單向訪問控制列表
⑴ acl兩個網段禁止互訪是單項的嗎
禁止。
路由器和交換機之間的數據交換是雙向的,也就是說做不到單向的訪問。
ACL簡介:訪問控制列表ACL(AccessControlList)是由一條或多條規則組成的集合。所謂規則,是指描述報文匹配條件的判斷語句,這些條件可以是報文的源地址、目的地址、埠號等。ACL本質上是一種報文過濾器,規則是過濾器的濾芯。設備基於這些規則進行報文匹配,可以過濾出特定的報文,並根據應用ACL的業務模塊的處理策略來允許或阻止該報文通過。
⑵ 用ACL做VLAN間單向互訪
你好,
以下配置及說明以Cisco配置為前提。
因為通信是相互的,所以Cisco設備中的ACL在應用中默認是雙向限制的。
如何按需實現單向訪問?即不能讓B訪問A,但允許A訪問B。
假設A和B屬於不同的Vlan,Vlan間的路由通過三層交換機實現。
此時有兩種方法實現單向訪問控制:
1)在三層交換機上做Vlan-Filter;
2)利用reflect做ACL。
基於你的拓撲結構,是採取單臂路由來實現Vlan間的通信,所以只能採取方法2,並在路由器做配置。
配置如下:(兩步)
//第一步:建立訪問控制列表
ip access-list extended ACL-inbound //「ACL-inbound」是自定義的ACL名稱
//我並不阻止Vlan10內部的主機訪問外網,為什麼還要建立Vlan10站內的ACL呢?
//這是因為在這里要指定「reflect」策略,在制定站外策略(Vlan20訪問Vlan10)時需要用到!
permit ip host 192.168.10.2 host 192.168.20.2 reflect ACL-Ref
//指定一個reflect策略,命名為「ACL-Ref」,在制定站外ACL時要用到
permit ip any any //允許站內任意主機到站外任意地址的訪問,必配,否則Vlan10其他主機無法出站訪問!
ip access-list extended ACL-outbound //站外訪問控制策略
evaluate ACL-Ref //允許前面定義的reflect策略(ACL-Ref)中指定通信的返回數據
deny ip host 192.168.20.2 host 192.168.10.2 //阻止192.168.20.2訪問192.168.10.2
permit ip any any //允許站外其他任意主機訪問Vlan10內的任意主機
//第二步:埠應用ACL
interface fa0/0.1 //進入Vlan10的通信埠配置
ip address 192.168.10.1 255.255.255.0
ip access-group ACL-inbound in //應用站內訪問控制策略「ACL-inbound」
ip access-group ACL-outbound out //應用站外訪問控制策略「ACL-outbound」
以上,供參考。
⑶ 怎樣配置思科路由器自反ACL 實現網段之間單向訪問
1、配置路由器,並在R1、R3上配置默認路由確保IP連通性。
R1(config)#interface s0/0/0
R1(config)#ip address 192.168.12.1 255.255.255.0
R1(config)#no shutdown
R1(config)#interface g0/0
R1(config)#ip address 172.16.1.1 255.255.255.0
R1(config)#no shutdown
R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.12.2
R2(config)#interface s0/0/0
R2(config)#ip address 192.168.12.2 255.255.255.0
R2(config)#no shutdown
R2(config)#interface s0/0/1
R2(config)#ip address 202.210.23.2 255.255.255.0
R2(config)#no shutdown
R3(config)#interface loopback 0
R3(config)#ip address 3.3.3.3 255.255.255.0
R3(config)#no shutdown
R3(config)#interface s0/0/1
R3(config)#ip address 202.210.23.3 255.255.255.0
R3(config)#no shutdown
R3(config)#ip route 0.0.0.0 0.0.0.0 202.210.23.2
2、在路由器R2上配置自反ACL
R2(config)#ip access-list extended ACLOUT
R2(config-ext-nacl)#permit tcp any any reflect REF //定義自反ACL
R2(config-ext-nacl)#permit udp any any reflect REF
R2(config)#ip access-list extended ACLIN
R2(config-ext-nacl)#evaluate REF //評估反射
R2(config)#int s0/0/1
R2(config-if)#ip access-group ACLOUT out
R2(config-if)#ip access-group ACLIN in
PS:(1)、自反ACL永遠是permit的;
(2)、自反ACL允許高層Session信息的IP包過濾;
(3)、利用自反ACL可以只允許出去的流量,但是阻止從外部網路產生的向內部網路的流量,從而可以更好地保護內部網路;
(4)、自反ACL是在有流量產生時(如出方向的流量)臨時自動產生的,並且當Session結束條目就刪除;
(5)、自反ACL不是直接被應用到某個介面下的,而是嵌套在一個擴展命名訪問列表下的。
3、調試
(1)同時在路由器R1和R3都打開TELNET服務,在R1(從內網到外網)TELNET路由器R3成功,同時在路由器R2上查看訪問控制列表:
R2#show access-lists
