acl 允许同网段访问_思科路由器反射 ACL 的简单用法

最新推荐文章于 2021-02-22 21:42:12 发布
最新推荐文章于 2021-02-22 21:42:12 发布
阅读量786 收藏 1
点赞数
文章标签: acl 允许同网段访问
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39868034/article/details/112204838
版权
本文介绍了如何在思科路由器上使用反射ACL实现允许A网段主动访问B网段并放行合法反向流量,同时禁止B网段主动访问A网段。详细讲解了反射ACL的工作原理、网络拓扑、配置步骤以及通过PING、TCP和UDP测试进行验证的过程。
摘要由CSDN通过智能技术生成

一、反射 ACL 简介

如果现在要求在思科路由器上通过配置 ACL 来实现以下功能:

A 网段中的主机可以主动访问 B 网段中的主机,但 B 网段中的主机不可以主动访问 A 网段中的主机。

估计很多新人的给出的答案都是:

配置一个包含「A 网段允许访问 B 网段」和「B 网段禁止访问 A 网段」这两个条目的扩展 ACL 并应用在 A 网段或 B 网段所在接口的入方向上。

虽然思路是没问题的,但这种普通的扩展 ACL 只会机械地阻止所有 B 网段到 A 网段的流量,并不能放行由于 A 网段主动访问 B 网段而产生的 B 网段到 A 网段的流量。

请记住,在正常情况下,网络通信必须是双向的!

而通过配置反射 ACL 就可以轻松地解决这个问题。

反射 ACL 会记录每个连接的状态,然后根据记录来放行合法的反向流量。

不过,反射 ACL 还是有它的局限性的。

它对于那种正反向流量特征不相同的服务(例如主动式 FTP、NFS 等正反向端口不同的服务)就无能为力了。

不这样的话,防火墙还怎么卖,对吧。

二、网络拓扑图及说明

ef9dc54bb0ba0eaa9409b1db15f1a87d.png

如上图,有 192.168.1.0/24192.168.2.0/24 两个网段。

现要求使用反射 ACL 来实现允许 192.168.1.0/24 主动访问 192.168.2.0/24,由此产生的反向流量也要被允许;但不允许 192.168.2.0/24 主动访问 192.168.1.0/24

