兰溪在线|lanxi.online|兰溪新闻|兰溪在线|兰溪论坛|兰溪信息|兰溪网|兰西网

 找回密码
 立即注册

微信登录

微信扫一扫,快速登录

搜索
热搜: 活动 交友 discuz

社区广播台

查看: 428|回复: 0

Cisco自反控制列表的应用

[复制链接]

508

主题

508

帖子

1526

积分

金牌会员

Rank: 6Rank: 6

积分
1526
发表于 2019-4-12 10:36:20 | 显示全部楼层 |阅读模式
自反访问表实际上是扩展I P命名访问表的一种附加特性或功能。你可以为所有想要创建反向的表项的协议,使用一条p e r m i t语句创建一个扩展I P命名访问表。还要在每个p e r m i t语句中使用r e f l e c t关键字,用以表明访问表中需要使用一个自反向开启表项。除了需要在一个或多个p e r m i t语句中使用r e f l e c t关键字外,还必须考虑两条相关的I O S语
句。一条是e v a l u a t e语句,该语句要加在列表的结尾,以结束自反访问表。另一条语句是i preflexice-list timeout命令,用于改变临时自反访问表表项的全局t i m e - o u t的值(默认是300s,可以在全局模式通过ip reflexive-list timeout修改全局超时时间也可以在相应的应用行设置超时时间,其优先于全局设置值 )。
自反列表的基本格式是:
ip access-list extended xxx
permit protocol source destination reflect name [time-out seconds]
ip access-list extended yyy
evaluate name  (此关键字临时创建内部通往外部的返回流量的开启表项,两标红处须相同,意思我想就不用赘述了吧)
最后在接口启用,这和普通列表的应用规则类似。
下面用实例演示一下吧:


先查看一下测试前自反列表的配置:
R2#
R2#sh ip acce
Reflexive IP access list cio
Extended IP access list infilter
10 permit ospf any any (33 matches)(显示的定义允许ospf流量通过)
20 evaluate cio
Extended IP access list outfilter
10 permit ospf any any (39 matches)
20 permit icmp any host 2.2.2.2 reflect cio
30 permit icmp any host 30.1.1.1 reflect cio
40 permit tcp any host 2.2.2.2 eq telnet reflect cio
50 permit tcp any host 30.1.1.1 eq telnet reflect cio
R2#
再查看一下测试后的自反列表的配置有什么不同:
Reflexive IP access list cio
permit tcp host 2.2.2.2 eq telnet host 1.1.1.1 eq 13232 (73 matches) (time left 293)
permit icmp host 2.2.2.2 host
1
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册 微信登录

本版积分规则

快速回复 返回顶部 返回列表