关于思科的访问控制列表（1）

发布时间： 2017-06-16 14:57:18

各位都是即将或者已经在从事网络技术工作的人员，在平时的生产和工作环境之中，网络已经成为大家喜闻乐见的工作形式而根深蒂固下来。越来越多的公司的经营和业务需要透过网络的处理来完成，久而久之，网络的安全性也成为了大家所有从业人员，所有的技术人员，不得不面对的实质性课题。

那么我们做为技术人员，本着合理运用技术的原则，来让我们的网络更加具有安全性。，而现阶段，硬件防火墙也已作为一种主要的安全机制被人们采用。虽然一些企业已经开始致力于“防火墙应用” 但这些应用对于大多数中小型企业来说相当昂贵和奢侈，因此并不是最好的问题解决方式，比如，早先时候，一台CISCOPIX防火墙要花到好几千美元。这对一个在网络组建方面不准备大篇幅投入的中小型企业来说，无疑是不可想象的。

那么我们作为网络技术从业人员，如何使用技术手段来节约项目实现成本和预算，也是我们的必修课之一。目前，许多公司都使用标准的路由器联入互联网。那么如果使用的路由器是思科的路由器。非常荣幸的是，思科路由器的IOS当中就集成了很多防火墙以及IDS相关的特性功能，使用已有的思科路由器我们完全可以构建自己的软件防火墙。这样的防火墙也有一个非常恰当的名字—穷人的防火墙。

思科IOS特性中集成了EACL RACL TBAC CBAC 基于网络应用的识别(NBAR)等等安全特性，它们都是基于路由器IOS的范畴上能帮助我们实现网络的安全手段。那么今天，我们就来认识一下穷人的防火墙实现手段之一 RACL reflective acl自反访问控制列表。

自反访问表是扩展的 IP 命名访问表的一个重要的功能特性。这是因为我们可以将自反访问表嵌入到命名的访问表中，从而将自反访问表的应用范围限制在扩展IP命名的访问表之内。

自反访问控制列表不但用于思科扩展IP命名访问控制列表所能支持的所有IP协议，还包括UDP、TCP以及ICMP。此外还可以根据3、4甚至7层的分类标记的特点来进行分类过滤，比如使用ip precedence、tos和dscp的值等等。另外一个需要指出的一点是，并不像传统的访问表那样表项可以是永久存在的，直到被删除或被修改为新表项，自反访问表只限于创建临时开启表项。当新的IP会话开始时，这些表项会自动被创建；而当会话结束或者超时阈值到达临界时被删除。

在自反访问表中的每个语句，当语句中的条件得到满足时，就会在已存在的访问表中创建一个镜像表项。例如，假定一个用户使用源TCP端口号1045发起一个向外的telnet会话，该会话从IP地址198.78.46.8连接到IP地址205.131.175.12。向外的源报文将具有如下的特征：
源IP地址：198.78.46.8
源TCP端口：1045Dw
目的IP地址：205.131.175.12Z
目的TCP端口：23P尔夫网络CCIE实验室 -- 沃尔夫，你可信赖的学习伙伴！
我们通过使用一条自反访问表语句，并且开启向内的返回流量，来创建自反访问表表项。以允许向内的返回流量。该自反镜像表项如下所示：
permit tcp 205.131.175.12 eq 23 198.78.46.8 eq 1045

配置：

使用一条permit语句创建一个扩展IP命名访问表。还要在相关permit语句中使用reflect关键字，用以表明访问表中需要使用一个自反向开启表项。

Router(config)# ip access-list extended name
Router(config-ext-nacl)# permit protocol any any reflect name[timeout seconds]
reflect关键字将扩展ACL设为自反ACL，name指定自反ACL名字，timeout指定超时时间]

Router(config-if)# ip access-group name in/out
为了使带有reflect关键字的permit语句生效，必须在一个相反的方向调用它。

Router(config)# ip access-list extended name

Router(config-ext-nacl)# evaluate name
evaluate调用自反ACL，name是自反ACL的名字

Router(config-if)# ip access-group name in/out
缺省的超时值300秒，可以通过ip reflexice-list timeout语句指定的不同值，也可以通过在permit中为每个语句指定不同的超时时间
Router(config)# ip reflexive-list timeout seconds

实验步骤
（1）步骤1：分别在路由器R1 和R3 配置默认路由确保IP 连通性
R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.12.2
R3(config)#ip route 0.0.0.0 0.0.0.0 202.210.23.2

（2）步骤2：在路由器R2 上配置自反ACL
R2(config)#ip access-list extended ACLOUT
R2(config-ext-nacl)#permit icmp any any reflect REF //定义自反ACL

R2(config)#int s0/0/1
R2(config-if)#ip access-group ACLOUT out
R2(config)#ip access-list extended ACLIN
R2(config-ext-nacl)#evaluate REF //评估反射（调用反射）需要调用在流量始发的相反方向。放行些与内网始发有关联的从外网返回的流量。

这条调用之后有 deny any any 拒绝了来自外网的一切流量。
R2(config)#int s0/0/1
R2(config-if)#ip access-group ACLIN in