返回
扩展ACL与RACL

扩展ACL与RACL

ID:38629202

大小:73.50 KB

页数:7页

时间:2019-06-16

扩展ACL与RACL_第1页
扩展ACL与RACL_第2页
扩展ACL与RACL_第3页
扩展ACL与RACL_第4页
扩展ACL与RACL_第5页
资源描述:

《扩展ACL与RACL》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、不像只能过滤第3层信息的标准IPACL和能过滤第3,4层信息的扩展IPACL,反射访问列表(RACL)能在第3,4和5层(会话层)上作过滤。一、反射ACL概述标准的和扩展的ACL不跟踪连接的状态,且不善于过滤双向的连接。RACL可以过滤会话层上的信息。使用这种过滤方法,CiscoIOS可以跟踪那些离开网络的连接,并允许这些连接的返回流量回来进入网络。默认地,RACL会拒绝那些从网络外面进来并试图连接到内部资源的流量。不论何时,当内部设备打开一个到外部设备的会话时,RACL一般会在输入过滤器中建立临时的条目。这个临时条目允许该会话的返回流量通过边界

2、防火墙路由器回到网络中。1、扩展的ACL相比反射ACL⑴扩展ACL如何处理返回的ICMP流量下面这个例子中,内部用户使用ICMP回声消息ping外部服务器(200.1.1.1)。假设边界路由器允许该流量出去,在ping已经被发送到网络外之后,假设200.1.1.1回复了回声请求,回声应答使它回到过滤路由器。要允许ICMP应答回到网络中,需要进行如下配置:Router(config)#ipaccess-listextendedperimeter-filterRouter(config-ext-nacl)#permiticmpanyhost192.1

3、.1.1echo-replyRouter(config-ext-nacl)#denyipanyanyRouter(config-ext-nacl)#exitRouter(config)#interfaceethernet1Router(config-if)#ipaccess-groupperimeter-filterin⑵扩展ACL如何处理返回的UDP流量下面这个例子中,内部用户执行了DNS查询并期待来自200.2.2.2的应答。因为DNS查询使用UDP,用户PC选择一个比1023大的源端口号,目的端口53。进行如下配置:Router(confi

4、g)#ipaccess-listextendedperimeter-filterRouter(config-ext-nacl)#permitudpanyeq53host192.1.1.1gt1023Router(config-ext-nacl)#denyipanyanyRouter(config-ext-nacl)exitRouter(config)#interfaceethernet1Router(config-if)#ipaccess-groupperimeter-filterin⑶扩展ACL如何处理返回的TCP流量在使用扩展ACL允许返回的

5、TCP流量时,可以用established关键字对实际上允许什么返回流量由更多的控制。Router(config)#ipaccess-listextendedperimeter-filterRouter(config-ext-nacl)#permittcpanyhost192.1.1.1establishedRouter(config-ext-nacl)#denyipanyanyRouter(config-ext-nacl)#exitRouter(config)#interfaceethernet1Router(config-if)#ipacce

6、ss-groupperimeter-filterinestablished关键字不用连接查看会话层信息。即不查看是否这个流量是已经存在的连接的一部分,而该连接是起源于内部网络的。相反,任何设置了正确的TCP控制标志的TCP报文都被允许到达192.1.1.1。⑷RACL如何处理流量RACL知道关于状态的信息。换句话说,当用户发起到外部的连接,一个反射ACL可以检测并只允许这些用户连接的返回流量。RACL可以为所有的IP协议完成这个功能。只有当会话是在网络内部发起的,才允许其返回流量。RACL使用临时的被插入到扩展ACL过滤器的ACL语句来完成该特性

7、,过滤器应用在路由器的外部接口。当会话结束或者临时的条目超时时,它将从外部接口的ACL配置中被删除。下面这个例子中,假设在路由器上已经配置了RACL,路由器的默认行为是丢弃任何从路由器之外发起的,并试图访问内部资源的流量。内部用户(192.1.1.1)建立了一个到200.4.4.4的输出Telnet连接。当路由器接收到数据包时,CiscoIOS检查是否已经配置了RACL,来决定该用户连接的返回流量是否可以被允许进入。如果是被允许的,CiscoIOS会在外部接口的输入方向建立一个临时的ACL条目。该ACL条目只允许从服务器到客户端的Telnet流量

8、(只允许返回流量)。当用户结束该连接,或者它超过了连接的空闲超时时间时,CiscoIOS会从扩展IPACL中删除临时的RACL条目。2、

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。