資源描述:
《自反ACL和策略路由配置實例》由會員上傳分享,免費在線閱讀���,更多相關(guān)內(nèi)容在工程資料-天天文庫�����。
1�����、自反ACL和策略路由配置實例(2010-12-3112:42:55)轉(zhuǎn)載實驗拓撲:192.168?12.0/24192.168.23.0/24R2試驗說明:三臺路由器串聯(lián)�����,要求阻止R3對R1的遠程訪問(telnet),但只能在R2上做�。R1可以對R3進行telnet登陸。1.初始配置:R1interfaceEthernet0/0ipaddress192.168.12.1255.255.255.0iproute192.168.23.0255.255.255.0192.168.12.2R2interfaceEthernet0/0ipaddress192.1
2��、68.12.2255.255.255.0interfaceEthernetO/1ipaddress192.168.23.2255.255.255.0R3interfaceEthernetO/1ipaddress192.168.23.3255.255.255.0iproute192.168.12.0255.255.255.0192.168.23.22.在R2上做ACL拒絕R3對R1的所有TCP連接�,但不能影響R1對R3的telnet在這里我們先用擴展訪問列表做一下,看能不能實現(xiàn):r2(config)#access-list100denytcphost19
3�����、2.168.23.3host192.16&12.1r2(config)#acccss-list100permitipanyanyr2(config)itinteO/1r2(config-if)ttipaccess-group100in/將ACL應(yīng)用到接口為了驗證將R1和R3的VTY線路配置成直接登陸����,無需密碼。現(xiàn)在進行驗證:r3#telnet192.168.12.1Trying12.0.0.1...%Destinationunreachable;gatewayorhostdown在R3上無法telnetRl,訪問列表起了作用�。我們再去R1做一下驗證:r
4、l#telnet192.168.23.3Trying23.0.0.3...%Connectiontimedout;remotehostnotresponding這時����,R1也無法telnet到R3這可不是我們所希望的結(jié)果。那為什么會產(chǎn)生這種結(jié)果呢�?這是因為R1向R3發(fā)起telnet請求時,是R1的一個隨機端口與R3的23號端口通信����。R3收到這個請求后,再用自己的23號端口向R1的隨即端口回應(yīng)���。在這個例子屮���,R1向R3的請求,R3可以收到����。但當R3向R1回應(yīng)時,卻被R2上的ACL阻止了�。因為R2的ACL的作用是阻止R3向R1的所有TCP連接。這個TCP冋應(yīng)
5���、也就被阻止掉了,所以就間接的造成了R1無法telnet到R3��。綜上所述���,在R2上用擴展訪問列表可以阻止R3主動向R1發(fā)起的TCP連接���,但也阻止了R3被動回應(yīng)R1發(fā)的TCP請求。這是不合題意的���。因此就H前而言���,擴展訪問列表無法滿足這個需求。于是就引出了一個新型的訪問列表自反訪問控制列表��。2.用自反訪問列表解決此問題注意:自反訪問列表只能建立在命名訪問控制列表中1.建立命名擴展訪問列表:ExtendedIPaccesslistREFINdenytcphost192.168.23.3host192.168.12.1permitipanyanyevaluate
6��、REF/根據(jù)上面的列表產(chǎn)生口反項��,當使用此命令后���,再showipaccess-lists會看到產(chǎn)生了一個自反列表:ReflexiveTPaccesslistREF2.根據(jù)產(chǎn)生的口反項建立口反列表:ExtendedIPaccesslistREFOUTpermitipanyanyreflectREF3.將兩個訪問列表應(yīng)用到接口上:r2(config)ttints2/2r2(config-if)#ipaccess-groupREFINin/在進站方向調(diào)用REFINr2(config-if)ttipaccess-groupREFOUTout/在出站方向調(diào)用RE
7����、FOUT下面進行檢驗r3#telnet192.168.12.1Trying192.168.12.1...%Destinationunreachable;gatewayorhostdownR3無法登陸Rl,這一步成功。再到R1上驗證rlStelnet192.168.23.3Trying192.168.23.3...%Connectiontimedout;remotehostnotrespondingR1也無法登陸R3,這個請求失敗了��,我們到R2上查看一下ACL:R2#showipacccss-listsExtendedIPaccesslistREFOUT
8�、10permitipanyanyreflectref(6matches)ExtendedIPa