Extended IP access list ACLIN
10 evaluate REF
Extended IP access list ACLOUT
10 permit tcp any any reflect REF
20 permit udp any any reflect REF
Reflexive IP access list REF
permit tcp host 202.210.23.3 eq telnet host 192.168.12.1 eq 11002 (48 matches) (time left 268)
//以上輸出說明自反列表是在有內部到外部TELNET流量經過的時候,臨時自動產生一條列表。
(2)在路由器R1打開TELNET 服務,在R3(從外網到內網)TELNET路由器R1不能成功,同時在路由器R2上查看訪問控制列表:
R2#show access-lists
Extended IP access list ACLIN
10 evaluate REF
Extended IP access list ACLOUT
10 permit tcp any any reflect REF
20 permit udp any any reflect REF
Reflexive IP access list REF
⑷ 如何使用acl進行vlan間的限制
你好,
以下配置及說明以Cisco配置為前提。
因為通信是相互的,所以Cisco設備中的ACL在應用中默認是雙向限制的。
如何按需實現單向訪問?即不能讓B訪問A,但允許A訪問B。
假設A和B屬於不同的Vlan,Vlan間的路由通過三層交換機實現。
此時有兩種方法實現單向訪問控制:
1)在三層交換機上做Vlan-Filter;
2)利用reflect做ACL。
基於你的拓撲結構,是採取單臂路由來實現Vlan間的通信,所以只能採取方法2,並在路由器做配置。
配置如下:(兩步)
//第一步:建立訪問控制列表
ip access-list extended ACL-inbound //「ACL-inbound」是自定義的ACL名稱
//我並不阻止Vlan10內部的主機訪問外網,為什麼還要建立Vlan10站內的ACL呢?
//這是因為在這里要指定「reflect」策略,在制定站外策略(Vlan20訪問Vlan10)時需要用到!
permit ip host 192.168.10.2 host 192.168.20.2 reflect ACL-Ref
//指定一個reflect策略,命名為「ACL-Ref」,在制定站外ACL時要用到
permit ip any any //允許站內任意主機到站外任意地址的訪問,必配,否則Vlan10其他主機無法出站訪問!
ip access-list extended ACL-outbound //站外訪問控制策略
evaluate ACL-Ref //允許前面定義的reflect策略(ACL-Ref)中指定通信的返回數據
deny ip host 192.168.20.2 host 192.168.10.2 //阻止192.168.20.2訪問192.168.10.2
permit ip any any //允許站外其他任意主機訪問Vlan10內的任意主機
//第二步:埠應用ACL
interface fa0/0.1 //進入Vlan10的通信埠配置
ip address 192.168.10.1 255.255.255.0
ip access-group ACL-inbound in //應用站內訪問控制策略「ACL-inbound」
ip access-group ACL-outbound out //應用站外訪問控制策略「ACL-outbound」
以上,供參考。
⑸ IP訪問列表的一般配置.. 只允許單個PC1訪問網路 怎麼設置
如一樓所說,可以使用Vlan訪問控制策略(Vlan-Filter)來實現Vlan間的訪問控制。
而根據你的應用,因為限制的是雙向的通信,例如Vlan3與Vlan8不能互訪,所以單純使用ACL就可以了,並且配置簡單;
如果是單向的控制,例如Vlan3可訪問Vlan8,而Vlan8不能訪問Vlan3,此時就可以用到Vlan-Filter。
以下方法是單純地利用ACL來實現VLAN間的訪問控制,配置如下:
假設VLAN地址劃分如下:
Vlan2:192.168.2.1/24
Vlan3:192.168.3.1/24
Vlan4:192.168.4.1/24
Vlan5:192.168.5.1/24
Vlan6:192.168.6.1/24
Vlan7:192.168.7.1/24
Vlan8:192.168.8.1/24
第一步:VLAN間路由
3560(config)#ip routing
//使得VLAN間互訪,若不制定,就不能實現Vlan2與其他Vlan的互訪
第二步:ACL制定
ip access-list standard V3 //制定ACL命名為"V3"
permit 192.168.2.0 0.0.0.255 //允許192.168.2.0/24網段,其他網段則默認禁止
ip access-list standard V4
permit 192.168.2.0 0.0.0.255
ip access-list standard V5
permit 192.168.2.0 0.0.0.255
ip access-list standard V6
permit 192.168.2.0 0.0.0.255
ip access-list standard V7
permit 192.168.2.0 0.0.0.255
ip access-list standard V8
permit 192.168.2.0 0.0.0.255
//V3、V4...V8策略分別要應用於Vlan3、Vlan4...Vlan8中,Vlan2的訪問沒有限制
//ACL策略一旦應用了,未註明的都是默認禁止的,所以這里只寫出允許Vlan2的地址段,其他地址段的通信都是默認禁止的
第三步:ACL應用到Vlan中
interface Vlan2
ip address 192.168.2.1 255.255.255.0 //Vlan2沒有ACL策略
!
