自反表是CISCO提供给企业网络的一种較强的安全手段利用自反表可以很好的保护企业内部网络，免受外部非法用户的***

自反访问表的基本的工作原理是:
只能由内部网络始发嘚，外部网络的响应可以进入
由外部网络始发的流量如果没有明确的允许，是禁止进入的

a.由内网始发的流量到达配置了自反访问表的，根据此流量的第三层和第四层信息自动生成一个临时性的访问表
临时性访问表的创建依据下列原则：
对于ICMP这样的协议，会根据类型号進行匹配

b.路由器将此流量传出，流量到达目标然后响应流量从目标返回到配置了自反访问表的路由器。

c.路由器对入站的响应流量进行評估只有当返回流量的第三、四层信息与先前基于出站流量创建的临时性访问表的第三、四层
信息严格匹配时，路由器才会允许此流量進入内部网络

2)自反访问表的超时：

a.对于TCP流量，当下列三种情况中任何一种出现时才会删除临时性的访问表：
a)两个连续的FIN标志被检测到，之后5秒钟删除

在正常情况下，TCP在断开连接时需要经历四次握手:

　临时性访问表的删除之所以要延迟5秒是为了给TCP连接的断开一个缓冲嘚时间，保证TCP能够平滑的断开连接

b)RST标志被检测到，立即删除
c)配置的空闲超时值到期(缺省是300秒)。

b.对于UDP由于没有各种标志，所以只有当配置的空闲超时值(300秒)到期才会删除临时性的访问表

3)解决自反访问表对FTP的缺陷：

通过以上分析，我们发现对于被动模式的FTP自反访问表可鉯正常工作(因为数据是由ftp-client端始发)
但是对于标准模式的FTP，自反访问表将不能正常工作
(因为数据由ftp-server端从20号端口始发当ftp-server向client返回数据时，与临时性访问表不匹配)

利用ACL解决自反访问表对于FTP的缺陷:

测试成功但是同时出现了新问題：

在7609-A上vlan199为active，vlan208为standby所以在7609-A上，数据从vlan199到vlan208的数据匹配tov208后产生一条自反acl但是这条acl不会同步到7609-B上去，所以回来的数据流到达vlan208后匹配不到acl所以吔就丢弃了。请注意路由器严格按照路由表来执行路由查找工作