ACL实现单向访问

最新推荐文章于 2025-04-13 16:40:36 发布
最新推荐文章于 2025-04-13 16:40:36 发布
阅读量8.1k 收藏 36
点赞数 1
分类专栏: linux 文章标签: tcp/ip 网络 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/guo1wu3shi4/article/details/121843397
版权
该博客讨论了如何在两个VLAN之间实现单向访问,即业务部门(VLAN10)不能访问管理部门(VLAN20),但管理部门可以访问业务部门。提供了两种配置方案:方案一利用ACL3001允许VLAN10响应TCP连接并禁止其主动访问;方案二通过ACL3002利用TCP的ACK和RST标志来控制访问权限。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

业务部门(VLAN10)

管理部门(VLAN20)

现想实现VLAN之间的单向访问(无法提前知道软件端口),也就是业务部分无法访问管理部门;管理部门可以访问业务部门

方式1:允许VLAN10响应VLAN20的TCP连接请求;不允许VLAN10访问VLAN20
acl number 3001                           
 rule 5 permit tcp source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 tcp-flag established
 rule 10 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255

traffic-filter vlan 10 inbound acl 3001

方式2:ACK和RST就是对TCP的连接请求的响应
acl number 3002         
 rule 5 permit tcp source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 tcp-flag ack
 rule 10 permit tcp source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 tcp-flag rst                 
 rule 15 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255

