自反acl

Posted lakerschampionships

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了自反acl相关的知识,希望对你有一定的参考价值。

 

原理:通过对经过该端口的请求数据包打上标记,对回复的数据包进行检测,据有该标记的数据包允许通过,否则被拒绝。

 

拓扑图

 技术图片

 

 

测试连通性

 

R2 telnet R4

 技术图片

 

 

 

 

 配置命令

  在检测连通性,确保无误后,配置acl

r1(config)#ip access-list extended come

r1(config-ext-nacl)#permit icmp any any         被允许的ICMP是不用标记即可进入内网的

r1(config-ext-nacl)#evaluate abc                其它要进入内网的,必须是标记为ab

 

r1(config)#ip access-list extended  goto

r1(config-ext-nacl)#permit tcp any any eq telnet reflect abc timeout 60   telnet已记为abc

r1(config-ext-nacl)#permit ip any any                  

应用ACL

r1(config)#int f0/1

r1(config-if)#ip access-group goto out

 

测试结果

 R2 PING R4

技术图片

ICMP允许通过

R2 telnet R4

 技术图片

可见,内网向外网发送的telnet因被标记了abc所以被允许返回了

 

 

R4 telnet R2

 技术图片

查看acl表

技术图片

以上是关于自反acl的主要内容,如果未能解决你的问题,请参考以下文章

自反ACL实验(GNS3)

自反ACL的配置

如何理解UML中类似于自反关联的“自反聚合”关系

防火墙技术综合实验

在 SQLAlchemy 中“扩展”自反多对多关系

Laravel 7.x - 自反关系 - 即使有适当的约束,“无法删除或更新父行”