自反列表-试验结果

                        自反列表-试验结果

R&S知识点 2009-03-30 14:16:16 阅读211 评论0   字号：大中小 订阅

拓扑：

R2------------------------R1----------------------R3

12.1.1.2                 12.1.1.1/13.1.1.1          13.1.1.3

eth0                        eth0  eth 1                eth0

运行OSPF，实现全部互通，要求R3模拟外部网络，R2模拟内部网络，可以从R2ping通R3但是反过来不行。

操作方法，在R1上面做自反列表：

Extended IP access list icmp_in
    10 permit ospf any any
    20 evaluate ping
Extended IP access list icmp_out
    10 permit ospf any any
    20 permit icmp any any reflect ping

应用到R1的eth1端口：

interface Ethernet1/1
 ip address 13.1.1.1 255.255.255.0
 ip access-group icmp_in in
 ip access-group icmp_out out
 duplex half
验证结果，从R1pingR3的13.1.1.3，可以ping通，反过来不可以。在R1上查看ip access-lists 结果如下：

Extended IP access list icmp_in
    10 permit ospf any any (55 matches)
    20 evaluate ping
Extended IP access list icmp_out
    10 permit ospf any any
    20 permit icmp any any reflect ping (40 matches)
Reflexive IP access list ping
     permit icmp host 13.1.1.3 host 12.1.1.2  (70 matches) (time left 95)

以上的成功是因为发起者是R1，目的者是R3，中间的R2完全担任的是过滤的职能，故成功了。

----------------------------------完美的分割线---------------------------------------------------------------------

下面要说的是两个路由器之间的自反列表的实现：

在一般情况下一个OUT方向的自反列表是无法影响自身路由器产生的流量的，这样就算你用了evaluate 了 但是出去的流量压根没有跟这个列表的out方向的匹配，所以没有办法evaluate。解决这个有两个办法：

第一：显式的允许特定的流量回来。

第二：用策略路由来更改流量为这个路由器的其他接口产生的。

第一个方法简单，第二个方法相对更安全一些。

试验如下：

R1------------------------R2

12.1.1.1                12.1.1.2

eth0                        eth0 

拓扑更改为只有R2跟R1，要求R1模拟为内部路由器，R2模拟为外部路由器.要求R1可以ping通R2但是R2不能ping通R1。

第一种方法，同样的访问列表在IN 方向加一条显式的允许回来流量的语句：

permit icmp host 12.1.1.2 host 12.1.1.1 echo-reply

在R1上看到的完整的列表的结果如下：

Extended IP access list icmp_in
    10 permit ospf any any
    20 evaluate ping
    30 permit icmp host 12.1.1.2 host 12.1.1.1 echo-reply
Extended IP access list icmp_out
    10 permit ospf any any
    30 permit icmp any any reflect ping

应用在R1的eth0口上，测试pingR2可以ping通，在R2上pingR1是ping不通的，再次在R1上查看结果的时候：

Extended IP access list icmp_in
    10 permit ospf any any (3 matches)
    20 evaluate ping
    30 permit icmp host 12.1.1.2 host 12.1.1.1 echo-reply (15 matches)
Extended IP access list icmp_out
    10 permit ospf any any
    30 permit icmp any any reflect ping
Reflexive IP access list ping

那个15个匹配的就是过去的。

第二种方法，采用策略路由：

ip local policy route-map local_policy

route-map local_policy permit 10
  match ip address icmp_out
  set interface Loopback0

把匹配icmp_out列表的路由设定它的发出去的端口是LOOPBACK0 这样再ping出去的时候就跟原来的一样了，这个时候观察列表：

Extended IP access list icmp_in
    10 permit ospf any any (108 matches)
    20 evaluate ping
Extended IP access list icmp_out
    10 permit ospf any any
    30 permit icmp any any reflect ping (8 matches)
Reflexive IP access list ping
     permit icmp host 12.1.1.2 host 12.1.1.1  (3 matches) (time left 172)
     permit icmp host 12.1.1.2 host 12.1.1.1  (20 matches) (time left 133)

测试结果在R2上不能ping通R1