自反ACL和策略路由配置實(shí)例_第1頁
自反ACL和策略路由配置實(shí)例_第2頁
自反ACL和策略路由配置實(shí)例_第3頁
自反ACL和策略路由配置實(shí)例_第4頁
自反ACL和策略路由配置實(shí)例_第5頁
已閱讀5頁,還剩2頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、自反ACL和策略路由配置實(shí)例 (2018-12-31 12:42:55 轉(zhuǎn)載 實(shí)驗(yàn)拓?fù)洌?MH H 0/24 EO.O liQ/I 72 E0/1 -?3 R1 R3 實(shí)驗(yàn)說明:三臺(tái)路由器串聯(lián),要求阻止R3對R1地遠(yuǎn)程訪問#access-list 100 de ny tcp host 192.168.23.3 host 192.168.12.1 r2(con fig#access-list 100 permit ip any any r2(co nfig# int eO/1 r2(config-if#ip access-group 100 in/ 將 ACL應(yīng)用到接口 為了驗(yàn)證將R1和R3地V

2、TY線路配置成直接登陸,無需密碼.現(xiàn)在進(jìn)行驗(yàn)證: r3#te Inet 192.168.12.1 Tryi ng 12.0.0.1 . % Destination unreachable。gateway or host down 在 R3上無法 telnetR1, 訪問列表起了作用.我們再去R1做一下驗(yàn)證: r1#tel net 192.168.23.3 Tryi ng 23.0.0.3 . % Connection timed out 。 remote host not responding 這時(shí),R1也無法telnet到R3這可不是我們所希望地結(jié)果.那為什么會(huì)產(chǎn)生這種 結(jié)果呢?這是因?yàn)镽1

3、向R3發(fā)起tel net請求時(shí),是R1地一個(gè)隨機(jī)端口與R3地 23號(hào)端口通信.R3收到這個(gè)請求后,再用自己地23號(hào)端口向R1地隨即端口回應(yīng). 在這個(gè)例子中,R1向R3地請求,R3可以收到.但當(dāng)R3向R1回應(yīng)時(shí),卻被R2上地 ACL阻止了 .因?yàn)镽2地ACL地作用是阻止R3向R1地所有TCP連接.這個(gè)TCP回 應(yīng)也就被阻止掉了,所以就間接地造成了 R1無法tel net到R3. 綜上所述,在R2上用擴(kuò)展訪問列表可以阻止 R3主動(dòng)向R1發(fā)起地TCP連接,但也 阻止了 R3被動(dòng)回應(yīng)R1發(fā)地TCP請求.這是不合題意地.因此就目前而言,擴(kuò)展訪 問列表無法滿足這個(gè)需求.于是就引出了一個(gè)新型地訪問列表自反訪

4、問控 制列表.3.用自反訪問列表解決此問題注意:自反訪問列表只能建立在命名訪問 控制列表中p1EanqFDPw 1. 建立命名擴(kuò)展訪問列表: Exte nded IP access list REFIN deny tcp host 192.168.23.3 host 192.168.12.1 permit ip any any evaluate REF/根據(jù)上面地列表產(chǎn)生自反項(xiàng),當(dāng)使用此命令 后,再 show ip access-lists會(huì)看到產(chǎn)生了一個(gè)自反列表 : Reflexive IP access list REF DXDiTa9E3d 2. 根據(jù)產(chǎn)生地自反項(xiàng)建立自反列表: Exte

5、 nded IP access list REFOUT permit ip any any reflect REF RTCrpUDGiT 3. 將兩個(gè)訪問列表應(yīng)用到接口上: r2(config#int s2/2 r2(c on fig-if#ip access-group REFIN in/ 在進(jìn)站方向調(diào)用 REFIN r2(co nfig-if#ip access-group REFOUT out /在出站方向調(diào)用 REFOUTczvd7Hxa 下面進(jìn)行檢驗(yàn) r3#te Inet 192.168.12.1 Tryi ng 192.168.12.1 . % Destination unreac

