Traffic Filtering Using Reflexive Access-Lists

NOTE

  • あるIFを出る時にreflectでチェック
  • 入る時に戻りか否かを評価(evaluate)する
  • 名前付き拡張ACLしか使えない
  • reflectとevaluateの後のキーワードは同じにする
R1(config)#ip access-list extended OUT-ICMP
R1(config-ext-nacl)#permit icmp any any reflect ICMP
R1(config-ext-nacl)#permit ip any any
R1(config-ext-nacl)#exit
R1(config)#
R1(config)#ip access-list extended IN-ICMP
R1(config-ext-nacl)#evaluate ICMP
R1(config-ext-nacl)#deny icmp any any
R1(config-ext-nacl)#permit ip any any
R1(config-ext-nacl)#exit
R1(config)#
R1(config)#int fa0/0
R1(config-if)#ip access-group OUT-ICMP out
R1(config-if)#ip access-group IN-ICMP in
  • IFを通過してから指定秒以内に戻りパケットが無いと動的に作成されたエントリが削除される

ACLエントリごとにタイムアウト設定

R1(config-ext-nacl)#permit icmp any any reflect ICMP timeout

Reflexive ACL全体に同じタイムアウト設定

R1(config)#ip reflexive-list timeout

コメント