关于Cisco自反控制列表应用

自反访问表实际上是扩展I P命名访问表的一种附加特性或功能。你可以为所有想要创建反向的表项的协议,使用一条p e r m i t语句创建一个扩展I P命名访问表。还要在每个p e r m i t语句中使用r e f l e c t关键字,用以表明访问表中需要使用一个自反向开启表项。除了需要在一个或多个p e r m i t语句中使用r e f l e c t关键字外,还必须考虑两条相关的I O S语

句。一条是e v a l u a t e语句,该语句要加在列表的结尾,以结束自反访问表。另一条语句是i preflexice-list timeout命令,用于改变临时自反访问表表项的全局t i m e - o u t的值(默认是300s,可以在全局模式通过ip reflexive-list timeout修改全局超时时间也可以在相应的应用行设置超时时间,其优先于全局设置值 )。

自反列表的基本格式是:

ip access-list extended xxx

permit protocol source destination reflect name [time-out seconds]

ip access-list extended yyy

evaluate name (此关键字临时创建内部通往外部的返回流量的开启表项,两标红处须相同,意思我想就不用赘述了吧)

最后在接口启用,这和普通列表的应用规则类似。

下面用实例演示一下吧:

先查看一下测试前自反列表的配置:

R2#

R2#sh ip acce

Reflexive IP access list cisco

Extended IP access list infilter

10 permit ospf any any (33 matches)(显示的定义允许ospf流量通过)

20 evaluate cisco

Extended IP access list outfilter

10 permit ospf any any (39 matches)

20 permit icmp any host 2.2.2.2 reflect cisco

30 permit icmp any host 30.1.1.1 reflect cisco

40 permit tcp any host 2.2.2.2 eq telnet reflect cisco

50 permit tcp any host 30.1.1.1 eq telnet reflect cisco

R2#

再查看一下测试后的自反列表的配置有什么不同:

Reflexive IP access list cisco

permit tcp host 2.2.2.2 eq telnet host 1.1.1.1 eq 13232 (73 matches) (time left 293)

permit icmp host 2.2.2.2 host 1.1.1.1 (19 matches) (time left 262) (这里就是动态创建的临时开启表项。默认时间是300s后删除)

Extended IP access list infilter

10 permit ospf any any (100 matches)

20 evaluate cisco

Extended IP access list outfilter

10 permit ospf any any (105 matches)

20 permit icmp any host 2.2.2.2 reflect cisco (22 matches)

30 permit icmp any host 30.1.1.1 reflect cisco (11 matches)

40 permit tcp any host 2.2.2.2 eq telnet reflect cisco (245 matches)

50 permit tcp any host 30.1.1.1 eq telnet reflect cisco (138 matches)

R2#

(0)

相关推荐

  • 迅捷路由器自反访问控制列表(Reflexive Access Lists)

    所谓的自反访问列表,英文名为Reflexive Access Lists,自反访问列表会根据一个方向的访问控制列表,自动创建出一个反方向的控制列表,是和原来的控制列表-IP的源地址和目的地址颠倒,并且 ...

  • Axure RP控制列表框怎么设置默认显示选中值?

    今天我们就来看那看Axure RP一个实例说明列表框选中的值,输入框显示对应的值,下面我们就来看看详细的教程. 1.双击打开Axure RP设计工具,在“表单元件”找到“列表框”,拖动一个到主页面上, ...

  • 迅捷路由器自反访问控制列表实现方法

    一、简单示例 ip access-list extended abc deny icmp any 192.168.1.0 0.0.0.255 permit ip any any exit int s0 ...

  • 思科Cisco路由器access-list访问控制列表命令详解

    标准型IP访问列表的格式 ---- 标准型IP访问列表的格式如下: ---- access-list[list number][permit|deny][source address][address ...

  • Android设计规范Material Design-Components(9列表控制)

    9月12日,是不是很奇怪,昨天才说可能要有段时间不能更新了,但是为什么今天又更新了,主要是因为小编我昨天眼拙,搬文章的网站改版了,没有找到,就以为没有了~~拖出去赏五十大板~~顺便告诉大家一个好消息~ ...

  • 思科交换机访问列表深入剖析

    CISCO路由器中的access-list(访问列表)最基本的有两种,分别是标准访问列表和扩展访问列表,二者的区别主要是前者是基于目标地址的数据包过滤,而后者是基于目标地址、源地址和网络协议及其端口的 ...

  • 金浪路由器IP访问列表的设置问题

    本篇以金浪路由为例,给大家详细介绍这方面的内容,希望大家在看完后更加了解路由器的访问列表设置标准和要求。 一、访问控列表的核心就是根据制定规则进行数据包的过滤,防止病毒包,扫描包,攻击包通过路由器去攻 ...

  • 访问控制列表ACL及配置教程

    访问控制列表: ACL: (accesscontrollist) 适用所有的路由协议:IP,IPX,AppleTalk 控制列表分为两种类型: 1.标准访问控制列表:检查被路由数据包的源地址、1~99 ...

  • 列表框组合框滚动条

    数组是同类数据的内部组成形式,当他们需要输出时,通常采用列表框控件在屏幕上显示.一个固定大小的列表框中可以显示很多的列表数据项,可以单列或多列,此外程序还可以控制列表项的增减,排序和选择,但对于最终用 ...