6、hable。 gateway or host down R3無法登陸R1,這一步成功.再到R1上驗(yàn)證 r1#tel net 192.168.23.3 Tryi ng 192.168.23.3 . % Connection timed out 。 remote host not responding R1也無法登陸R3,這個(gè)請求失敗了 ,我們到R2上查看一下ACL: R2#show ip access-listsExte nded IP access list REFOUT 10 permit ip any any reflect ref (6 matches Exte nded IP acce

7、ss list REFIN 10 deny tcp host 192.168.23.3 host 192.168.12.1 (9 matches 20 permit ip any any 30 evaluate ref Reflexive IP access list REF permit tcp host 192.168.23.3 eq tel net host 192.168.12.1 eq 45735 (5 matches (time left 296 讓我們仔細(xì)地分析一下這個(gè)過程: 當(dāng)R3登陸R1時(shí),R2 in 方向地REFIN列表地第一條語句 deny tcp host 192.16

8、8.23.3 host 192.168.12.1 起了作用,因此登陸失敗. 當(dāng)R1登陸R3時(shí),R1先向R3發(fā)起TCP請求,當(dāng)這個(gè)請求數(shù)據(jù)包從 R2地E0/1接 口出來時(shí)匹配了 REFOU列表地permit ip any any reflect REF地這條語句. 并觸發(fā)了一條自反項(xiàng).我們可以看到permit tcp host 192.168.23.3 eq tel net host 192.168.12.1 eq 45735 (5 matches (time left 296這個(gè)自 反項(xiàng)是由于觸發(fā)自動(dòng)產(chǎn)生地.它地意思是允許R3用自己地23端口對R1向自己 發(fā)出地tel net請求作出回應(yīng),這個(gè)

9、回應(yīng)向R1地隨機(jī)端口 45735發(fā)出.雖然看到 產(chǎn)生了這個(gè)自反項(xiàng),但驗(yàn)證R1登陸到R3卻失敗了,這是因?yàn)殡m然產(chǎn)生了這條自 反項(xiàng),但要使數(shù)據(jù)包按照這個(gè)自反項(xiàng)來走,還需要匹配 evaluate REF這條語 句.這條語句是建立在列表 REFIN中.當(dāng)R3向R1地回應(yīng)數(shù)據(jù)包到達(dá)R2時(shí)先要 匹配列表REFIN .這時(shí)我們可以看到這個(gè)數(shù)據(jù)包直接匹配上了deny tcp host 192.168.23.3 host 192.168.12.1這條語句,而不再匹配下面地語句了 .所以它 就被直接拒絕了 .evaluate REF這條語句在這里實(shí)際上被架空了 ,因此控制列表 語句地順序是至關(guān)重要地.下面我們就對

10、這個(gè)列表進(jìn)行修改: R2#show access-listReflexive IP access list REF permit tcp host 192.168.23.3 eq tel net host 192.168.12.1 eq 14403 (32 matches (time left 4 Exte nded IP access list REFIN 10 evaluate fuck 20 deny tcp host 192.168.23.3 host 192.168.12.1 30 permit ip any any Exte nded IP access list REFOUT 1

11、0 permit ip any any reflect fuck (21 matches 我現(xiàn)在將REFIN列表中evaluate REF 條目放在了第一位,這時(shí)當(dāng)R1向R3地 TCP請求觸發(fā)了自反列表后,R3向R1地回應(yīng)在到R2地REFIN列表時(shí)匹配地是 evaluate REF 語句,這條語句直接按照自反項(xiàng) permit tcp host 23.0.0.3 eq tel net host 12.0.0.1 eq 14403 執(zhí)行.按照我們地分析現(xiàn)在,R1應(yīng)該可以成功 tel net R3.現(xiàn)在進(jìn)行驗(yàn)證: r1#tel net 192.168.23.3 Tryi ng 192.168.23.

