返回
自反ACL和策略路由配置实例.doc

自反ACL和策略路由配置实例.doc

ID:55277045

大小:97.50 KB

页数:7页

时间:2020-05-08

自反ACL和策略路由配置实例.doc_第1页
自反ACL和策略路由配置实例.doc_第2页
自反ACL和策略路由配置实例.doc_第3页
自反ACL和策略路由配置实例.doc_第4页
自反ACL和策略路由配置实例.doc_第5页
资源描述:

《自反ACL和策略路由配置实例.doc》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、自反ACL和策略路由配置实例实验拓扑:QQ截图未命名.png(64.88KB)2010-5-2509:29 试验说明:三台路由器串联,要求阻止R3对R1的远程访问(telnet),但只能在R2上做。R1可以对R3进行telnet登陆。1.初始配置:R1interfaceEthernet0/0ipaddress192.168.12.1255.255.255.0iproute192.168.23.0255.255.255.0192.168.12.2――――――――――――――――R2interfaceEthernet0/0ipaddress1

2、92.168.12.2255.255.255.0interfaceEthernet0/1ipaddress192.168.23.2255.255.255.0――――――――――――――――R3interfaceEthernet0/1ipaddress192.168.23.3255.255.255.0iproute192.168.12.0255.255.255.0192.168.23.22.在R2上做ACL拒绝R3对R1的所有TCP连接,但不能影响R1对R3的telnet在这里我们先用扩展访问列表做一下,看能不能实现:r2(config)#

3、access-list100denytcphost192.168.23.3host192.168.12.1  r2(config)#access-list100permitipanyanyr2(config)#inte0/1r2(config-if)#ipaccess-group100in  /将ACL应用到接口为了验证将R1和R3的VTY线路配置成直接登陆,无需密码。现在进行验证:r3#telnet192.168.12.1Trying12.0.0.1...%Destinationunreachable;gatewayorhostdown

4、在R3上无法telnetR1,访问列表起了作用。我们再去R1做一下验证:r1#telnet192.168.23.3Trying23.0.0.3...%Connectiontimedout;remotehostnotresponding这时,R1也无法telnet到R3这可不是我们所希望的结果。那为什么会产生这种结果呢?这是因为R1向R3发起telnet请求时,是R1的一个随机端口与R3的23号端口通信。R3收到这个请求后,再用自己的23号端口向R1的随即端口回应。在这个例子中,R1向R3的请求,R3可以收到。但当R3向R1回应时,却被R2

5、上的ACL阻止了。因为R2的ACL的作用是阻止R3向R1的所有TCP连接。这个TCP回应也就被阻止掉了,所以就间接的造成了R1无法telnet到R3。综上所述,在R2上用扩展访问列表可以阻止R3主动向R1发起的TCP连接,但也阻止了R3被动回应R1发的TCP请求。这是不合题意的。因此就目前而言,扩展访问列表无法满足这个需求。于是就引出了一个新型的访问列表―――自反访问控制列表。3.用自反访问列表解决此问题注意:自反访问列表只能建立在命名访问控制列表中1.建立命名扩展访问列表:ExtendedIPaccesslistREFIN  denyt

6、cphost192.168.23.3host192.168.12.1  permitipanyany  evaluateREF  /根据上面的列表产生自反项,当使用此命令后,再showipaccess-lists会看到产生了一个自反列表:ReflexiveIPaccesslistREF2.根据产生的自反项建立自反列表:ExtendedIPaccesslistREFOUT  permitipanyanyreflectREF3.将两个访问列表应用到接口上:r2(config)#ints2/2r2(config-if)#ipaccess-gro

7、upREFINin  /在进站方向调用REFINr2(config-if)#ipaccess-groupREFOUTout/在出站方向调用REFOUT下面进行检验r3#telnet192.168.12.1Trying192.168.12.1...%Destinationunreachable;gatewayorhostdownR3无法登陆R1,这一步成功。再到R1上验证r1#telnet192.168.23.3Trying192.168.23.3...%Connectiontimedout;remotehostnotrespondingR

8、1也无法登陆R3,这个请求失败了,我们到R2上查看一下ACL:R2#showipaccess-listsExtendedIPaccesslistREFOUT10permitipanyanyre

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。