自反访问列表

默认情况下，访问列表并不记录会话信息。访问列表由一系列允许或禁止的规则组成，这些规则会从上到下被逐一检查。如果某个条件得到满足，那么该规则就会被执行，而不会继续检查其他条件。
对于非常小的办公室来说，使用反射式访问列表可以作为一种状态检测防火墙。这种方式只允许来自网络内部的数据包通过，而拒绝来自网络外部的所有数据包。
自反访问控制列表 – 
反射式访问列表是一种只允许来自网络内部（即从外部网络发起的会话）的数据包进行回复的访问列表。
工作—— 
当会话在网络内启动后，如果它通过路由器离开网络（即使用反射式访问列表），那么反射式访问列表就会被触发。这样，对于在网络内发起的流量，系统会创建一个临时记录。而只有来自外部网络的流量才会被允许进入该网络，这些流量都是属于该会话的一部分。当会话结束时，这个临时记录也会被删除。
临时入境的特征—— 
 

1. 该条目中指定的源地址和目的地址与原始出站数据包中的地址相同。不过，当数据包来自网络外部时，这两个地址会互换。
2. 这些数据包的源端口号和目标端口号应与原始出站数据包相同。不过，当这些数据包来自网络外部时，其源端口号和目标端口号会互换。
3. 该数据包的传输协议应与原始出站数据包的协议相同。
    

反射式访问列表的特性—— 
 

1. 反射式访问列表应该被嵌套在名为“Extended Access-list”的列表中。
2. 它不能直接应用于某个接口上。
3. 当会话开始时，会生成一个临时入口；而当会话结束时，这个临时入口也会自动被销毁。
4. 在Access-list的末尾并没有包含“隐含拒绝”的语句。
5. 就像普通的访问列表一样，如果某个条件得到满足，那么就不会再评估其他的条目了。
6. 无法使用带有编号的Access-list来定义反射型Access-list。
7. 无法使用带有名称或编号的标准访问控制列表来定义自反访问控制列表。
    

配置 – 
 

这里有两台路由器：router1，其IP地址为10.1.1.1/24，位于fa0/0接口上；另一个路由器的IP地址为11.1.1.1/24，位于fa0/1接口上。还有PC1和PC2，它们的IP地址分别为10.1.1.2/24和12.1.1.2/24。首先，我们需要通过EIGRP协议向所有路由器分配路由信息，这样PC们就能互相通信了。
在 router1 上配置 EIGRP：
 

router1(config)#router Eigrp 100router1(config-router)#network 10.1.1.0router1(config-router)#network 11.1.1.0router1(config-router)#No auto-summary

在路由器2上配置EIGRP：
 

router2(config)#router Eigrp 100router2(config-router)#network 11.1.1.0router2(config-router)#network 12.1.1.0router2(config-router)#No auto-summary

现在，我们将允许来自网络内部（10.1.1.0网络）的IP、TCP和UDP流量通过。同时，我们也会评估来自网络外部（12.1.1.0和11.1.1.0网络）的流量。为此，我们需要为进入网络内部的流量创建一个名为“reflexive”的访问列表。
 

router1(config)#ip Access-list extended reflexive router1(config-ext-na)#permit ip any any reflect ip_databaserouter1(config-ext-nacl)#permit tcp any any reflect tcp_databaserouter1(config-ext-nacl)#permit udp any any reflect udp_database

在这里，我们允许了IP、TCP和UDP流量的传输，并将它们分别命名为ip_database、tcp_database和udp_database。
注意： 
在这里，“Reflexive”是这个访问控制列表的名称，而不是一个关键字。现在，将该访问控制列表应用于路由器1的int fa0/1接口的出站方向，这样，从路由器出来的流量就可以被允许了。
 

router1(config)#int fa0/1router1(config-if)#ip access-group reflexive out

现在，我们需要为进入网络的流量应用一个访问列表。只有由内部网络（10.1.1.0）发起的流量才被允许进入网络。
 

router1(config)#ip access-list extended reflexive_inrouter1(config-ext-nacl)#permit Eigrp any anyrouter1(config-ext-nacl)#evaluate tcp_databaserouter1(config-ext-nacl)#evaluate udp_databaserouter1(config-ext-nacl)#evaluate ip_database 

在这里，我们允许了EIGRP流量的传输，这样路由器之间才能实现通信。否则，任何流量都无法回到以太网网络中。
我们已经对udp_databse、ip_database和tcp_database进行了评估，以确保能够允许那些在网络内部发起的流量（无论是TCP、UDP还是IP类型的流量）。现在，将这一机制应用到内网中的接口fa0/1上。因为进入该接口的流量也需要经过相应的处理。
 

router1(config)#int fa0/1router1(config-if)#ip access-group reflexive_in in

在这里，reflexive_in就是该Access-list的名称。
优点——反射式访问列表的优点包括：
 

• 易于实施。
• 能够更灵活地控制来自外部网络的流量。
• 能够保护系统免受某些DoS攻击以及欺骗行为的侵害。
   

缺点/不利之处： 
 

• 有些应用程序需要使用动态端口，但这种情况下可能会出现故障。对于反射型Access-list来说，源端口和目的端口应该是固定的。