文章從配置的整體過程詳細(xì)的介紹了自反訪問表的配置整體過程，同時給大家列出了SHOW RUN的配置結(jié)果，相信看完之后你會對自反列表有個清晰的配置過程。

自反訪問表實際上是擴(kuò)展I P命名訪問表的一種附加特性或功能。你可以為所有想要創(chuàng)建反向的表項的協(xié)議，使用一條p e r m i t語句創(chuàng)建一個擴(kuò)展I P命名訪問表。還要在每個p e r m i t語句中使用r e f l e c t關(guān)鍵字，用以表明訪問表中需要使用一個自反向開啟表項。除了需要在一個或多個p e r m i t語句中使用r e f l e c t關(guān)鍵字外，還必須考慮兩條相關(guān)的I O S語句。一條是e v a l u a t e語句，該語句要加在列表的結(jié)尾，以結(jié)束自反訪問表。另一條語句是i preflexice-list timeout命令，用于改變臨時自反訪問表表項的全局t i m e - o u t的值（默認(rèn)是300s，可以在全局模式通過ip reflexive-list timeout修改全局超時時間也可以在相應(yīng)的應(yīng)用行設(shè)置超時時間，其優(yōu)先于全局設(shè)置值 ）。

自反列表的基本格式是：

ip access-list extended xxx

permit protocol source destination reflect name [time-out seconds]

ip access-list extended yyy

evaluate name  (此關(guān)鍵字臨時創(chuàng)建內(nèi)部通往外部的返回流量的開啟表項，兩標(biāo)紅處須相同，意思我想就不用贅述了吧)

最后在接口啟用，這和普通列表的應(yīng)用規(guī)則類似。

先查看一下測試前自反列表的配置：

R2#

R2#sh ip acce

Reflexive IP access list cisco

Extended IP access list infilter

10 permit ospf any any (33 matches)（顯示的定義允許ospf流量通過）

20 evaluate cisco

Extended IP access list outfilter

10 permit ospf any any (39 matches)

20 permit icmp any host 2.2.2.2 reflect cisco

30 permit icmp any host 30.1.1.1 reflect cisco

40 permit tcp any host 2.2.2.2 eq telnet reflect cisco

50 permit tcp any host 30.1.1.1 eq telnet reflect cisco

R2#

再查看一下測試后的自反列表的配置有什么不同：

Reflexive IP access list cisco

permit tcp host 2.2.2.2 eq telnet host 1.1.1.1 eq 13232 (73 matches) (time left 293)

permit icmp host 2.2.2.2 host 1.1.1.1  (19 matches) (time left 262)   （這里就是動態(tài)創(chuàng)建的臨時開啟表項。默認(rèn)時間是300s后刪除）

Extended IP access list infilter

10 permit ospf any any (100 matches)

20 evaluate cisco

Extended IP access list outfilter

10 permit ospf any any (105 matches)

20 permit icmp any host 2.2.2.2 reflect cisco (22 matches)

30 permit icmp any host 30.1.1.1 reflect cisco (11 matches)

40 permit tcp any host 2.2.2.2 eq telnet reflect cisco (245 matches)

50 permit tcp any host 30.1.1.1 eq telnet reflect cisco (138 matches)

R2#

然后我們查看一下在接口下的應(yīng)用：

interface Serial1/0

ip address 2.2.2.1 255.255.255.0

ip access-group infilter in

clock rate 64000

!

interface Serial1/1

ip address 1.1.1.2 255.255.255.0

ip access-group outfilter in

注意：內(nèi)外方向列表的應(yīng)用不一定要在同一個接口下。

Ok，我們現(xiàn)在R1上測試一下ping結(jié)果：

R1#ping 2.2.2.2

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 2.2.2.2, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 136/213/268 ms

R1#ping 30.1.1.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 30.1.1.1, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 72/164/268 ms

R1#

#p#再測試一下telnet結(jié)果：

R1#

R1#telnet 2.2.2.2

Trying 2.2.2.2 ... Open

User Access Verification

Username: test

Password:

R3#

R1#telnet 30.1.1.1

Trying 30.1.1.1 ... Open

User Access Verification

Username: test

Password:

R3#（結(jié)果全部ok，符合題目要求）

我們再在R3執(zhí)行相同的測試：

R3#

R3#ping 1.1.1.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 1.1.1.1, timeout is 2 seconds:

U.U.U

Success rate is 0 percent (0/5)

R3#ping 10.1.1.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:

U.U.U

Success rate is 0 percent (0/5)

R3#telnet 1.1.1.1

Trying 1.1.1.1 ...

% Destination unreachable; gateway or host down

R3#telnet 10.1.1.1

Trying 10.1.1.1 ...

% Destination unreachable; gateway or host down

R3#

【編輯推薦】

1. 常用思科路 由器密碼恢復(fù)經(jīng)典案例
2. 思科路由器 口令恢復(fù)辦法全解
3. 思科路由器 安全性管理
4. cisco路由器 配置ACL詳解
5. cisco路由器 啟動進(jìn)程