利用自反ACL实现VLAN之间的单向访问
2008-03-25 22:34
393 查看
1,试验拓扑:
两台7609做核心交换,配置上N个vlan,其中vlan199的HSRP active在7609-A上,vlan208的HSRP active在7609-B上。
访问控制的需求:
1..其他网段可以访问vlan208的任何端口
2..vlan208不能访问 250 254等管理网段的任何端口
3..vlan208可以访问其他服务网段的服务端口 如80 8080 443 7001 5200 1521
4..vlan208 可以访问vlan201 的 TCP/UDP 32768--65535 udp/tcp 111 udp/tcp 2049 这些端口组成了nfs的服务
2,配置如下:
ip access-list extended tov208
permit tcp any 192.168.208.0 0.0.0.255 reflect remain timeout 120
permit udp any 192.168.208.0 0.0.0.255 reflect remain
permit ip any any
ip access-list extended fromv208
permit icmp any any
evaluate remain
deny tcp any 192.168.250.0 0.0.0.255
deny udp any 192.168.250.0 0.0.0.255
deny tcp any 192.168.254.0 0.0.0.255
deny udp any 192.168.254.0 0.0.0.255
permit tcp any any eq www
permit tcp any any eq 8080
permit tcp any any eq 443
permit tcp any any eq 7001
permit tcp any any eq 5200
permit tcp any any eq 1521
permit tcp any 192.168.201.0 0.0.0.255 eq 111
permit udp any 192.168.201.0 0.0.0.255 eq 111
permit tcp any 192.168.201.0 0.0.0.255 eq 2049
permit udp any 192.168.201.0 0.0.0.255 eq 2049
permit tcp any 192.168.201.0 0.0.0.255 gt 32767
permit udp any 192.168.201.0 0.0.0.255 gt 32767
permit ip any host 224.0.0.2
int vlan 208
ip access-group fromv208 in
ip access-group tov208 out
no ip unreachables
3,结果分析
测试成功。但是同时出现了新问题:
vlan199访问不了vlan208(在vlan199端设备上telnet 192.168.208.4 8080)
分析原因:
在7609-A上vlan199为active,vlan208为standby,所以在7609-A上,数据从vlan199到vlan208的数据匹配tov208后产生一条自反acl。但是这条acl不会同步到7609-B上去,所以回来的数据流到达vlan208后匹配不到acl,所以也就丢弃了。请注意路由器严格按照路由表来执行路由查找工作。
其实,像这样的需求可以直接用扩展ACL的established特性来解决。
ip access-list extended fromv208
permit icmp any any
permit ip any host 224.0.0.2
permit tcp any any eq 80 8080 443 7001 5200 1521
permit tcp any 192.168.201.0 0.0.0.255 eq 111 2049
permit udp any 192.168.201.0 0.0.0.255 eq 111 2049
permit tcp any 192.168.201.0 0.0.0.255 gt 32767
permit udp any 192.168.201.0 0.0.0.255 gt 32767
permit tcp any any established
deny ip any 192.168.250.0 0.0.0.255
deny ip any 192.168.254.0 0.0.0.255
!
