迅捷路由器自反访问控制列表(Reflexive Access Lists)
发布时间:2012-06-30 18:46:02 作者:佚名 
我要评论
我要评论所谓的自反访问列表,英文名为Reflexive Access Lists,自反访问列表会根据一个方向的访问控制列表
所谓的自反访问列表,英文名为Reflexive Access Lists,自反访问列表会根据一个方向的访问控制列表,自动创建出一个反方向的控制列表,是和原来的控制列表-IP的源地址和目的地址颠倒,并且源端口号和目的端口号完全相反的一个列表,并且还有一定的时间限制,超时后,这个新创建的列表就会消失,大大增加了安全性。
一、简单示例
ip access-list extended abc
deny icmp any 192.168.1.0 0.0.0.255
permit ip any any
exit
int s0/0
ip access-group abc in
上述是禁止外网去ping内网的192.168.1.0/24这个网段,这时如果你想从192.168.1.1去ping外网也是ping不通的,因为通信都是双向的,限制住一面的流量就都不通了。
二、自反ACL
ip access-list extended refin
permit ospf any any
evaluate abc
exit
ip access-list extended refout
permit ip any any reflect abc
exit
int s0/0
ip access-group refin in
ip access-group rofut out
exit
ip reflexive-list timeout 60
1、在接口的in方向上只允许了一个ospf协议,其他访问都禁止了,也就是不允许外网访问内网,evaluate abc嵌套了一个反射ACL,名称为abc。
2、在接口的out方向上,允许所有的访问,可以出去但是回不来,所以在permit ip any any 后加上了一个reflect abc,此时任何从内网发起的流量如果它匹配这条permit ip any any reflect abc语句的话,则自动在refin的列表中创建一条动态的permit语句。
3、自反ACL一直是permit的,ip reflexive-list timeout 60 设置的是反射出来的条目的有效时间。
一、简单示例
ip access-list extended abc
deny icmp any 192.168.1.0 0.0.0.255
permit ip any any
exit
int s0/0
ip access-group abc in
上述是禁止外网去ping内网的192.168.1.0/24这个网段,这时如果你想从192.168.1.1去ping外网也是ping不通的,因为通信都是双向的,限制住一面的流量就都不通了。
二、自反ACL
ip access-list extended refin
permit ospf any any
evaluate abc
exit
ip access-list extended refout
permit ip any any reflect abc
exit
int s0/0
ip access-group refin in
ip access-group rofut out
exit
ip reflexive-list timeout 60
1、在接口的in方向上只允许了一个ospf协议,其他访问都禁止了,也就是不允许外网访问内网,evaluate abc嵌套了一个反射ACL,名称为abc。
2、在接口的out方向上,允许所有的访问,可以出去但是回不来,所以在permit ip any any 后加上了一个reflect abc,此时任何从内网发起的流量如果它匹配这条permit ip any any reflect abc语句的话,则自动在refin的列表中创建一条动态的permit语句。
3、自反ACL一直是permit的,ip reflexive-list timeout 60 设置的是反射出来的条目的有效时间。
相关文章
- 对于无线网来说,传输的速度是最重要的,但随着现代网络技术的进步,我们在网上进行视频传输,例如在看一部高清的电影时,就需要更大的带宽,这对无线而言是不一个小的负担2013-02-04
- 选择一个将数据包发往某个目标网络段或主机的路径就是路由的过程。用户产生的数据流比较文件,视频,Email等应用被从一个源地址转发到另一个目标地址,用来表示源和目的地2013-01-07
- 只有将路由器的安全做好了才能保障一个网络的安全,对于路由器而言最重要的就是密码的保护,而保护路由器密码的两条基本规则是:总是要更改新的路由器的默认密码以及只通过2013-01-03
迅捷Fast无线路由器快速安装工具 v1.0 中文绿色免费版
迅捷Fast无线路由器快速安装工具适用于FW150R V5/6/8、FW153R V1、FWR108 V1、FW300R V3/4、FWR303 V1、FWR310 V1/2无线路由器产品的快速安装工具2012-12-27- 路由器是城域网、广域网和互联网上的基本设备,它连接分布在一定地域范围内的电脑远程网络,但在组建一个网络时,难免会遇到一些很麻烦的事情,尤其是在网络地址设置方面,2012-11-20
- 相信只要是使用路由器的用户,都遇到过路由器故障,造成不不能上网的问题,电子产品在运行的过程中出现故障是在所难免的,本文主要给大家详细的介绍了对于宽带路由器经常出2012-11-14
- 现在网络大多都是使用路由器来共享上网,这样极大方便组建一个局域网,但是其带来的坏处是,如果有人在下载或是占用了大量的带宽的话,那么其他人在上网时就会感觉到很卡,2012-11-07
- 通过路由冗余协议,我们可以通过手动或DHCP 设定一个虚拟IP 地址作为默认路由器,虚拟IP 地址在路由器间共享,其中一个指定为主路由器而其它的则为备份路由器,如果主路由2012-10-23
- 公司的迅捷无线路由最近上不了网了.按下面的方法解决一下2012-09-19
- 有时候路由器的设置界面进不去了.是什么原因呢. 我们来看一下吧2012-08-28
最新评论