Relfexive access-listの注意点

relfexive access-list とは内部ネットワークから発したトラヒクのみを外部から帰ってくるのを許可するテクノロジで、ワークブックでもかなり多く出ているので実際の試験も出る可能性が大きい。

しかし、relfexive access-list を設定するとには注意すべきことがいつくかがある。まずは外部ネットワークのルーティングプロトコルを内側ネットワークへ許可しないといけません。これを忘れるとラボ前半で確認できたIP Reachabilityの部分の点数が全て失うことになる。

次に、注意しないといけないのはrelfexive access-list を設定したルータ自身から発したパケットはrelfexive access-list からスルーされる。つまりrelfexive access-list を設定したルータから外部ネットワークのルータに対してtelnetやpingが成功しないことなる。対処方法の１つとしてLocal PBRを使います。

relfexive access-list を設定したルータから発したtelnetやpingパケットを一旦ループバックインターフェースへ流してから外部ネットワークへ流す。こうすることでこれらのパケットはrelfexive access-listからスルーされずに済むわけ。

interface Serial1/2
 ip address 192.168.1.3 255.255.255.0
 ip access-group INN in
 ip access-group OUB out
 encapsulation ppp
 clock rate 64000
!
router ospf 1
 log-adjacency-changes
 network 0.0.0.0 255.255.255.255 area 0
!
ip local policy route-map LOCAL
no ip http server
ip classless
!
!
!
ip access-list extended INN
 permit ospf any any
 evaluate REF
ip access-list extended OUB
 permit tcp any any reflect REF
 permit udp any any reflect REF
 permit icmp any any reflect REF
access-list 101 permit tcp any any eq telnet
access-list 102 permit icmp any any
!
route-map LOCAL permit 10
 match ip address 101
 set interface Loopback0
!
route-map LOCAL permit 20
 match ip address 102
 set interface Loopback0