Reflexive ACL

- Đặc điểm:

ACLs này chỉ đc tạo bởi Extend Name ACLs không đc tạo bởi Numbering hay Standard Name ACL

- Ứng dụng:

Được sử dụng để cho phép các IP traffic từ bên ngoài của session mà khởi tạo từ bên trọng nội mạng và ngăn những IP traffic khởi tạo session từ mạng bên ngoài. ACLs này sẽ xem xét gói tin gởi ra ngoài nếu là gói khởi tạo session nó tự động thêm vào một outbound entry để cho phép traffic trả lời về. Rèflexive ACLs có thể lọc session tốt hơn thay vì chỉ ACK và RST bit như câu lệnh permit…established. Rèflexive lọc cả địa chỉ nguồn, đích, port, ACK và RST bit của gói tin. Ngoài ra, session filtering sử dụng những bộ lọc tạm thời cái mà được xóa khi một session kết thúc.

This procedure automatically permits returning traffic for symmetric flows. It will not work for “non-standard” TCP applications, which are complicated protocols such as RCP, TFTP, and H323, which open dynamic channels with no way for a router to predict their behavior.

Cách tạo Reflexive ACLs:

Ví dụ

Cau hinh R4 sao cho:

+ L0 cua R5 khong the ping duoc L0 cua R6

+ L0 cua R5 ping duoc L0 cua R6 khi R6 thuc hien ping den L0 R5

+ Cấu hình ACLs cho phép ICMP và TCP traffic cả chiều inbound và outbound nhưng chỉ cho phép nếu gói tin đầu tiên của session bắt nguồn từ mạng nội bộ. Tất cả các traffic khác sẽ bị cấm. Reflexive ACLs được gán trên interface f0/1.

+ Các bước cấu hình:

Step 1: Tạo một Extend name ACLs để cho phép các traffic đi ra ngoài Internet

ip access-list extended LOCAL  permit udp any any eq rip  permit icmp any any reflect STA

Step 2: Tạo một Extend name ACLs để chứa Reflexive ACLs tự động được tạo ra khi có gói outbound match với Name ACLs ở bước 1.

ip access-list extended INTERNET  permit udp any any eq rip  evaluate STA  deny   ip any any log

Step 3: Gán các name ACLs cho interface

interface fasthernet0/1  ip address 204.12.1.4 255.255.255.0  ip access-group OUTBOUND in interface Serial0/0  ip address 155.1.45.4 255.255.255.0  ip access-group INTERNET in

#ip reflexive-list timeout {seconds}  - Changes global timeout value for temporary reflexive ACEs

TEST:

thuc hien ping tu R5 toi L0 R6.

Ping L0 R5 tu R6 voi source L0.

Kiem tra R4:

 R4 tao ra mot access-list cho phep L0 R5 ping toi L0 R6. trong khoang thoi gian "time left"

5.6. Time-based ACLs

• Đặc điểm: chức năng tương tự extended ACLs, nhưng chúng cho phép điều khiển truy cập dựa vào thời gian

• Ứng dụng: Dùng để lọc gói tin dựa vào nhiều thông tin như Exended ACLs và dựa vào cả thông tin về thời gian.

• Cách tạo Time-based ACLs:

Ví dụ: Thiết lập ACLs cho phép một kết nối Telnet được cho phép từ inside network tới the outside network vào Monday, Wednesday, and Friday trong suốt giờ hành chánh.

+ Các bước cấu hình:

Step 1. Định nghĩa khoảng thời gian để thi hành ACLs và đặt cho nó một cái tên.(khoảng thời gian này phụ thuộc vào giờ hệ thống trên router, chức năng này làm việc tốt với sự đồng bộ thời gian của giao thức Network Time Protocol (NTP) nhưng lúc này đồng hồ của router không được sử dụng. )

Step 2. Áp dụng khoảng thời gian này cho ACLs

Step 3. ÁP dụng ACL cho interface.