文章從配置的整體過(guò)程詳細(xì)的介紹了自反訪問(wèn)表的配置整體過(guò)程，同時(shí)給大家列出了SHOW RUN的配置結(jié)果，相信看完之后你會(huì)對(duì)自反列表有個(gè)清晰的配置過(guò)程。

自反訪問(wèn)表實(shí)際上是擴(kuò)展I P命名訪問(wèn)表的一種附加特性或功能。你可以為所有想要?jiǎng)?chuàng)建反向的表項(xiàng)的協(xié)議，使用一條p e r m i t語(yǔ)句創(chuàng)建一個(gè)擴(kuò)展I P命名訪問(wèn)表。還要在每個(gè)p e r m i t語(yǔ)句中使用r e f l e c t關(guān)鍵字，用以表明訪問(wèn)表中需要使用一個(gè)自反向開啟表項(xiàng)。除了需要在一個(gè)或多個(gè)p e r m i t語(yǔ)句中使用r e f l e c t關(guān)鍵字外，還必須考慮兩條相關(guān)的I O S語(yǔ)句。一條是e v a l u a t e語(yǔ)句，該語(yǔ)句要加在列表的結(jié)尾，以結(jié)束自反訪問(wèn)表。另一條語(yǔ)句是i preflexice-list timeout命令，用于改變臨時(shí)自反訪問(wèn)表表項(xiàng)的全局t i m e - o u t的值（默認(rèn)是300s，可以在全局模式通過(guò)ip reflexive-list timeout修改全局超時(shí)時(shí)間也可以在相應(yīng)的應(yīng)用行設(shè)置超時(shí)時(shí)間，其優(yōu)先于全局設(shè)置值 ）。

自反列表的基本格式是：

ip access-list extended xxx

permit protocol source destination reflect name [time-out seconds]

ip access-list extended yyy

evaluate name  (此關(guān)鍵字臨時(shí)創(chuàng)建內(nèi)部通往外部的返回流量的開啟表項(xiàng)，兩標(biāo)紅處須相同，意思我想就不用贅述了吧)

最后在接口啟用，這和普通列表的應(yīng)用規(guī)則類似。

先查看一下測(cè)試前自反列表的配置：

R2#

R2#sh ip acce

Reflexive IP access list cisco

Extended IP access list infilter

10 permit ospf any any (33 matches)（顯示的定義允許ospf流量通過(guò)）

20 evaluate cisco

Extended IP access list outfilter

10 permit ospf any any (39 matches)

20 permit icmp any host 2.2.2.2 reflect cisco

30 permit icmp any host 30.1.1.1 reflect cisco

40 permit tcp any host 2.2.2.2 eq telnet reflect cisco

50 permit tcp any host 30.1.1.1 eq telnet reflect cisco

R2#

再查看一下測(cè)試后的自反列表的配置有什么不同：

Reflexive IP access list cisco

permit tcp host 2.2.2.2 eq telnet host 1.1.1.1 eq 13232 (73 matches) (time left 293)

permit icmp host 2.2.2.2 host 1.1.1.1  (19 matches) (time left 262)   （這里就是動(dòng)態(tài)創(chuàng)建的臨時(shí)開啟表項(xiàng)。默認(rèn)時(shí)間是300s后刪除）

Extended IP access list infilter

10 permit ospf any any (100 matches)

20 evaluate cisco

Extended IP access list outfilter

10 permit ospf any any (105 matches)

20 permit icmp any host 2.2.2.2 reflect cisco (22 matches)

30 permit icmp any host 30.1.1.1 reflect cisco (11 matches)

40 permit tcp any host 2.2.2.2 eq telnet reflect cisco (245 matches)

50 permit tcp any host 30.1.1.1 eq telnet reflect cisco (138 matches)

R2#

然后我們查看一下在接口下的應(yīng)用：

interface Serial1/0

ip address 2.2.2.1 255.255.255.0

ip access-group infilter in

clock rate 64000

!

interface Serial1/1

ip address 1.1.1.2 255.255.255.0

ip access-group outfilter in

注意：內(nèi)外方向列表的應(yīng)用不一定要在同一個(gè)接口下。

Ok，我們現(xiàn)在R1上測(cè)試一下ping結(jié)果：

R1#ping 2.2.2.2

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 2.2.2.2, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 136/213/268 ms

R1#ping 30.1.1.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 30.1.1.1, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 72/164/268 ms

R1#

#p#再測(cè)試一下telnet結(jié)果：

R1#

R1#telnet 2.2.2.2

Trying 2.2.2.2 ... Open

User Access Verification

Username: test

Password:

R3#

R1#telnet 30.1.1.1

Trying 30.1.1.1 ... Open

User Access Verification

Username: test

Password:

R3#（結(jié)果全部ok，符合題目要求）

我們?cè)僭赗3執(zhí)行相同的測(cè)試：

R3#

R3#ping 1.1.1.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 1.1.1.1, timeout is 2 seconds:

U.U.U

Success rate is 0 percent (0/5)

R3#ping 10.1.1.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:

U.U.U

Success rate is 0 percent (0/5)

R3#telnet 1.1.1.1

Trying 1.1.1.1 ...

% Destination unreachable; gateway or host down

R3#telnet 10.1.1.1

Trying 10.1.1.1 ...

% Destination unreachable; gateway or host down

R3#

【編輯推薦】

1. 常用思科路 由器密碼恢復(fù)經(jīng)典案例
2. 思科路由器 口令恢復(fù)辦法全解
3. 思科路由器 安全性管理
4. cisco路由器 配置ACL詳解
5. cisco路由器 啟動(dòng)進(jìn)程