自反访问列表
默认情况下,访问列表不跟踪会话。访问列表由从上到下扫描的各种允许和拒绝规则组成。如果任何条件匹配,则执行它并且不匹配其他条件。
对于非常小的办公室,自反访问列表充当状态防火墙,因为它只允许在网络内发起的流量并拒绝来自网络外部的其他数据包。
自反访问列表 –
Reflexive Access-list 是一个访问列表,它只允许回复在网络内(来自外部网络)发起的会话的数据包。
在职的 -
当一个会话在网络内发起并通过路由器(操作自反访问列表)到网络外时,自反访问列表被触发。因此,它为在网络内发起的流量创建一个临时条目,并且只允许来自作为会话一部分的外部网络的流量(在网络内生成的流量)。会话结束时会删除此临时条目。
临时入境的特点——
- 该条目指定与原始出站数据包(离开网络的数据包)相同的源地址和目标地址,除非它们在来自网络外部时被交换。
- 这些条目应该与原始出站数据包具有相同的源和目标端口号,除非它们在来自网络外部时被交换。
- 该条目应具有与原始出站数据包相同的协议。
自反访问列表的特征——
- 自反访问列表应该嵌套在命名的扩展访问列表中。
- 它不能直接应用于接口。
- 会话开始时会生成临时条目,会话结束时会自动销毁。
- 它在访问列表末尾没有隐式拒绝。
- 就像正常的访问列表一样,如果其中一个条件匹配,则不再评估条目。
- Reflexive Access-list 不能用编号的 Access-list 定义
- 自反访问列表不能用命名或编号的标准访问列表定义。
配置 -
有 2 个路由器,即 router1(IP 地址 - fa0/0 上的 10.1.1.1/24 和 11。fa0/1 上的 1.1.1/24),router2(fa0/0 和 12.1 上的 IP 地址 -11.1.1.2/24。 fa0/1 上的 1.1/24)和 PC1(IP 地址-10.1.1.2/24)和 PC2(IP 地址-12.1.1.2/24)。首先,我们将通过 EIGRP 向所有路由器提供路由,以便 PC 能够相互 ping 通。
在 router1 上配置 Eigrp:
router1(config)#router Eigrp 100
router1(config-router)#network 10.1.1.0
router1(config-router)#network 11.1.1.0
router1(config-router)#No auto-summary
在 router2 上配置 Eigrp:
router2(config)#router Eigrp 100
router2(config-router)#network 11.1.1.0
router2(config-router)#network 12.1.1.0
router2(config-router)#No auto-summary
现在,我们将允许来自网络内部(10.1.1.0 网络)的 IP、TCP 和 UDP 流量,并评估来自网络外部(12.1.1.0 和 11.1.1.0 网络)的流量。为向外的内部流量创建名为自反的访问列表。
router1(config)#ip Access-list extended reflexive
router1(config-ext-na)#permit ip any any reflect ip_database
router1(config-ext-nacl)#permit tcp any any reflect tcp_database
router1(config-ext-nacl)#permit udp any any reflect udp_database
在这里,我们允许 IP、TCP 和 UDP 流量,我们将其命名为 ip_database、tcp_database 和 udp_database。
笔记 -
在这里,Reflexive 是访问列表的名称,而不是关键字。现在,将此访问列表应用于路由器 1 的 int fa0/1 的出站,以便允许流出路由器的流量。
router1(config)#int fa0/1
router1(config-if)#ip access-group reflexive out
现在,为入站流量应用访问列表,即进入网络的流量。如果由内部 (10.1.1.0) 网络发起,我们应该只允许该流量进入内部。
router1(config)#ip access-list extended reflexive_in
router1(config-ext-nacl)#permit Eigrp any any
router1(config-ext-nacl)#evaluate tcp_database
router1(config-ext-nacl)#evaluate udp_database
router1(config-ext-nacl)#evaluate ip_database
在这里,我们允许 Eigrp 流量,以便路由器之间应该有可达性,否则没有流量将能够返回到以太网络中。
我们已经评估了 udp_databse、ip_database 和 tcp_database,以便允许在网络内部发起的流量(TCP、UDP 或 IP)。现在,将其应用于内部方向的接口 fa0/1,因为应该评估进入内部的流量。
router1(config)#int fa0/1
router1(config-if)#ip access-group reflexive_in in
这里,reflexive_in 是访问列表的名称。
优点 –自反访问列表的优点是:
- 易于实施。
- 更好地控制来自外部网络的流量。
- 提供针对某些 Dos 攻击和欺骗的安全性。
坏处 -
- 一些应用程序使用动态端口,因此可能会发生故障,因为自反访问列表源和目标端口应该是静态的。