自反列表-试验结果R&S知识点 2009-03-30 14:16:16 阅读211 评论0 字号:大中小 订阅 拓扑: R2------------------------R1----------------------R3 12.1.1.2 12.1.1.1/13.1.1.1 13.1.1.3 eth0 eth0 eth 1 eth0 运行OSPF,实现全部互通,要求R3模拟外部网络,R2模拟内部网络,可以从R2ping通R3但是反过来不行。 操作方法,在R1上面做自反列表: Extended IP access list icmp_in 应用到R1的eth1端口: interface Ethernet1/1 Extended IP access list icmp_in 以上的成功是因为发起者是R1,目的者是R3,中间的R2完全担任的是过滤的职能,故成功了。 ----------------------------------完美的分割线--------------------------------------------------------------------- 下面要说的是两个路由器之间的自反列表的实现: 在一般情况下一个OUT方向的自反列表是无法影响自身路由器产生的流量的,这样就算你用了evaluate 了 但是出去的流量压根没有跟这个列表的out方向的匹配,所以没有办法evaluate。解决这个有两个办法: 第一:显式的允许特定的流量回来。 第二:用策略路由来更改流量为这个路由器的其他接口产生的。 第一个方法简单,第二个方法相对更安全一些。 试验如下: R1------------------------R2 12.1.1.1 12.1.1.2 eth0 eth0 拓扑更改为只有R2跟R1,要求R1模拟为内部路由器,R2模拟为外部路由器.要求R1可以ping通R2但是R2不能ping通R1。 第一种方法,同样的访问列表在IN 方向加一条显式的允许回来流量的语句: permit icmp host 12.1.1.2 host 12.1.1.1 echo-reply 在R1上看到的完整的列表的结果如下: Extended IP access list icmp_in 应用在R1的eth0口上,测试pingR2可以ping通,在R2上pingR1是ping不通的,再次在R1上查看结果的时候: Extended IP access list icmp_in 那个15个匹配的就是过去的。 第二种方法,采用策略路由: ip local policy route-map local_policy route-map local_policy permit 10 把匹配icmp_out列表的路由设定它的发出去的端口是LOOPBACK0 这样再ping出去的时候就跟原来的一样了,这个时候观察列表: Extended IP access list icmp_in 测试结果在R2上不能ping通R1 |
|
来自: beidouxingstar > 《杂事》