NOTE
- あるIFを出る時にreflectでチェック
- 入る時に戻りか否かを評価(evaluate)する
- 名前付き拡張ACLしか使えない
- reflectとevaluateの後のキーワードは同じにする
R1(config)#ip access-list extended OUT-ICMP R1(config-ext-nacl)#permit icmp any any reflect ICMP R1(config-ext-nacl)#permit ip any any R1(config-ext-nacl)#exit R1(config)# R1(config)#ip access-list extended IN-ICMP R1(config-ext-nacl)#evaluate ICMP R1(config-ext-nacl)#deny icmp any any R1(config-ext-nacl)#permit ip any any R1(config-ext-nacl)#exit R1(config)# R1(config)#int fa0/0 R1(config-if)#ip access-group OUT-ICMP out R1(config-if)#ip access-group IN-ICMP in
- IFを通過してから指定秒以内に戻りパケットが無いと動的に作成されたエントリが削除される
ACLエントリごとにタイムアウト設定
R1(config-ext-nacl)#permit icmp any any reflect ICMP timeout
Reflexive ACL全体に同じタイムアウト設定
R1(config)#ip reflexive-list timeout
コメント