ACL
- 0关注
- 1收藏,1259浏览
问题描述:
核心下联交换机
管理网段192.168.10.0/24
下联的交换机业务网段192.168.20.0/24
能否实现管理网段能访问业务网段 业务网段无法访问管理网段
组网及组网描述:
- 2021-09-15提问
- 举报
-
(0)
在业务网段网关上调用ACL,拒绝192.168.10.0网段访问192.168.20.0,inbound方向
- 2021-09-15回答
- 评论(4)
- 举报
-
(0)
是的,在不允许访问的网关上面写入方向的
emmm,我写反了
是的,在不允许访问的网关上面写入方向的
这题很容易让新手产生写个普通的acl拒绝一个方向的流量然后调用就能解决的错觉。
实际上是你要允许管理段访问业务段的话,就意味着不止要放通管理段到业务段的流量,业务段到管理段的回包也要放通,拦截哪个方向都会导致访问失败。
常规的写法不行,只能用一些特殊的写法,比如在acl里写:
rule 0 deny icmp source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255 icmp-type echo
这个利用了icmp-type这个参数,只拦截icmp的echo包,不拦截echo-reply,在业务段网关入接口方向调用后就可以实现单向ping通。
tcp的写法类似,不过udp的数据没法单向拦截。
- 2021-09-15回答
- 评论(11)
- 举报
-
(0)
你的题目是“管理网段能访问业务网段 业务网段无法访问管理网段”,你实际要的效果是“业务网段能访问业务网段 业务网段无法访问管理网段”,understand?
你的题目是“管理网段能访问业务网段 业务网段无法访问管理网段”,你实际要的效果是“业务网段能访问业务网段 业务网段无法访问管理网段”,understand?
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明