traffic-filter vlan 10 inbound acl 3002

使用IP ACL实现单向访问控制
weixin_33828101的博客
05-25 1608
为什么80%的码农都做不了架构师?>>> ...
eNSP无法实现单向acl么?求大神指点。
Jeanjac的博客
03-01 3871
做了vlan,nat,dhcp的实验,都没问题。最后想做一个Server2所在的Vlan2不能被其他人访问,但不影响Vlan2向外发出的流量。写了下面的命令。 Advanced ACL 3000, 3 rules Acl's step is 10 rule 10 deny tcp destination 192.168.2.0 0.0.0.255 tcp-flag syn rule 20...
安全典型配置(四)使用自反ACL实现单向访问控制案例
XMWS-IT
10-18 461
设备根据一个方向的ACL,可以自动创建出一个反方向的ACL(自反ACL),该ACL和原ACL的源IP地址和目的IP地址、源。本例,就是将高级ACL进行自反,实现内网主机能主动与Internet中的服务器建立UDP连接,但Internet中的服务器不能主动与内网主机建立UDP连接,达到内外网单向访问控制的目的。利用自反ACL,可以实现单向访问控制,比如只有当内网用户先访问了外网后才允许外网访问内网,从而能够很好的保护企业内部网络,使其使免受外部非法用户的攻击。配置高级ACL,为后续设备生成自反ACL做准备。
H3C通过配置ACL实现单向访问示例
更多内容查看博客描述。
03-03 618
如果在ACL中只匹配源ip或目的ip,就会双向不通,需要使用ACL中的tcp的标志位来进行匹配,实现单向访问。HCL模拟器,在vlan虚拟接口调用ACL只有inbound方向生效,outbound方向ACL不生效。1.在监控区域SW,vlanif10上调用ACL,拒绝目的地址为172.16.100.0/24的流量。办公区主机172.16.100.1,可以访问监控区域设备192.168.10.1,反向访问不允许。办公区SW上已有较多ACL策略,要求在监控区域SW上配置。办公区域主机可以访问监控区域设备。
访问控制列表实现网络单向访问
03-04
网络单向访问其实实现的是防火墙的基本功能:我是内网,你是外网,我能访问你,但你不能访问我。所以现在假设RouterA的E0口所连网段为内网段,RouterA S0所连的网段为外网段,还假设我想做的是内网的PC机能ping通外网RouterB的S1口,但RouterB却ping不进我的内网。用ACL实现类似的单向访问控制需要用到一种特殊的ACL,叫Reflexive ACL。Reflexive ACL的配置分为两个部分,一部分是outbound的配置,一部分是inbound的配置。
单向通信的一个小实验
pt1043的博客
11-02 1664
由路由器来控制单向通信
应用访问控制列表ACL实现网络单向访问
weixin_34061042的博客
10-19 2063
在企业网络中经常遇到这样的问题:在网络一个重要的部门的主机或服务器不允许其他部门访问,而这个部门却可以去访问其他的部门的主机或服务器。我们可以利用访问控制列表ACL实现单方向访问实现以上单向访问功能。 所谓单向访问,就是一部分网络主机可以访问另一部分网络主机,而反过来则不允许访问。对于单向访问不能简单的通过访问控制列表ACL中的deny语句来实现,deny语句可以实现A...
思科CiscoPT路由器ACL配置实现单向访问
Caijinocz的博客
11-24 3910
问题:配置路由器ACL使PC0不能访问PC1,但可以访问PC2,同时PC1仍可正常访问PC0。即实现PC1对PC0的单向访问
ACL+NAT实现PC单向访问
weixin_34320724的博客
10-22 574
作者:奇异果Wickey Email:hkb178149081@163.com 需求分析:总经理希望能较好的监控财务部门的运作,能随时在自己的电脑访问财务部的电脑,但为了安全,总经理不不希望财务部门的电脑能访问自己的电脑。(注:总经理电脑为PC1,财务部电脑为PC0) 所使用设备:一台路由器 操作平台:Cisco Packet Tracer 所使用技术:扩展A...
单向ACL
S468160201880427556的专栏
04-22 1229
 网络访问权限控制技术-ACL详解 (3)2007年01月16日 星期二 10:08基于时间的ACL  在保证了服务器的数据安全性后,领导又准备对内部员工上网进行控制。要求在上班时间内(9:00-18:00)禁止内部员工浏览internet,禁止使用QQ、MSN。而且在2003年6月1号到2号的所有时间内都不允许进行上述操作。但在任何时间都可以允许以其它方式访问Internet。天哪,这可叫人怎
网络工程师单向访问控制ACL
05-10
这篇文章详细介绍了单向是如何实现的以及其调配方法,希望可以给大家在学习上提供帮助
ACL访问控制
11-09
基于ACL细粒度访问控制 C++编写 比较简单
如何配置Cisco路由器ACL访问控制列的实际案例
10-01
主要为大家介绍了在网络正常通信后,如何配置Cisco路由器ACL访问控制列的详细步骤,以及配置的细节,需要的朋友可以参考下
vlan间单向访问控制配置实例
09-21
vlan间单向访问控制配置实例.docVLAN间单向访问控制配置实例 1. VLAN8的IP地址为192.168.8.254,VLAN9的IP地址为192.168.9.254; 2. E1/0/40- E1/0/44端口属于VLAN8,E1/0/45- E1/0/48端口属于VLAN9。
H3C通过配置ACL实现单向访问示例-HCL模拟器工程文件
02-27
配置ACL实现单向访问控制的关键步骤通常包括: 1. 定义一个或多个访问控制列表,明确允许或拒绝的数据包特征。 2. 将ACL应用到特定的接口上,通常是数据包流出的接口。 3. 确保ACL的规则顺序正确,以避免冲突或不必...
思科路由器用自反访问控制列表(ACL)实现网段之间单向访问配置(设置)方法图解.docx
10-25
4. 使用标准 ACL 实现单向访问配置 使用标准 ACL 可以实现简单的单向访问配置,但是这种方法有一定的局限性,例如无法根据端口号来过滤流量。 5. 使用扩展 ACL 实现单向访问配置 使用扩展 ACL 可以实现更加复杂的...
怎样配置思科路由器自反ACL 实现网段之间单向访问
10-01
自反ACL可以在不增加过多复杂性的前提下,实现特定的访问控制策略,比如在本例中,我们希望通过它实现内网只能访问外网,而外网无法主动访问内网。 首先,我们需要了解自反ACL的基本原理。自反ACL不同于传统的静态...
华为交换机ACL实现单向访问(客户机允许访问外部网络,禁止外部网络访问客户机)。
最新发布
qq_32897001的博客
04-13 162
interface GigabitEthernet0/0/25 (交换机上联口)rule 5 permit tcp destination 主机A 0。rule 10 deny tcp destination 主机A 0。禁止接收主机B(外部网络)发出的syn报文。允许接收syn+ack报文。允许访问外部网络,限制外部网络
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值