自反ACL和策略路由配置实例

1、自反ACL和策略路由配置实例 (2018-12-31 12:42:55 转载 实验拓扑： MH H 0/24 EO.O liQ/I 72 E0/1 -?3 R1 R3 实验说明：三台路由器串联,要求阻止R3对R1地远程访问#access-list 100 de ny tcp host 192.168.23.3 host 192.168.12.1 r2(con fig#access-list 100 permit ip any any r2(co nfig# int eO/1 r2(config-if#ip access-group 100 in/ 将 ACL应用到接口 为了验证将R1和R3地V

2、TY线路配置成直接登陆，无需密码.现在进行验证： r3#te Inet 192.168.12.1 Tryi ng 12.0.0.1 . % Destination unreachable。gateway or host down 在 R3上无法 telnetR1, 访问列表起了作用.我们再去R1做一下验证： r1#tel net 192.168.23.3 Tryi ng 23.0.0.3 . % Connection timed out 。 remote host not responding 这时,R1也无法telnet到R3这可不是我们所希望地结果.那为什么会产生这种 结果呢？这是因为R1

3、向R3发起tel net请求时,是R1地一个随机端口与R3地 23号端口通信.R3收到这个请求后,再用自己地23号端口向R1地随即端口回应. 在这个例子中,R1向R3地请求,R3可以收到.但当R3向R1回应时,却被R2上地 ACL阻止了 .因为R2地ACL地作用是阻止R3向R1地所有TCP连接.这个TCP回 应也就被阻止掉了，所以就间接地造成了 R1无法tel net到R3. 综上所述,在R2上用扩展访问列表可以阻止 R3主动向R1发起地TCP连接，但也 阻止了 R3被动回应R1发地TCP请求.这是不合题意地.因此就目前而言,扩展访 问列表无法满足这个需求.于是就引出了一个新型地访问列表自反访

4、问控 制列表.3.用自反访问列表解决此问题注意：自反访问列表只能建立在命名访问 控制列表中p1EanqFDPw 1. 建立命名扩展访问列表： Exte nded IP access list REFIN deny tcp host 192.168.23.3 host 192.168.12.1 permit ip any any evaluate REF/根据上面地列表产生自反项,当使用此命令 后，再 show ip access-lists会看到产生了一个自反列表 ： Reflexive IP access list REF DXDiTa9E3d 2. 根据产生地自反项建立自反列表： Exte

5、 nded IP access list REFOUT permit ip any any reflect REF RTCrpUDGiT 3. 将两个访问列表应用到接口上： r2(config#int s2/2 r2(c on fig-if#ip access-group REFIN in/ 在进站方向调用 REFIN r2(co nfig-if#ip access-group REFOUT out /在出站方向调用 REFOUTczvd7Hxa 下面进行检验 r3#te Inet 192.168.12.1 Tryi ng 192.168.12.1 . % Destination unreac

6、hable。 gateway or host down R3无法登陆R1,这一步成功.再到R1上验证 r1#tel net 192.168.23.3 Tryi ng 192.168.23.3 . % Connection timed out 。 remote host not responding R1也无法登陆R3,这个请求失败了 ,我们到R2上查看一下ACL: R2#show ip access-listsExte nded IP access list REFOUT 10 permit ip any any reflect ref (6 matches Exte nded IP acce

7、ss list REFIN 10 deny tcp host 192.168.23.3 host 192.168.12.1 (9 matches 20 permit ip any any 30 evaluate ref Reflexive IP access list REF permit tcp host 192.168.23.3 eq tel net host 192.168.12.1 eq 45735 (5 matches (time left 296 让我们仔细地分析一下这个过程： 当R3登陆R1时,R2 in 方向地REFIN列表地第一条语句 deny tcp host 192.16

8、8.23.3 host 192.168.12.1 起了作用,因此登陆失败. 当R1登陆R3时,R1先向R3发起TCP请求,当这个请求数据包从 R2地E0/1接 口出来时匹配了 REFOU列表地permit ip any any reflect REF地这条语句. 并触发了一条自反项.我们可以看到permit tcp host 192.168.23.3 eq tel net host 192.168.12.1 eq 45735 (5 matches (time left 296这个自 反项是由于触发自动产生地.它地意思是允许R3用自己地23端口对R1向自己 发出地tel net请求作出回应,这个

9、回应向R1地随机端口 45735发出.虽然看到 产生了这个自反项，但验证R1登陆到R3却失败了，这是因为虽然产生了这条自 反项，但要使数据包按照这个自反项来走，还需要匹配 evaluate REF这条语 句.这条语句是建立在列表 REFIN中.当R3向R1地回应数据包到达R2时先要 匹配列表REFIN .这时我们可以看到这个数据包直接匹配上了deny tcp host 192.168.23.3 host 192.168.12.1这条语句，而不再匹配下面地语句了 .所以它 就被直接拒绝了 .evaluate REF这条语句在这里实际上被架空了 ,因此控制列表 语句地顺序是至关重要地.下面我们就对

