- Đặc điểm:
ACLs này chỉ đc tạo bởi Extend Name ACLs không đc tạo bởi Numbering hay Standard Name ACL
- Ứng dụng:
Được sử dụng để cho phép các IP traffic từ bên
ngoài của session mà khởi tạo từ bên trọng nội mạng và ngăn những IP traffic khởi tạo session
từ mạng bên ngoài. ACLs này sẽ xem xét gói tin gởi ra ngoài nếu là gói khởi tạo
session nó tự động thêm vào một
outbound entry để cho phép traffic trả lời về. Rèflexive ACLs có thể lọc
session tốt hơn thay vì chỉ ACK và RST bit như câu lệnh permit…established. Rèflexive lọc cả địa chỉ nguồn,
đích, port, ACK và RST bit của gói tin. Ngoài ra, session filtering sử
dụng những bộ lọc tạm thời cái mà được xóa khi một session kết thúc.
This
procedure automatically permits returning traffic for symmetric flows. It will
not work for “non-standard” TCP applications, which are complicated protocols
such as RCP, TFTP, and H323, which open dynamic channels with no way for a
router to predict their behavior.
Cách tạo Reflexive ACLs:
Ví dụ
Cau
hinh R4 sao cho:
+
L0 cua R5 khong the ping duoc L0 cua R6
+
L0 cua R5 ping duoc L0 cua R6 khi R6 thuc hien ping den L0 R5
+
Cấu hình ACLs cho phép ICMP và TCP traffic cả chiều inbound và outbound nhưng
chỉ cho phép nếu gói tin đầu tiên của session bắt nguồn từ mạng nội bộ. Tất cả
các traffic khác sẽ bị cấm. Reflexive ACLs được gán trên interface f0/1.
+
Các bước cấu hình:
Step 1: Tạo một Extend name ACLs để cho phép
các traffic đi ra ngoài Internet
ip access-list
extended LOCAL
permit udp any any eq rip
permit icmp any any reflect STA
|
Step 2: Tạo một Extend name ACLs để chứa
Reflexive ACLs tự động được tạo ra khi có gói outbound match với Name ACLs ở
bước 1.
ip access-list
extended INTERNET
permit udp any any eq rip
evaluate STA
deny
ip any any log
|
Step 3: Gán các name ACLs cho interface
interface
fasthernet0/1
ip address 204.12.1.4 255.255.255.0
ip access-group OUTBOUND in
interface
Serial0/0
ip address 155.1.45.4 255.255.255.0
ip access-group INTERNET in
|
#ip reflexive-list timeout {seconds} - Changes global timeout value for temporary
reflexive ACEs
TEST:
thuc hien ping tu R5 toi L0 R6.
Ping L0 R5 tu R6 voi
source L0.
Kiem tra R4:
R4 tao ra mot access-list cho phep L0 R5 ping toi L0
R6. trong khoang thoi gian "time left"
5.6. Time-based ACLs
- Đặc điểm: chức năng tương tự extended ACLs, nhưng chúng cho phép điều khiển truy cập dựa vào thời gian
- Ứng dụng: Dùng để lọc gói tin dựa vào nhiều thông tin như Exended ACLs và dựa vào cả thông tin về thời gian.
- Cách tạo Time-based ACLs:
Ví dụ: Thiết lập ACLs cho phép một kết
nối Telnet được cho phép từ inside network tới the outside network vào Monday,
Wednesday, and Friday trong suốt giờ hành chánh.
+
Các bước cấu hình:
Step
1. Định nghĩa khoảng thời gian để thi hành ACLs và đặt cho nó một cái
tên.(khoảng thời gian này phụ thuộc vào giờ hệ thống trên router, chức năng này
làm việc tốt với sự đồng bộ thời gian của giao thức Network Time Protocol (NTP)
nhưng lúc này đồng hồ của router không được sử dụng. )
Step
2. Áp dụng khoảng thời gian này cho ACLs
Step
3. ÁP dụng ACL cho interface.
No comments:
Post a Comment