所謂的自反訪問(wèn)列表,英文名為Reflexive Access Lists,自反訪問(wèn)列表會(huì)根據(jù)一個(gè)方向的訪問(wèn)控制列表,自動(dòng)創(chuàng)建出一個(gè)反方向的控制列表,是和原來(lái)的控制列表-IP的源地址和目的地址顛倒,并且源端口號(hào)和目的端口號(hào)完全相反的一個(gè)列表,并且還有一定的時(shí)間限制,超時(shí)后,這個(gè)新創(chuàng)建的列表就會(huì)消失,大大增加了安全性。 一、簡(jiǎn)單示例 ip access-list extended abc deny icmp any 192.168.1.0 0.0.0.255 permit ip any any exit int s0/0 ip access-group abc in 上述是禁止外網(wǎng)去ping內(nèi)網(wǎng)的192.168.1.0/24這個(gè)網(wǎng)段,這時(shí)如果你想從192.168.1.1去ping外網(wǎng)也是ping不通的,因?yàn)橥ㄐ哦际请p向的,限制住一面的流量就都不通了。 二、自反ACL ip access-list extended refin permit ospf any any evaluate abc exit ip access-list extended refout permit ip any any reflect abc exit int s0/0 ip access-group refin in ip access-group rofut out exit ip reflexive-list timeout 60 1、在接口的in方向上只允許了一個(gè)ospf協(xié)議,其他訪問(wèn)都禁止了,也就是不允許外網(wǎng)訪問(wèn)內(nèi)網(wǎng),evaluate abc嵌套了一個(gè)反射ACL,名稱為abc。 2、在接口的out方向上,允許所有的訪問(wèn),可以出去但是回不來(lái),所以在permit ip any any 后加上了一個(gè)reflect abc,此時(shí)任何從內(nèi)網(wǎng)發(fā)起的流量如果它匹配這條permit ip any any reflect abc語(yǔ)句的話,則自動(dòng)在refin的列表中創(chuàng)建一條動(dòng)態(tài)的permit語(yǔ)句。 3、自反ACL一直是permit的,ip reflexive-list timeout 60 設(shè)置的是反射出來(lái)的條目的有效時(shí)間。
