關于思科的訪問控制列表（1）

發布時間： 2017-06-16 14:57:18

各位都是即將或者已經在從事網絡技術工作的人員，在平時的生產和工作環境之中，網絡已經成為大家喜聞樂見的工作形式而根深蒂固下來。越來越多的公司的經營和業務需要透過網絡的處理來完成，久而久之，網絡的安全性也成為了大家所有從業人員，所有的技術人員，不得不面對的實質性課題。

那么我們做為技術人員，本著合理運用技術的原則，來讓我們的網絡更加具有安全性。，而現階段，硬件防火墻也已作為一種主要的安全機制被人們采用。雖然一些企業已經開始致力于“防火墻應用” 但這些應用對于大多數中小型企業來說相當昂貴和奢侈，因此并不是最好的問題解決方式，比如，早先時候，一臺CISCOPIX防火墻要花到好幾千美元。這對一個在網絡組建方面不準備大篇幅投入的中小型企業來說，無疑是不可想象的。

那么我們作為網絡技術從業人員，如何使用技術手段來節約項目實現成本和預算，也是我們的必修課之一。目前，許多公司都使用標準的路由器聯入互聯網。那么如果使用的路由器是思科的路由器。非常榮幸的是，思科路由器的IOS當中就集成了很多防火墻以及IDS相關的特性功能，使用已有的思科路由器我們完全可以構建自己的軟件防火墻。這樣的防火墻也有一個非常恰當的名字—窮人的防火墻。

思科IOS特性中集成了EACL RACL TBAC CBAC 基于網絡應用的識別(NBAR)等等安全特性，它們都是基于路由器IOS的范疇上能幫助我們實現網絡的安全手段。那么今天，我們就來認識一下窮人的防火墻實現手段之一 RACL reflective acl自反訪問控制列表。

自反訪問表是擴展的 IP 命名訪問表的一個重要的功能特性。這是因為我們可以將自反訪問表嵌入到命名的訪問表中，從而將自反訪問表的應用范圍限制在擴展IP命名的訪問表之內。

自反訪問控制列表不但用于思科擴展IP命名訪問控制列表所能支持的所有IP協議，還包括UDP、TCP以及ICMP。此外還可以根據3、4甚至7層的分類標記的特點來進行分類過濾，比如使用ip precedence、tos和dscp的值等等。另外一個需要指出的一點是，并不像傳統的訪問表那樣表項可以是永久存在的，直到被刪除或被修改為新表項，自反訪問表只限于創建臨時開啟表項。當新的IP會話開始時，這些表項會自動被創建；而當會話結束或者超時閾值到達臨界時被刪除。

在自反訪問表中的每個語句，當語句中的條件得到滿足時，就會在已存在的訪問表中創建一個鏡像表項。例如，假定一個用戶使用源TCP端口號1045發起一個向外的telnet會話，該會話從IP地址198.78.46.8連接到IP地址205.131.175.12。向外的源報文將具有如下的特征：
源IP地址：198.78.46.8
源TCP端口：1045Dw
目的IP地址：205.131.175.12Z
目的TCP端口：23P爾夫網絡CCIE實驗室 -- 沃爾夫，你可信賴的學習伙伴！
我們通過使用一條自反訪問表語句，并且開啟向內的返回流量，來創建自反訪問表表項。以允許向內的返回流量。該自反鏡像表項如下所示：
permit tcp 205.131.175.12 eq 23 198.78.46.8 eq 1045

配置：

使用一條permit語句創建一個擴展IP命名訪問表。還要在相關permit語句中使用reflect關鍵字，用以表明訪問表中需要使用一個自反向開啟表項。

Router(config)# ip access-list extended name
Router(config-ext-nacl)# permit protocol any any reflect name[timeout seconds]
reflect關鍵字將擴展ACL設為自反ACL，name指定自反ACL名字，timeout指定超時時間]

Router(config-if)# ip access-group name in/out
為了使帶有reflect關鍵字的permit語句生效，必須在一個相反的方向調用它。

Router(config)# ip access-list extended name

Router(config-ext-nacl)# evaluate name
evaluate調用自反ACL，name是自反ACL的名字

Router(config-if)# ip access-group name in/out
缺省的超時值300秒，可以通過ip reflexice-list timeout語句指定的不同值，也可以通過在permit中為每個語句指定不同的超時時間
Router(config)# ip reflexive-list timeout seconds

實驗步驟
（1）步驟1：分別在路由器R1 和R3 配置默認路由確保IP 連通性
R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.12.2
R3(config)#ip route 0.0.0.0 0.0.0.0 202.210.23.2

（2）步驟2：在路由器R2 上配置自反ACL
R2(config)#ip access-list extended ACLOUT
R2(config-ext-nacl)#permit icmp any any reflect REF //定義自反ACL

R2(config)#int s0/0/1
R2(config-if)#ip access-group ACLOUT out
R2(config)#ip access-list extended ACLIN
R2(config-ext-nacl)#evaluate REF //評估反射（調用反射）需要調用在流量始發的相反方向。放行些與內網始發有關聯的從外網返回的流量。

這條調用之后有 deny any any 拒絕了來自外網的一切流量。
R2(config)#int s0/0/1
R2(config-if)#ip access-group ACLIN in