反射访问列表

访问列表默认情况下不记录会话。组成访问列表的许多允许和拒绝规则是从上到下读取的。如果满足任何条件，则不会满足其他条件，因此会执行该规则。

对于非常小的网络，反射访问列表充当有状态防火墙，仅允许从网络内部发起的流量，同时阻止来自外部的其他数据包。

反射访问列表 -

反射访问列表是一个访问列表，它只接受对已启动的网络会话（来自外部网络）的数据包的响应。

反射访问列表的工作原理 -

当一个会话在网络内部启动并经路由器（运行反射访问列表）离开网络时，反射访问列表将被激活。因此，它为源自内部网络的数据流量创建一个临时条目，并且仅允许对该会话至关重要的外部流量（在网络内部生成的数据流量）。会话结束后，此临时条目将被删除。

临时条目特征 -

• 条目中的源和目标地址与出站数据包（离开网络的数据包）中的源和目标地址相同，但当数据包从外部网络到达时，它们是颠倒的。
• 即使在从外部网络到达时颠倒了，条目也应包含与原始出站数据包相同的源和目标端口号。
• 条目应使用与出站数据包相同的协议。

反射访问列表的特征 -

• 指定的扩展访问列表应包含反射访问列表。
• 无法直接应用于接口。
• 会话开始后，会创建一个临时条目，并在会话结束时自动删除。
• 访问列表末尾没有隐含的拒绝规则。
• 与标准访问列表类似，如果满足其中一个条件，则不再考虑其他条目。
• 使用编号访问列表，无法定义反射访问列表。
• 命名或编号的标准访问列表无法定义反射访问列表。

配置 -

有两个路由器：router1（IP 地址：fa0/0 上的 10.1.1.1/24 和 fa0/1 上的 11.1.1.1/24），router2（IP 地址：fa0/0 上的 11.1.1.2/24 和 fa0/1 上的 12.1.1.1/24）和两台 PC（IP 地址分别为 10.1.1.2/24 和 12.1.1.2/24）。为使 PC 之间能够 ping 通，我们将首先使用 EIGRP 为所有路由器提供路由。

在 router1 上配置 Eigrp

在 router2 上配置 Eigrp

此时，我们将允许来自网络内部（10.1.1.0 网络）的 IP、TCP 和 UDP 流量，并评估来自外部网络（12.1.1.0 和 11.1.1.0 网络）的流量。为离开的内部流量创建一个名为“reflexive”的访问列表。

此处，允许 IP、TCP 和 UDP 通信，并分别将其指定为 ip 数据库、tcp 数据库和 udp 数据库。

在这种情况下，Reflexive 不是关键字；它是访问列表的名称。现在将此访问列表应用于 router1 的 int fa0/1 的出站方向，以便允许离开路由器的流量。

现在为内部网络流量（也称为入站流量）应用一个访问列表。只允许从内部（10.1.1.0）网络发起的通信进入。

由于我们启用了 Eigrp 流量，路由器应该能够相互通信；否则，将没有任何流量能够返回到外部网络。

为了允许通过 TCP、UDP 或 IP 在内部网络发起的流量，我们已经评估了 udp 数据库、ip 数据库和 tcp 数据库。现在将其应用于接口 fa0/1 的内部方向，以便可以评估传入流量。

在这种情况下，访问列表称为 reflexive in。

好处 -

反射访问列表具有以下好处：

• 易于实现
• 对来自外部网络的流量提供了更强的控制。
• 提供针对特定拒绝服务攻击和欺骗的保护。

缺点

• 某些应用程序使用动态端口，这增加了失败的风险，因为反射访问列表需要静态的源和目标端口。