欢迎来到天天文库
浏览记录
ID:55277045
大小:97.50 KB
页数:7页
时间:2020-05-08
《自反ACL和策略路由配置实例.doc》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、自反ACL和策略路由配置实例实验拓扑:QQ截图未命名.png(64.88KB)2010-5-2509:29 试验说明:三台路由器串联,要求阻止R3对R1的远程访问(telnet),但只能在R2上做。R1可以对R3进行telnet登陆。1.初始配置:R1interfaceEthernet0/0ipaddress192.168.12.1255.255.255.0iproute192.168.23.0255.255.255.0192.168.12.2――――――――――――――――R2interfaceEthernet0/0ipaddress1
2、92.168.12.2255.255.255.0interfaceEthernet0/1ipaddress192.168.23.2255.255.255.0――――――――――――――――R3interfaceEthernet0/1ipaddress192.168.23.3255.255.255.0iproute192.168.12.0255.255.255.0192.168.23.22.在R2上做ACL拒绝R3对R1的所有TCP连接,但不能影响R1对R3的telnet在这里我们先用扩展访问列表做一下,看能不能实现:r2(config)#
3、access-list100denytcphost192.168.23.3host192.168.12.1 r2(config)#access-list100permitipanyanyr2(config)#inte0/1r2(config-if)#ipaccess-group100in /将ACL应用到接口为了验证将R1和R3的VTY线路配置成直接登陆,无需密码。现在进行验证:r3#telnet192.168.12.1Trying12.0.0.1...%Destinationunreachable;gatewayorhostdown
4、在R3上无法telnetR1,访问列表起了作用。我们再去R1做一下验证:r1#telnet192.168.23.3Trying23.0.0.3...%Connectiontimedout;remotehostnotresponding这时,R1也无法telnet到R3这可不是我们所希望的结果。那为什么会产生这种结果呢?这是因为R1向R3发起telnet请求时,是R1的一个随机端口与R3的23号端口通信。R3收到这个请求后,再用自己的23号端口向R1的随即端口回应。在这个例子中,R1向R3的请求,R3可以收到。但当R3向R1回应时,却被R2
5、上的ACL阻止了。因为R2的ACL的作用是阻止R3向R1的所有TCP连接。这个TCP回应也就被阻止掉了,所以就间接的造成了R1无法telnet到R3。综上所述,在R2上用扩展访问列表可以阻止R3主动向R1发起的TCP连接,但也阻止了R3被动回应R1发的TCP请求。这是不合题意的。因此就目前而言,扩展访问列表无法满足这个需求。于是就引出了一个新型的访问列表―――自反访问控制列表。3.用自反访问列表解决此问题注意:自反访问列表只能建立在命名访问控制列表中1.建立命名扩展访问列表:ExtendedIPaccesslistREFIN denyt
6、cphost192.168.23.3host192.168.12.1 permitipanyany evaluateREF /根据上面的列表产生自反项,当使用此命令后,再showipaccess-lists会看到产生了一个自反列表:ReflexiveIPaccesslistREF2.根据产生的自反项建立自反列表:ExtendedIPaccesslistREFOUT permitipanyanyreflectREF3.将两个访问列表应用到接口上:r2(config)#ints2/2r2(config-if)#ipaccess-gro
7、upREFINin /在进站方向调用REFINr2(config-if)#ipaccess-groupREFOUTout/在出站方向调用REFOUT下面进行检验r3#telnet192.168.12.1Trying192.168.12.1...%Destinationunreachable;gatewayorhostdownR3无法登陆R1,这一步成功。再到R1上验证r1#telnet192.168.23.3Trying192.168.23.3...%Connectiontimedout;remotehostnotrespondingR
8、1也无法登陆R3,这个请求失败了,我们到R2上查看一下ACL:R2#showipaccess-listsExtendedIPaccesslistREFOUT10permitipanyanyre
此文档下载收益归作者所有