interface Vlan208
ip access-group fromv208 in
end
注释:establishted特性通过检查TCP段头内的ACK和RST标记,如果这两个标记都没有被设置,表明源点正在向目标建立TCP连接,那么匹配不会发生。
两台7609做核心交换,配置上N个vlan,其中vlan199的HSRP active在7609-A上,vlan208的HSRP active在7609-B上。
访问控制的需求:
1..其他网段可以访问vlan208的任何端口
2..vlan208不能访问 250 254等管理网段的任何端口
3..vlan208可以访问其他服务网段的服务端口 如80 8080 443 7001 5200 1521
4..vlan208 可以访问vlan201 的 TCP/UDP 32768--65535 udp/tcp 111 udp/tcp 2049 这些端口组成了nfs的服务
2,配置如下:
ip access-list extended tov208
permit tcp any 192.168.208.0 0.0.0.255 reflect remain timeout 120
permit udp any 192.168.208.0 0.0.0.255 reflect remain
permit ip any any
ip access-list extended fromv208
permit icmp any any
evaluate remain
deny tcp any 192.168.250.0 0.0.0.255
deny udp any 192.168.250.0 0.0.0.255
deny tcp any 192.168.254.0 0.0.0.255
deny udp any 192.168.254.0 0.0.0.255
permit tcp any any eq www
permit tcp any any eq 8080
permit tcp any any eq 443
permit tcp any any eq 7001
permit tcp any any eq 5200
permit tcp any any eq 1521
permit tcp any 192.168.201.0 0.0.0.255 eq 111
permit udp any 192.168.201.0 0.0.0.255 eq 111
permit tcp any 192.168.201.0 0.0.0.255 eq 2049
permit udp any 192.168.201.0 0.0.0.255 eq 2049
permit tcp any 192.168.201.0 0.0.0.255 gt 32767
permit udp any 192.168.201.0 0.0.0.255 gt 32767
permit ip any host 224.0.0.2
int vlan 208
ip access-group fromv208 in
ip access-group tov208 out
no ip unreachables
3,结果分析
测试成功。但是同时出现了新问题:
vlan199访问不了vlan208(在vlan199端设备上telnet 192.168.208.4 8080)
分析原因:
在7609-A上vlan199为active,vlan208为standby,所以在7609-A上,数据从vlan199到vlan208的数据匹配tov208后产生一条自反acl。但是这条acl不会同步到7609-B上去,所以回来的数据流到达vlan208后匹配不到acl,所以也就丢弃了。请注意路由器严格按照路由表来执行路由查找工作。
其实,像这样的需求可以直接用扩展ACL的established特性来解决。
ip access-list extended fromv208
permit icmp any any
permit ip any host 224.0.0.2
permit tcp any any eq 80 8080 443 7001 5200 1521
permit tcp any 192.168.201.0 0.0.0.255 eq 111 2049
permit udp any 192.168.201.0 0.0.0.255 eq 111 2049
permit tcp any 192.168.201.0 0.0.0.255 gt 32767
permit udp any 192.168.201.0 0.0.0.255 gt 32767
permit tcp any any established
deny ip any 192.168.250.0 0.0.0.255
deny ip any 192.168.254.0 0.0.0.255
!
interface Vlan208
ip access-group fromv208 in
end
注释:establishted特性通过检查TCP段头内的ACK和RST标记,如果这两个标记都没有被设置,表明源点正在向目标建立TCP连接,那么匹配不会发生。
相关文章推荐
- 利用多层交换机实现不同VLAN之间的通信
- 利用nat实现单向访问
- 利用路由器实现不同VLAN间的访问
- 利用三层交换机实现不同VLAN间的访问
- 利用路由器实现不同VLAN间的访问
- 利用自反ACL实现对内外网访问的控制
- 利用路由器实现单层交换机不同VLAN之间的互通
- 利用三层交换机实现不同VLAN间的访问
- 利用单个三层交换机实现不同vlan和不同网段之间互通(华为和cisco)
- 利用单个三层交换机实现不同vlan和不同网段之间互通(华为和cisco)
- 利用路由器实现不同VLAN间的访问
- 线程之间利用信号量协调对共享资源访问的c++代码实现
- 使用自反ACL实现单向访问控制
- H3c S5500-EI交换机利用ACL实现TCP单向访问的配置
- 三层交换机上配置DHCP中继和实现vlan之间的互通。 推荐
- 实现DHCP应用到不同Vlan中的计算机访问公网的Web服务器
- 如何利用局域网来实现VLAN的实例
- 利用PHP访问数据库_实现分页功能与多条件查询功能的示例
- 利用Objective-C的反射机制和运行时特性实现类静态方法的动态访问(二)
- VC中利用多线程技术实现线程之间的通信