以下路只介绍路由器反射 ACL 的配置方法。

三、配置方法

3.1 配置正向 ACL

说明
• 只有扩展命名式 ACL 才支持反射功能。 
Router(config)#ip access-list extended net1_to_net2  % 创建一个名为 net1_to_net2 的扩展 ACL
Router(config-ext-nacl)#permit ip any 192.168.2.0 0.0.0.255 reflect back_t
最低0.47元/天 解锁文章
weixin_39868034
关注
acl 允许网段访问_Cisco动态ACL实验
weixin_36149065的博客
01-03 331
一般最后一句ACL,默认语句不能匹配任何流量,需要通过条件触发,就可以工作,R1(config)#int e0/1R1(config-if)#ip add 12.1.1.1 255.255.255.0R1(config-if)#no shutdown exR1(config)#int e0/0R1(config-if)#ip add 100.1.1.254 255.255.255.0R1(con...
acl 允许网段访问_网络工程师精通篇·ACL
weixin_39747049的博客
12-31 578
我第一次认识小宋的时候,是在那次学校运动会上,我是负责给运动员递水,而她是长跑健将,班级中的绝对核心,负责1.2km的长跑和4*100接力跑。不出意外在长跑过后,她又跑到了第一名,然而如此璀璨的女孩,长相也着实不差,可身边却孤孤单单的,不说献殷勤的男孩子,即便是同龄的女孩子,也是少的可怜。我觉得刚运动完肯定很渴,于是就带了一瓶矿泉水走了过去,毕竟身为这个职位,送水是职责所在。走到她面前,我把水递给...
ACL允许某个网段的用户访问
salmonwilliam的博客
12-25 2923
R1(config)# access-list 1 deny host 192.168.20.1 R1(config)# access-list 1 deny host 192.168.20.5 R1(config)# access-list 1 permit 192.168.20.0 0.0.0.255 R1(config)# interface e0 R1(config-if)# ip ...
pid控制从入门到精通pdf_网络工程师从入门到精通通俗易懂系列 | 访问控制列表ACL原来还可以这样理解,果断收藏!...
weixin_39688170的博客
11-24 153
访问控制列表-ACL两大功能流量控制匹配感兴趣流量ACL的3P规则在每一个接口的每一个方向上,只能针对每种第三层协议应用一个ACL·每种协议一个 ACL :要控制接口上的流量,必须为接口上启用的每种协议定义相应的 ACL。·每个方向一个 ACL :一个 ACL 只能控制接口上一个方向的流量。要控制入站流量和出站流量,必须分别定义两个 ACL。·每个接口一个 ACL :一个 ACL ...
lucene 按照匹配度排序_访问控制列表-细说ACL那些事儿(ACL匹配篇)
weixin_39955142的博客
11-24 229
1 、ACL匹配机制上一期提到,ACL在匹配报文时遵循“一旦命中即停止匹配”的原则。其实,这句话就是对ACL匹配机制的一个高度的概括。当然,ACL匹配过程中,还存在很多细节。比如,ACL不存在系统会怎么处理?ACL存在但规则不存在系统会怎么处理?为了对整个ACL匹配过程展开详细的介绍,小编画了一张ACL匹配流程图,相信对大家理解ACL匹配机制能有所帮助。从整个ACL匹配流程可以看出,报文与ACL规...
思科路由器用自反访问控制列表(ACL)实现网段之间单向访问配置(设置)方法图解.docx
10-25
思科路由器用自反访问控制列表(ACL)实现网段之间单向访问配置(设置)方法图解 该文档详细讲解了如何使用思科路由器的自反访问控制列表(ACL)来实现网段之间的单向访问配置。该配置允许网络 192.168.1.0 访问...
acl拒绝网段访问dns_ACL访问控制列表)简单的配置
weixin_39924481的博客
12-19 2152
配置路由器2.Router>en 第一次密码为空Router#conf t 进入全局配置模式Router(config)#hostname HC 设置名字HC(config)#enable password ciso 设置密码明文口令HC(config)#ip ssh version 2 若要用SSH2,配置SSH的版本号HC(config)#no ip domain-lo...
acl拒绝网段访问dns_如何使用Cisco命令阻止访问特定网站
weixin_42491886的博客
02-22 3734
我最近收到一个读者的电子邮件,他希望知道如何使用Cicso IOS来屏蔽某个特定网站。他是这样写的:“我有一台Cisco 2600,平时一般 用它作为互联网服务器。现在我希望可以屏蔽某些特定网站,我该怎么做呢?”这不是一个很困难的任务——只要您知道Cisco IOS是如何工作的。这里我将指导您如何进行这项工作,并告诉您使用这种方式应当注意些什么 。步骤1:配置一个DNS服务器假设我们打算屏蔽一个名...
acl拒绝网段访问dns_ACL阻止访问特定网站
weixin_39640911的博客
12-19 4660
ACL阻止访问特定网站如何使用Cisco命令阻止访问特定网站==============================步骤1:配置一个DNS服务器假设我们打算屏蔽一个名为www.badsite.com的网站。我们并不知道该网站的具体IP地址,而且我们也不想知道。没问题——Cisco IOS会自己 把地址找出来并填上它。要做到这一点,我们需要至少在路由器上配置一台DNS服务器。若想配置一台DNS服...
怎样配置思科路由器自反ACL 实现网段之间单向访问
10-01
配置思科路由器的自反ACL(Access Control List)是一种有效的网络安全措施,主要用于限制网络流量并提高网络性能。自反ACL可以在不增加过多复杂性的前提下,实现特定的访问控制策略,比如在本例中,我们希望通过它...
acl 允许网段访问_企业实用的NAT+ACL,网工必备的技术
weixin_39812577的博客
11-30 240
一、网络地址转换(NAT,Network Address Translation)属接入广域网(WAN)技术,是一种将私有(保留)地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单,NAT不仅完美地解决了lP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。NAT的实现方式有三种,即静态转换Static ...
反射ACL详解
weixin_34218579的博客
12-20 300
反射ACL详解 详细内容见附件 转载于:https://blog.51cto.com/xuanbo/121401
对端口com2的访问被拒绝_思科访问控制列表(ACL)设置,控制网络访问
weixin_39789792的博客
11-24 1761
一、访问控制列表的作用:过滤:通过过滤经过路由器的数据包来管理IP流量分类:标识流量以进行特殊处理ACL在作用的时候有两个动作,即允许和拒绝。允许或拒绝经过路由器的数据包允许或拒绝来自路由器或到路由器的vty访问如果没有ACL,所有数据包会发往网络的所有部分。配置完以后一定要记得调用ACL访问控制列表。二、访问列表的分类:*标准 检查源地址.通常允许、拒绝的是完整的协议*扩展 检查源地址和目的地...
Cisco路由器:反向ACL
weixin_34321753的博客
01-11 606
ip access-list extended REFLECTACLINevaluate FROMINSIDEdeny ip any any log最重要的语句是evaluate,能自动根据FROMINSIDE这个反射ACL自动插入ACL允许回包。ip access-list extended REFLECTACLOUTpermit tcp any any re...
acl 允许网段访问_【网络】如何为智能接入网关添加配置访问控制?详细图文来教你!...
weixin_29957761的博客
12-31 675
您可以为指定的智能接入网关实例添加访问控制规则,允许或禁止访问控制规则内的IP地址对公网或私网的访问。操作步骤登录智能接入网关管理控制台。在左侧导航栏,选择访问控制。在访问控制页面,单击创建访问控制。设置访问控制名称,如test-11,单击确定返回访问控制页面。单击访问控制实例ID或者操作列的配置规则。单击添加访问控制规则,给访问控制实例添加ACL规则。配置说明类型私网:针对私网地址的流量设置访问...
ACL 实验
weixin_30247781的博客
05-16 632
一、环境准备 1. 软件:GNS3 2. 路由:c7200 二、实验操作 实验要求: 1、掌握标准ACL、扩展ACL的配置方法。 2、掌握命名ACL的配置方法。 3、掌握访问控制列表配置中established参数的作用。 4、掌握在命名访问控制列表中插入一条规则或删除一条规则的方法。 5、掌握反射访问控制列表的工作原理和配置方法。 6、...
ACL基础知识汇总
woxiaozhi的专栏
04-20 2145
ACL(Access Control list,访问控制列表)一般用来进行流量过滤和流量分类。 1.过滤 就是对数据包流量进行过滤,包含了防火墙的功能(应用到三层网络层),商业级的防火墙一般都需要能应用到网络上面的应用层。 过滤的两个动作:permit(允许)、deny (拒绝) ACL做过滤时都是绑定在交换机或路由器的接口(Interface)上,其中需要注意:一个接口(Interfa...
cisco ACL禁止访问某个网段的命令
最新发布
06-12
在Cisco设备中,可以通过ACL(Access Control List)来限制或允许特定的IP地址、协议或端口通过路由器或交换机。如果要禁止访问某个网段,可以使用如下命令: ``` access-list 100 deny ip <源地址> <源地址掩码> ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值