放行
!自反acl一定是permit的
!應用在介面
inte***ce ethernet0/1
ip address 172.16.12.14 255.255.255.0
ip access-group iin in
ip access-group oout out
vpcs> ping 172.16.3.3
84 bytes from 172.16.3.3 icmp_seq=1 ttl=253 time=2.138 ms
84 bytes from 172.16.3.3 icmp_seq=2 ttl=253 time=4.504 ms
84 bytes from 172.16.3.3 icmp_seq=3 ttl=253 time=4.761 ms
84 bytes from 172.16.3.3 icmp_seq=4 ttl=253 time=3.539 ms
84 bytes from 172.16.3.3 icmp_seq=5 ttl=253 time=4.128 ms
r14#show ip access-lists
reflexive ip access list ref
permit icmp host 172.16.3.3 host 172.16.1.100 (10 matches) (time left 276)
extended ip access list iin
10 evaluate ref
extended ip access list oout
10 permit icmp any any reflect ref (6 matches)
r16#ping 172.16.1.100 source 172.16.3.3
type escape sequence to abort.
sending 5, 100-byte icmp echos to 172.16.1.100, timeout is 2 seconds:
packet sent with a source address of 172.16.3.3
u.u.u
success rate is 0 percent (0/5)
配置自反ACL
配置自反acl 需求 ra是公司的邊界路由器,要求只允許內網使用者主動訪問外網的tcp流量,外網主動訪問內網的所有流量都拒絕 注意 在ra外口的入方向上要拒絕掉所有外網主動發起的流量,但是要能夠允許內網發起而由外網返回的流量,否則內網發起的流量也不能正常通訊 配置步驟介面及路由配置 第一步 定義內網...
acl 允許同網段訪問 Cisco動態ACL實驗
一般最後一句acl,預設語句不能匹配任何流量,需要通過條件觸發,就可以工作,配置好位址在r1和isp之間執行ospf r1 config router ospf 110 r1 config router router id 1.1.1.1 r1 config router network 12.1....
Cisco 訪問控制列表 ACL
在路由器的各個介面上進行訪問的控制 限制流量的進或出 定義感興趣流量 幫助其他的策略協議來抓取流量 訪問控制 當流量在路由器上的各個介面,進入或離開時,acl對流量進行匹配,之後產生動態 允許 拒絕 擴充套件列表 關注資料報中的源 目標ip位址,協議號 目標埠號 匹配規則 至上而下逐一匹配,上條匹配...