مدیریت ترافیک شبکه با استفاده از(Reflexive ACLs(IP- Session Filtering Traffics

لیست‌های كنترل دسترسی منعطف- Reflexive Access Control Lists (ACLs)- كنترل بیشتری را بر روی ترافیكی كه وارد شبكه شما می‌شوند، اعمال می‌كنند و قابلیت‌های لیست‌های دسترسی توسعه یافته(extended access lists) را افزایش می‌دهند.
مدیران شبكه از Reflexive ACLs به منظور عبور ترافیك‌IP كه در شبكه تولید شده و جلوگیری از عبور ترافیك‌ كه خارج از شبكه تولید شده، استفاده می‌‌كنند. این نوع ACL به روترها قابلیت مدیریت پویای ترافیك sessionها را می‌دهد.
روتر، آدرس مقصد ترافیك خروجی را می‌خواند ودر صورتی كه این ترافیك مربوط به یك ارتباط جدید باشد، یك سطر جدید به ACL موقت اضافه می‌كند، تا امكان برگشت جواب از طرف مقصد جدید باشد.
سطر اول اکثر لیست های دسترسی اجازه عبور به ترافیک تائید شده می باشد .این روش در مورد ترافیک های UDP یا ICMP و برنامه هایی که به طور پویا source port را تغییر می دهند کارا نمی باشد .
این سطر (اجازۂ عبور ترافیك تأیید شده)تنها بیت‌های مربوط به ACKو RST را چک می کند ولی آدرس منبع و مقصد را چک نمی کند .
Reflexive ACLs در مورد ترافیك‌های UDP و ICMP كه بیت‌های ACK و RST را ندارند، نیز كارا می‌باشد. آنها ترافیك برگشتی شناخته شده از سمت مقصدی كه به تازگی با آن ارتباط برقرار شده را مجبور به برگشت به منبع فرستنده آن می‌كنند. این امر باعث می‌شود شما كنترل بیشتری را بر روی ترافیكی كه وارد شبكه می‌شود اعمال كنید و در نتیجه قابلیت‌های لیست‌های دسترسی توسعه یافته افزایش می‌یابد.
● نحوه عملكرد Reflexive ACLs
در زیر مثالی از ACL آمده است:
▪ ip access-group inbound in
▪ ip access-group outbound out
Outbound ACL كار ارزیابی و مدیریت وضعیت sessionها را با استفاده از گزاره‌های زیر انجام می‌دهد:
▪ ip access-list extended outbound
▪ permit tcp your.network.address any reflect tcpsession
▪ permit udp your.network.address any reflect udpsession
این ACL ساده اجازه عبور به تمامی ترافیك‌های TCP و UDP خروجی را می‌دهد. و به طور پویا دو لیست منعطف برای ترافیك‌های TCP و UDP ایجاد می‌كند. از آنجایی كه این ACLمربوط به ترافیك TCP و UDP خروجی از شبكه می‌باشد، ACL موقت مربوطه، برای مدیریت session آن ساخته می‌شود. Inbound ACL ترافیك ورودی را ارزیابی می‌كند. به عنوان مثال:
▪ ip access-list extended inbound
▪ permit bgp any any
▪ Permit tcp any host your.mailserver.address eq smtp
▪ Permit tcp any host your.webserver.address eq http
▪ deny icmp any any
▪ evaluate tcpsession
▪ evaluate udpsession
وقتی شما این ACLها را به interfaceهای خارجی نسبت می‌دهید، اجازه ورود به شبكه به ترافیك‌های ورودی كه با گزاره‌های permit همخوانی دارند، داده می‌شود. ( در مثال‌ بالا به ترافیك web و mail اجازه ورود داده می‌شود.) و سایر ترافیك‌ها فیلتر می‌شوند.
به طور پیش فرض هر سطر به مدت ۳۰۰ ثانیه و یا تا زمان پایان session مربوطه در reflexive list باقی می‌ماند. به منظور افزایش این زمان از دستور زیر استفاده كنید:
▪ ip reflexive-list timeout seconds ! seconds value can be ۰ - ۲,۱۴۷,۴۸۳
● موارد كارا نبودن Reflexive ACLs
Reflexive ACLs با برنامه‌هایی كه port number ها را در طول TCP session تغییر می‌دهند كار نمی‌كنند. اگر port number یك بسته برگشتی متفاوت از port number بسته اصلی فرستاده شده باشد، reflexive ACL اجازه ورود به بسته برگشتی نمی‌دهد حتی اگر این بسته واقعا ً متعلق به session مربوطه باشد.
Active FTP یكی از برنامه‌هایی است كه port number را تغییر می‌دهد. به همین دلیل می‌بایست از Passive FTP هنگام انجام درخواست از داخل شبكه استفاده كرد.
سخن آخر اینكه هدف اصلی Reflexive ACL افزایش توانایی‌های ACL های توسعه یافته می‌باشد. آنها وضعیت session ها را ارزیابی می‌كنند ولی جایگزینی برای Firewall ها نمی‌باشند