12、3 . Ope n r3 r3#te Inet 192.168.12.1 Trying 192.168.12.1 .% Destination unreachable。gateway or host down我們看到R1可以成功登陸到R3,而R3無法登陸到R1需求滿足.現(xiàn)在我們 做進(jìn)一步地?cái)U(kuò)展,現(xiàn)在地需求是禁止R3對R1和R2地所有TCP連接,而不能影響 R1和R2對R3地TCP連接.1.在R2上建立命名訪問列表和自反列表 r2#sh ip access-listsReflexive IP access list REFExte nded IP access list REFIN evalua

13、te REF de ny tcp host 192.168.23.3 any/ 禁止 192.168.23.3 向所有目地 發(fā)出地TCP連接 permit ip any any (3 matches Exte nded IP access list REFOUT permit ip any any reflect REF (19 matches 2.進(jìn)行驗(yàn)證 r3#te Inet 192.168.12.1 Tryi ng 192.168.12.1 . % Destination unreachable 。 gateway or host down r3#tel net 192.168.23.2

14、 Tryi ng 192.168.23.2 . % Destination unreachable 。 gateway or host down 這時(shí),R3已經(jīng)無法登陸到R1和R2上,需求滿足 r1#tel net 192.168.23.3 Tryi ng 192.168.23.3 . Ope n r3 R1可以成功登陸到R3,需求滿足 r2#tel net 192.168.23.3 Tryi ng 192.168.23.3 . % Connection timed out 。 remote host not responding R2無法登陸到R3,需求不滿足.這是什么原因呢,讓我們再來看一

15、下控制列表: r2#sh ip access-listsReflexive IP access list REF Exte nded IP access list REFIN evaluate REF deny tcp host 192.168.23.3 any (21 matches permit ip any any (531 matches Exte nded IP access list REFOUT permit ip any any reflect REF (28 matches 我們看到這時(shí)沒有自動(dòng)產(chǎn)生一條自反項(xiàng),也就意味著自反列表沒有被觸發(fā),說明 沒有數(shù)據(jù)匹配到permit i

16、p any any reflect REF這條語句.所以當(dāng)R2向R3 發(fā)起TCP連接后,R3向R2進(jìn)行TCP回復(fù)地?cái)?shù)據(jù)包到達(dá)R2地S2/2接口后,按照 REFIN列表進(jìn)行匹配,先匹配第一條evaluate REF,由于沒有自反項(xiàng)被觸發(fā),所 以這條語句不執(zhí)行,接著匹配下一條語句:deny tcp host 192.168.23.3 any 數(shù)據(jù)包匹配上了這條語句,所以被拒絕.那為什么R2向R3地TCP青求沒有觸發(fā) 自反列表呢?這是由于控制列表地一個(gè)原則,那就是:本路由器上out方向地控 制列表對本路由器自身產(chǎn)生地流量不起作用.在本例中R2對R3地TCP青求根本 沒有匹配上 REFOUT列表地pe

17、rmit ip any any reflect REF 語句,原因如上所 述.那么如何解決這個(gè)問題,讓R2能登陸到R3,目前有兩種方法: 方法一:對訪問控制列表進(jìn)行修改 r2#sh ip access-lists Reflexive IP access list REF Exte nded IP access list REFIN permit tcp host 23.0.0.3 eq tel net host 23.0.0.2 established evaluate REF de ny tcp host 23.0.0.3 any permit ip any any (15 matches

18、Exte nded IP access list REFOUT permit ip any any reflect REF (29 matches permit tcp host 23.0.0.3 eq tel net host 23.0.0.2 established這條語句 表示允許R3用自己地23號(hào)端口對R2地TCP青求進(jìn)行回復(fù).這條語句也可以換 一種寫法: permit tcp host 23.0.0.3 eq tel net host 23.0.0.2 ack rst下面再次進(jìn)行 驗(yàn)證;r3#telnet 192.168.12.1 Tryi ng 192.168.12.1 . % D

19、estination unreachable 。 gateway or host down r3#tel net 192.168.23.2 Tryi ng 192.168.23.2 . % Destination unreachable 。 gateway or host down R3無法登陸R1和R2需求滿足 r1#tel net 192.168.23.3 Tryi ng 192.168.23.3 . Open r3 R1可以登陸R3,需求滿足 r2#tel net 192.168.23.3 Tryi ng 192.168.23.3 . Open r3 R2現(xiàn)在也成功登陸R3,需求滿足. 方法二:不修改原來地控制列表,而使用本地策略路由1.建立route-map 這個(gè)route-map匹配剛才建立地

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論