昆明市住房和城乡建设局网站,晋城市住房保障和城乡建设局网站,wordpress用户注册添加密码,受欢迎的医疗网站建设一、实验背景 做这个实验的原因是最近公司里上了三台小程序服务器#xff0c;由于三台服务器的端口都映射出去了#xff0c;领导要求A网段的三台服务器不能访问内网B#xff0c;C网段#xff0c;同时B、C网段内网用户可以访问A段的94、95、96服务器#xff1b; 也就是PC4\…一、实验背景 做这个实验的原因是最近公司里上了三台小程序服务器由于三台服务器的端口都映射出去了领导要求A网段的三台服务器不能访问内网BC网段同时B、C网段内网用户可以访问A段的94、95、96服务器 也就是PC4\PC5可以访问PC1\PC2\PC3,但PC1\PC2\PC3不能访问PC4\PC5.
说明真机型号交换机S5720-36C-EI,ENSP模拟器的交换机是不能实现自反ACL的所以我使用了AR系列的路由器。
二、拓扑图如下基本符合真实环境。 LSW1是没有做任何配置 AR1和AR4之间只用了简单的默认路由我的目的是ACL所以网通了就行 自反ACL自反ACL是动态生成的会根据实时的会话请求自动创建和删除规则
三、自反ACL使用说明最好看下官方资料 还有就是出入方向inbound和outbound选择自反ACL也能实现B、C网段不能访问A网段同时A网段可以访问B、C网段。
四、ACL命令配置在AR1上配置ACL作用在AR1 G0/0/1接口的出方向上 AR1 acl 3000 1、 ##允许94、95、96三台服务器的synack报文通过允许对B网段发起tcp连接进行回应。 rule 50 permit tcp source 172.17.16.94 0 destination 172.17.0.0 0.0.255.255 tcp-flag ack syn rule 60 permit tcp source 172.17.16.95 0 destination 172.17.0.0 0.0.255.255 tcp-flag ack syn rule 70 permit tcp source 172.17.16.96 0 destination 172.17.0.0 0.0.255.255 tcp-flag ack syn 2、####允许94、95、96三台服务器的synack报文通过允许对C网段发起tcp连接进行回应。 rule 71 permit tcp source 172.17.16.95 0 destination 192.168.0.0 0.0.255.255 tcp-flag ack syn rule 72 permit tcp source 172.17.16.94 0 destination 192.168.0.0 0.0.255.255 tcp-flag ack syn rule 73 permit tcp source 172.17.16.96 0 destination 192.168.0.0 0.0.255.255 tcp-flag ack syn 3、####拒绝A网段主动发起对B网段的TCP连接的syn请求报文通过。 rule 100 deny tcp source 172.17.16.95 0 destination 172.17.0.0 0.0.255.255 tcp-flag syn rule 110 deny tcp source 172.17.16.94 0 destination 172.17.0.0 0.0.255.255 tcp-flag syn rule 120 deny tcp source 172.17.16.96 0 destination 172.17.0.0 0.0.255.255 tcp-flag syn 4、####拒绝A网段主动发起对C网段的TCP连接的syn请求报文通过。 rule 121 deny tcp source 172.17.16.94 0 destination 192.168.0.0 0.0.255.255 tcp-flag syn rule 122 deny tcp source 172.17.16.95 0 destination 192.168.0.0 0.0.255.255 tcp-flag syn rule 123 deny tcp source 172.17.16.96 0 destination 192.168.0.0 0.0.255.255 tcp-flag syn 5、##拒绝94、95、96网段到B网段的echo请求报文通过防止服务器被攻击后主动发起ping连通性测试。 rule 150 deny icmp source 172.17.16.94 0 destination 172.17.0.0 0.0.255.255 icmp-type echo rule 160 deny icmp source 172.17.16.95 0 destination 172.17.0.0 0.0.255.255 icmp-type echo rule 170 deny icmp source 172.17.16.96 0 destination 172.17.0.0 0.0.255.255 icmp-type echo
6、###拒绝94、95、96网段到C网段的echo请求报文通过防止服务器被攻击后主动发起ping连通性测试。 rule 171 deny icmp source 172.17.16.94 0 destination 192.168.0.0 0.0.255.255 icmp-type echo rule 172 deny icmp source 172.17.16.95 0 destination 192.168.0.0 0.0.255.255 icmp-type echo rule 173 deny icmp source 172.17.16.96 0 destination 192.168.0.0 0.0.255.255 icmp-type echo 7、##允许其他IP的访问。 rule 200 permit ip 8#如果是拒绝BC访问A网段三台服务器同时A段三台服务器可以访问BC网段的话ACL则需要应用在inbound上ACL的源目的地址调换位置就可以。 int g 0/0/1 ##应用在G0/0/1/接口的出方向上 traffic-filter outbound acl 3000
验证 **1、PC4\PC5可以正常ping通PC\123**实验结果BC网段可以正常访问A段的三个服务器地址 2、PC1\PC2\PC3pingPC4\PC5,测试结果无法ping通A段三个服务器无法访问B、C段很好的完成了本次实验的需求。 可以在AR1上执行dis acl all 查看一下策略匹配次数
如有问题可以留言或者加群交流 478075018
