所謂的自反訪問列表,英文名為Reflexive Access Lists,自反訪問列表會根據一個方向的訪問控制列表,自動創建出一個反方向的控制列表,是和原來的控制列表-IP的源地址和目的地址顛倒,并且源端口號和目的端口號完全相反的一個列表,并且還有一定的時間限制,超時后,這個新創建的列表就會消失,大大增加了安全性。 一、簡單示例 ip access-list extended abc deny icmp any 192.168.1.0 0.0.0.255 permit ip any any exit int s0/0 ip access-group abc in 上述是禁止外網去ping內網的192.168.1.0/24這個網段,這時如果你想從192.168.1.1去ping外網也是ping不通的,因為通信都是雙向的,限制住一面的流量就都不通了。 二、自反ACL ip access-list extended refin permit ospf any any evaluate abc exit ip access-list extended refout permit ip any any reflect abc exit int s0/0 ip access-group refin in ip access-group rofut out exit ip reflexive-list timeout 60 1、在接口的in方向上只允許了一個ospf協議,其他訪問都禁止了,也就是不允許外網訪問內網,evaluate abc嵌套了一個反射ACL,名稱為abc。 2、在接口的out方向上,允許所有的訪問,可以出去但是回不來,所以在permit ip any any 后加上了一個reflect abc,此時任何從內網發起的流量如果它匹配這條permit ip any any reflect abc語句的話,則自動在refin的列表中創建一條動態的permit語句。 3、自反ACL一直是permit的,ip reflexive-list timeout 60 設置的是反射出來的條目的有效時間。
