实训二十四：交换机单向访问控制的配置

本文链接：https://blog.csdn.net/weixin_60462069/article/details/127152431

一、实验目的

1、了解实现单向访问控制；

二、应用环境

1、单向访问控制 — 允许 A 网段的用户可以访问 B 网段的 tcp 应用，而 B 网段不能访问 A 网段的 tcp 应用。适用于某些有特殊要求的场合。譬如：一个公司有财务部和业务部，财务部可以访问业务部的数据，但是不允许业务部的机器访问财务部的数据。

三、实验设备

1、 DCN-CS6200 交换机 1 台
2、 PC 机 4 台
3、 Console 线 1 根
4、直通网线若干根

四、实验拓扑

在这里插入图片描述

五、实验要求

1、交换机划分为两个 VLAN，VLAN 100 和 VLAN 200：

在这里插入图片描述

2、正确配置四台机器的 IP 地址，子网掩码和网关

在这里插入图片描述

3、PC2 可以访问到 FTP-SERVER1，但同时 PC1 不能访问到 FTP-SERVER2，实现了 VLAN200 到 VLAN100 的单向访问。

六、实验步骤

第一步：交换机全部恢复出厂设置，配置交换机 vlan 和端口

CS6200-28X-EI(config)#vlan 100
CS6200-28X-EI(config-vlan100)#switchport interface ethernet 1/0/1-12
CS6200-28X-EI(config-vlan100)#vlan 200
CS6200-28X-EI(config-vlan200)#switchport interface ethernet 1/0/9-16
CS6200-28X-EI(config-vlan200)#exit

第二步：给 vlan 接口配置 IP 地址

CS6200-28X-EI(config)#interface vlan 100
CS6200-28X-EI(config-if-vlan100)#ip add 192.168.100.1 255.255.255.0
CS6200-28X-EI(config-if-vlan100)#interface vlan 200
CS6200-28X-EI(config-if-vlan200)#ip add 10.10.10.1 255.255.255.0

第三步：创建 ACL

CS6200-28X-EI(config)#firewall enable   ！配置访问控制列表功能开启
CS6200-28X-EI(config)#ip access-list extended test
CS6200-28X-EI(config-ip-ext-nacl-test)#deny icmp 192.168.100.0 0.0.0.255 10.10.10.0 0.0.0.255 8  ！192.168.100.0 网段 ping vlan 200 网段，ICMP 报文类型为 8 时（既 ICMP 报文为 Echo request）时会被拒绝，这样既实现了 ICMP 服务的单项控制。
CS6200-28X-EI(config)#interface ethernet 1/0/1-12
CS6200-28X-EI(config-if-port-range)#ip access-group test in  ！将所建立的访问列表应用到各个接口上

第四步：使用 ping 命令验证验证 PC 之间是否连通:

在这里插入图片描述

七、注意事项和排错

1、在 DCRS-5526S/5512GC/3926S 上,只能做到基于 TCP 的单向访问控制.对于 UDP数据无法实现单向访问控制.
2、此方法不会导致 DCRS-5526S/5512GC/3926S 受到 TCP SYN 攻击,因为交换机会直接拒绝这样的连接. 3、
TCP 三次握手建立过程: 当 TCP 连接启动时，源主机向目的主机发送TCP SYN 包，目的主机回应SYN ACK
包，源主机再向目的主机发送 ACK 确认包。这种机制被称为“TCP 三次握手”。
TCP A---------------------------------------------------TCP B

CLOSED-------------------------------------------- LISTEN
SYN-SENT --> -------------------<SEQ=100><CTL=SYN> --> SYNRECEIVED
ESTABLISHED <-- -------------<SEQ=300><ACK=101<CTL=SYN,ACK> <-- SYN-RECEIVED
ESTABLISHED -->------------- <SEQ=101><ACK=301><CTL=ACK> --> ESTABLISHED
ESTABLISHED -->------------- <SEQ=101><ACK=301><CTL=ACK> --> ESTABLISHED Basic 3-Way Handshake for Connection Synchronization

八、相关配置命令详解

配置 access-list
（1）配置数字标准 IP 访问列表
（2）配置数字扩展 IP 访问列表
（3）配置命名标准 IP 访问列表
a) 创建一个命名标准 IP 访问列表
b) 指定多条 permit 或 deny 规则表项
c) 退出访问表配置模式
（4）配置命名扩展 IP 访问列表
a) 创建一个命名扩展 IP 访问列表
b) 指定多条 permit 或 deny 规则表项
c)退出访问表配置模式
配置包过滤功能
（1）全局打开包过滤功能
（2）配置默认动作（default action）
将 accessl-list 绑定到特定端口的特定方向

在这里插入图片描述