返回
自反ACL和策略路由配置实例

自反ACL和策略路由配置实例

ID:44134402

大小:113.50 KB

页数:7页

时间:2019-10-18

自反ACL和策略路由配置实例_第1页
自反ACL和策略路由配置实例_第2页
自反ACL和策略路由配置实例_第3页
自反ACL和策略路由配置实例_第4页
自反ACL和策略路由配置实例_第5页
资源描述:

《自反ACL和策略路由配置实例》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、自反ACL和策略路由配置实例(2010-12-3112:42:55)转载实验拓扑:192.168・12.0/24192.168.23.0/24R2试验说明:三台路由器串联,要求阻止R3对R1的远程访问(telnet),但只能在R2上做。R1可以对R3进行telnet登陆。1.初始配置:R1interfaceEthernet0/0ipaddress192.168.12.1255.255.255.0iproute192.168.23.0255.255.255.0192.168.12.2R2interfaceEthernet0/0ipaddress192.1

2、68.12.2255.255.255.0interfaceEthernetO/1ipaddress192.168.23.2255.255.255.0R3interfaceEthernetO/1ipaddress192.168.23.3255.255.255.0iproute192.168.12.0255.255.255.0192.168.23.22.在R2上做ACL拒绝R3对R1的所有TCP连接,但不能影响R1对R3的telnet在这里我们先用扩展访问列表做一下,看能不能实现:r2(config)#access-list100denytcphost19

3、2.168.23.3host192.16&12.1r2(config)#acccss-list100permitipanyanyr2(config)itinteO/1r2(config-if)ttipaccess-group100in/将ACL应用到接口为了验证将R1和R3的VTY线路配置成直接登陆,无需密码。现在进行验证:r3#telnet192.168.12.1Trying12.0.0.1...%Destinationunreachable;gatewayorhostdown在R3上无法telnetRl,访问列表起了作用。我们再去R1做一下验证:r

4、l#telnet192.168.23.3Trying23.0.0.3...%Connectiontimedout;remotehostnotresponding这时,R1也无法telnet到R3这可不是我们所希望的结果。那为什么会产生这种结果呢?这是因为R1向R3发起telnet请求时,是R1的一个随机端口与R3的23号端口通信。R3收到这个请求后,再用自己的23号端口向R1的随即端口回应。在这个例子屮,R1向R3的请求,R3可以收到。但当R3向R1回应时,却被R2上的ACL阻止了。因为R2的ACL的作用是阻止R3向R1的所有TCP连接。这个TCP冋应

5、也就被阻止掉了,所以就间接的造成了R1无法telnet到R3。综上所述,在R2上用扩展访问列表可以阻止R3主动向R1发起的TCP连接,但也阻止了R3被动回应R1发的TCP请求。这是不合题意的。因此就H前而言,扩展访问列表无法满足这个需求。于是就引出了一个新型的访问列表自反访问控制列表。2.用自反访问列表解决此问题注意:自反访问列表只能建立在命名访问控制列表中1.建立命名扩展访问列表:ExtendedIPaccesslistREFINdenytcphost192.168.23.3host192.168.12.1permitipanyanyevaluate

6、REF/根据上面的列表产生口反项,当使用此命令后,再showipaccess-lists会看到产生了一个自反列表:ReflexiveTPaccesslistREF2.根据产生的口反项建立口反列表:ExtendedIPaccesslistREFOUTpermitipanyanyreflectREF3.将两个访问列表应用到接口上:r2(config)ttints2/2r2(config-if)#ipaccess-groupREFINin/在进站方向调用REFINr2(config-if)ttipaccess-groupREFOUTout/在出站方向调用RE

7、FOUT下面进行检验r3#telnet192.168.12.1Trying192.168.12.1...%Destinationunreachable;gatewayorhostdownR3无法登陆Rl,这一步成功。再到R1上验证rlStelnet192.168.23.3Trying192.168.23.3...%Connectiontimedout;remotehostnotrespondingR1也无法登陆R3,这个请求失败了,我们到R2上查看一下ACL:R2#showipacccss-listsExtendedIPaccesslistREFOUT

8、10permitipanyanyreflectref(6matches)ExtendedIPa

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。