CCNA指导：自反访问列表引入和配置

会计考友

三台路由器串联，要求阻止R3对R1的远程访谒（telnet），但只能在R2上做。R1可以对R3进行telnet上岸。1 底层设置装备摆设
　　R1


2 @- N6 z6 Z* ninterface Serial2/1ip address 12.0.0.1 255.255.255.0router eigrp 90network 12.0.0.0 0.0.0.255no auto-summary
, I$ H! S, ]: M　　R2

+ c: {2 U" o  o+ x! R( I' W
interface Serial2/1ip address 12.0.0.2 255.255.255.0interface Serial2/2ip address 23.0.0.2 255.255.255.0router eigrp 90network 0.0.0.0no auto-summary
　　R3

/ k0 {; J( U" M& h+ w* r
) p1 k4 Y* g" Q" b3 ginterface Serial2/1ip address 23.0.0.3 255.255.255.0router eigrp 90network 23.0.0.0 0.0.0.255no auto-summary
( _6 r5 M* v* V- N* }: |5 u1 a8 U2 在R2上做ACL 拒绝R3对R1的所有TCP毗连，但不能影响R1对R3的telnet
3 l9 {+ W8 W5 `- R' W% U　　在这里我们先用扩展访谒列表做一下，看能不能实现。


r2(config)#access-list 100 deny tcp host 23.0.0.3 host 12.0.0.1r2(config)#access-list 100 permit ip any anyr2(config)#int s2/2r2(config-if)#ip access-group 100 in    /  将ACL应用到接口
! w3 q: z; _3 J7 {- a( Y* j　　为了验证将R1和R3的VTY线路设置装备摆设成直接上岸，无需密码。
; [7 n$ x1 D# o

r1(config)#line vty 0 4r1(config-line)#no loginr3(config)#line vty 0 4r3(config-line)#no login
* F! B; m9 y9 l) j2 e" k　　此刻进行验证。
( o  e4 Y- F- f- f# H% T2 {6 `
' \( L+ `% K& r, W: n1 k. Y" ?& ~
r3#telnet 12.0.0.1Trying 12.0.0.1 ...% Destination unreachable; gateway or host down
1 o5 m6 ]* ], @' b3 V. n0 G　　在R3上无法telnetR1，访谒列表起了浸染。我们再去R1做一下验证。

0 |2 c. s1 r% f
3 m, n9 b; ^3 [! K( [: R7 R# Zr1#telnet 23.0.0.3Trying 23.0.0.3 ...% Connection timed out; remote host not responding
- N, R3 ~0 X! m+ H　　这时，R1也无法telnet R3 这可不是我们所但愿的结不美观。那为什么会发生这种结不美观呢？这是因为R1向R3倡议telnet请求时，是R1的一个随机端口与R3的23号端口通信。R3收到这个请求后，再用自己的23号端口向R1的随即端口回应。在这个例子中，R1向R3的请求，R3可以收到。但当R3向R1回应时，却被R2上的ACL阻止了。因为R2的ACL的浸染是阻止R3向R1的所有TCP毗连。这个TCP回应也就被阻止失踪了，所以就借居的造成了R1无法telnet到R3.
. E8 B$ t8 W0 z+ E, F/ C# U
* g& ~# z% b1 R$ L7 p　　综上所述，在R2上用扩展访谒列表可以阻止R3自动向R1倡议的TCP毗连。但也阻止了R3被动向R1发的TCP回应。这是不合题意的。是以就今朝而言，扩展访谒列表无法知足这个需求。于是就引出了一个新型的访谒列表―――自反访谒节制列表。

会计考友

</p>3 用自反访谒列表解决此问题。
6 O# d( E8 z- V  n: @5 Q* b　　注重：因为自反列表只能成立在命名访谒节制列表中，所以这里只能用命名节制列表


r2#sh ip access-listsReflexive IP access list REF/ 触发的自反列表项，匹配自反列表后自动发生Extended IP access list REFIN    deny tcp host 23.0.0.3 host 12.0.0.1    permit ip any any    evaluate REF    / 按照膳缦沔的自反列表项执行Extended IP access list REFOUTpermit ip any any reflect REF/ 成立自反列表r2(config)#int s2/2r2(config-if)#ip access-group REFIN in/ 在进标的目的挪用列表REFINr2(config-if)#ip access-group REFOUT out/在出标的目的挪用列表REFOUT
　　下面进行磨练
% J6 J+ c$ E. o2 z8 [5 W/ h& e; p

% r0 e# n: P; T8 {r3#telnet 12.0.0.1Trying 12.0.0.1 ...% Destination unreachable; gateway or host down
　　R3无法上岸R1，这一步成功。再到R1上验证
5 J7 A, O9 J! l

r1#telnet 23.0.0.3Trying 23.0.0.3 ...% Connection timed out; remote host not responding
　　R1也无法上岸R3，这个需求失踪败了，我们到R2上查看一下ACL

4 H& c' A9 Z% W0 l
6 I; T) i$ a) t8 T3 V& C8 Nr2#sh ip access-listsReflexive IP access list REF    permit tcp host 23.0.0.3 eq telnet host 12.0.0.1 eq 11013 (5 matches) (time left 285)Extended IP access list REFIN    deny tcp host 23.0.0.3 host 12.0.0.1 (18 matches)    permit ip any any (150 matches)    evaluate REFExtended IP access list REFOUT    permit ip any any reflect REF (5 matches)
& q$ g9 M8 E9 z/ d4 b　　让我们细心的剖析一下这个过程，当R3上岸R1时，R2 in 标的目的的REFIN 列表的第一条语句 deny tcp host 23.0.0.3 host 12.0.0.1 起了浸染，是以上岸失踪败。
　　当R1上岸R3时，R1先向R3倡议TCP请求，当这个请求数据包年夜R2的S2/2接口出来时匹配了REFOUT 列表的permit ip any any reflect REF 的这条语句。并触发了一条自反项。
9 E7 C# j) i; @4 V5 t/ N　　我们可以看到permit tcp host 23.0.0.3 eq telnet host 12.0.0.1 eq 11013 （5 matches） （time left 285） 这个自反项是因为触发自动发生的。它的意思是许可R3用自己的23端口对R1向自己发出的telnet请求作出回应，这个回应向R1的随机端口11013发出。我起头看到发生了这个自反项，就感受R1应该能成功上岸R3.但事实并不是如斯。这是因为虽然发生了这条自反项，但要使数据包按照这个自反项来走，还需要匹配  evaluate REF 这条语句。而这条语句是成立在列表REFIN 中。当R3向R1的回应数据包达到R2时先要匹配列表REFIN .这时我们可以看到这个数据包直接匹配上了deny tcp host 23.0.0.3 host 12.0.0.1 这条语句，而不再匹配下面的语句了。所以它就被直接拒绝了。evaluate REF 这条语句在这诚恳际上被架空了是以 节制列表语句的挨次是至关主要的。