需求
- 办公区主机172.16.100.1,可以访问监控区域设备192.168.10.1,反向访问不允许。
- 办公区SW上已有较多ACL策略,要求在监控区域SW上配置。
解决办法
1.在监控区域SW,vlanif10上调用ACL,拒绝目的地址为172.16.100.0/24的流量
acl adv 3001
rule 15 deny ip destination 172.16.100.0 0.0.0.255
#
int vlan 10
ip address 192.168.10.254 255.255.255.0
packet-filter 3001 inbound
#
此时存在问题,会导致双向不通,优化ACL策略
如果在ACL中只匹配源ip或目的ip,就会双向不通,需要使用ACL中的tcp的标志位来进行匹配,实现单向访问。
acl adv 3001
rule 5 permit icmp destination 172.16.100.0 0.0.0.255 icmp-type echo-reply # 放行icmp回包
rule 10 permit tcp destination 172.16.100.0 0.0.0.255 ack 1 # 使用ACL中的tcp的标志位来进行匹配
rule 15 deny ip destination 172.16.100.0 0.0.0.255
结果验证
- 办公区域主机可以访问监控区域设备
- 监控区域设备不能访问办公区域主机
–
注:
- HCL模拟器,在vlan虚拟接口调用ACL只有inbound方向生效,outbound方向ACL不生效。
- HCL实验工程文件下载:https://download.csdn.net/download/i12344/90437791
声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。
评论(0)