10、这个列表进行修改： R2#show access-listReflexive IP access list REF permit tcp host 192.168.23.3 eq tel net host 192.168.12.1 eq 14403 (32 matches (time left 4 Exte nded IP access list REFIN 10 evaluate fuck 20 deny tcp host 192.168.23.3 host 192.168.12.1 30 permit ip any any Exte nded IP access list REFOUT 1

11、0 permit ip any any reflect fuck (21 matches 我现在将REFIN列表中evaluate REF 条目放在了第一位,这时当R1向R3地 TCP请求触发了自反列表后,R3向R1地回应在到R2地REFIN列表时匹配地是 evaluate REF 语句,这条语句直接按照自反项 permit tcp host 23.0.0.3 eq tel net host 12.0.0.1 eq 14403 执行.按照我们地分析现在，R1应该可以成功 tel net R3.现在进行验证： r1#tel net 192.168.23.3 Tryi ng 192.168.23.

12、3 . Ope n r3 r3#te Inet 192.168.12.1 Trying 192.168.12.1 .% Destination unreachable。gateway or host down我们看到R1可以成功登陆到R3,而R3无法登陆到R1需求满足.现在我们 做进一步地扩展，现在地需求是禁止R3对R1和R2地所有TCP连接，而不能影响 R1和R2对R3地TCP连接.1.在R2上建立命名访问列表和自反列表 r2#sh ip access-listsReflexive IP access list REFExte nded IP access list REFIN evalua

13、te REF de ny tcp host 192.168.23.3 any/ 禁止 192.168.23.3 向所有目地 发出地TCP连接 permit ip any any (3 matches Exte nded IP access list REFOUT permit ip any any reflect REF (19 matches 2.进行验证 r3#te Inet 192.168.12.1 Tryi ng 192.168.12.1 . % Destination unreachable 。 gateway or host down r3#tel net 192.168.23.2

14、 Tryi ng 192.168.23.2 . % Destination unreachable 。 gateway or host down 这时,R3已经无法登陆到R1和R2上,需求满足 r1#tel net 192.168.23.3 Tryi ng 192.168.23.3 . Ope n r3 R1可以成功登陆到R3,需求满足 r2#tel net 192.168.23.3 Tryi ng 192.168.23.3 . % Connection timed out 。 remote host not responding R2无法登陆到R3,需求不满足.这是什么原因呢，让我们再来看一

15、下控制列表： r2#sh ip access-listsReflexive IP access list REF Exte nded IP access list REFIN evaluate REF deny tcp host 192.168.23.3 any (21 matches permit ip any any (531 matches Exte nded IP access list REFOUT permit ip any any reflect REF (28 matches 我们看到这时没有自动产生一条自反项，也就意味着自反列表没有被触发，说明 没有数据匹配到permit i

16、p any any reflect REF这条语句.所以当R2向R3 发起TCP连接后,R3向R2进行TCP回复地数据包到达R2地S2/2接口后，按照 REFIN列表进行匹配,先匹配第一条evaluate REF,由于没有自反项被触发,所 以这条语句不执行,接着匹配下一条语句：deny tcp host 192.168.23.3 any 数据包匹配上了这条语句,所以被拒绝.那为什么R2向R3地TCP青求没有触发 自反列表呢？这是由于控制列表地一个原则，那就是：本路由器上out方向地控 制列表对本路由器自身产生地流量不起作用.在本例中R2对R3地TCP青求根本 没有匹配上 REFOUT列表地pe

17、rmit ip any any reflect REF 语句,原因如上所 述.那么如何解决这个问题，让R2能登陆到R3,目前有两种方法： 方法一：对访问控制列表进行修改 r2#sh ip access-lists Reflexive IP access list REF Exte nded IP access list REFIN permit tcp host 23.0.0.3 eq tel net host 23.0.0.2 established evaluate REF de ny tcp host 23.0.0.3 any permit ip any any (15 matches

18、Exte nded IP access list REFOUT permit ip any any reflect REF (29 matches permit tcp host 23.0.0.3 eq tel net host 23.0.0.2 established这条语句 表示允许R3用自己地23号端口对R2地TCP青求进行回复.这条语句也可以换 一种写法： permit tcp host 23.0.0.3 eq tel net host 23.0.0.2 ack rst下面再次进行 验证；r3#telnet 192.168.12.1 Tryi ng 192.168.12.1 . % D

19、estination unreachable 。 gateway or host down r3#tel net 192.168.23.2 Tryi ng 192.168.23.2 . % Destination unreachable 。 gateway or host down R3无法登陆R1和R2需求满足 r1#tel net 192.168.23.3 Tryi ng 192.168.23.3 . Open r3 R1可以登陆R3,需求满足 r2#tel net 192.168.23.3 Tryi ng 192.168.23.3 . Open r3 R2现在也成功登陆R3,需求满足. 方法二：不修改原来地控制列表,而使用本地策略路由1.建立route-map 这个route-map匹配刚才建立地