控制两个网段ip间互访,可以用acl packfile来实现。控制互访可以在acl中加端口号吗?IP 端口号实现不同网段的互访。
(0)
最佳答案
如图4所示,某公司的网络分成管理部、研发部和服务器三个区域,通过Device设备互相连接。现要求通过ACL实现:
· Web服务器只能向管理部的主机提供HTTP服务;
· FTP服务器只能向研发部的主机提供FTP服务;
· 在主机与Web服务器之间进行通信时,仅允许由主机向服务器发起和建立TCP连接,不允许由服务器向主机发起TCP连接;在主机与FTP服务器之间进行通信时,不对TCP连接发起方进行限制。
图4 通过IP地址过滤流量配置组网图
· 为了实现主机与Web服务器之间进行通信时,仅允许由主机向Web服务器发起和建立TCP连接,需要在高级ACL的规则中,指定established参数,用于匹配TCP报文头中ACK或RST置位的报文,即在已建立的TCP连接上传输的报文。
· 由于TCP连接发起方一般使用大于1023的TCP端口号,因此,由Web服务器向主机发送的端口号大于1023、且ACK或RST位置位的报文,应视作已经存在的TCP连接,应该允许通过。其余的由Web服务器向主机发送的TCP报文都应拒绝通过。
· 要过滤FTP报文,需要同时拒绝FTP数据报文(TCP端口号20)和控制报文(TCP端口号21)通过。
· 要过滤HTTP服务,需要配置拒绝TCP目的端口号为80的报文(HTTP)通过的规则。
(1) 配置管理部的网络权限
# 创建IPv4高级ACL 3000。
<Device> system-view
[Device] acl advanced 3000
# 创建规则,允许源地址为100.1.1.1/32、目的地址为10.1.1.0/24网段、目的TCP端口号大于1023、且ACK或RST位置位的报文通过。
[Device-acl-ipv4-adv-3000] rule permit tcp established source 100.1.1.1 0 destination 10.1.1.0 0.0.0.255 destination-port gt 1023
# 创建规则,拒绝源地址为100.1.1.1/32、目的地址为10.1.1.0/24网段的TCP报文通过。
[Device-acl-ipv4-adv-3000] rule deny tcp source 100.1.1.1 0 destination 10.1.1.0 0.0.0.255
# 创建规则,拒绝源地址为101.1.1.1/32的FTP报文通过。
[Device-acl-ipv4-adv-3000] rule deny tcp source 101.1.1.1 0 source-port range 20 21
[Device-acl-ipv4-adv-3000] quit
# 配置包过滤功能,应用IPv4高级ACL 3000对端口Ten-GigabitEthernet1/0/3发出的报文进行过滤。
[Device] interface ten-gigabitethernet 1/0/3
[Device-Ten-GigabitEthernet1/0/3] packet-filter 3000 outbound
[Device-Ten-GigabitEthernet1/0/3] quit
(2) 配置研发部的网络权限
# 创建IPv4高级ACL 3001,配置规则拒绝源地址为100.1.1.1/32的HTTP报文通过。
[Device] acl advanced 3001
[Device-acl-ipv4-adv-3001] rule deny tcp source 100.1.1.1 0 source-port eq 80
[Device-acl-ipv4-adv-3001] quit
# 配置包过滤功能,应用IPv4高级ACL 3001对端口Ten-GigabitEthernet1/0/2发出的报文进行过滤。
[Device] interface ten-gigabitethernet 1/0/2
[Device-Ten-GigabitEthernet1/0/2] packet-filter 3001 outbound
[Device-Ten-GigabitEthernet1/0/2] quit
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论