interface Vlan3
ip address 192.168.3.1 255.255.255.0
ip access-group V3 out //將訪問控制列表「V3」應用到Vlan3中,針對的是來自Vlan3以外的通信,所以選擇「out」
!
interface Vlan4
ip address 192.168.4.1 255.255.255.0
ip access-group V4 out
!
interface Vlan5
ip address 192.168.5.1 255.255.255.0
ip access-group V5 out
!
interface Vlan6
ip address 192.168.6.1 255.255.255.0
ip access-group V6 out
!
interface Vlan7
ip address 192.168.7.1 255.255.255.0
ip access-group V7 out
!
interface Vlan8
ip address 192.168.8.1 255.255.255.0
ip access-group V8 out
⑹ 區域網跨網段單向訪問
最簡單的方式是在路由器中作NAT,因為NAT是單向的
就是說192.168.0.1段IP訪問192.168.1.1段IP時,路由啟用NAT轉換
⑺ cisco 訪問控制列表ACL怎麼寫
非常簡單的需求:
vlan 3的網段的子網掩碼,我就當做是255.255.255.0了,具體的根據你自己的情況修改
access-list 100 permit ip 10.0.0.0 0.0.0.255 192.168.2.0 0.0.0.255//////這條允許vlan3隻能訪問vlan2,如果你不需要vlan3能出外網,那麼這樣一條就夠了,但是如果你需要vlan3不同訪問其他幾個vlan的同時,還要能出外網,那麼下面的4條一定要加!!!!
access-list 100 deny ip 10.0.0.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 100 deny ip 10.0.0.0 0.0.0.255 192.168.4.0 0.0.0.255
access-list 100 deny ip 10.0.0.0 0.0.0.255 192.168.5.0 0.0.0.255
access-list 100 permit ip any any
int vlan 3/////進入vlan3的SVI介面
ip access-group 100 in/////把acl調用到流量入方向
access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255////這條允許vlan2隻能訪問vlan1,剩下幾條與上面同理
access-list 101 deny ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255
access-list 101 deny ip 192.168.2.0 0.0.0.255 192.168.4.0 0.0.0.255
access-list 101 deny ip 192.168.2.0 0.0.0.255 192.168.5.0 0.0.0.255
access-list 101 permit ip any any
int vlan 2
ip access-group 101 in/////與上面的同理
剩下的幾個vlan默認即可,就能達到需求了
你的描述需求里有一條:「vlan1,vlan4,vlan5不能訪問vlan3」
但是我要告訴你vlan1,vlan4,vlan5不能訪問vlan3的同時,也都不能訪問vlan2
因為你的需求里有一句「vlan2隻能訪問vlan1」。
所以根據邏輯來說,你的需求應該是:vlan1,vlan4,vlan5不能訪問vlan3和vlan2
這樣會比較嚴謹
另外,在你寫的時候建議使用命名訪問控制列表(ip access-list ),這樣看起來能更直觀的描述每條ACL和對應的流量限制!
純手打,不懂還可以繼續問
⑻ 跨網段單向訪問
一般用3層設備就可以實現 比如2個路由器或路由器加2層交換機做單臂路由 一般家用路由器是達不到這個功能的 企業級路由器可以實現 利用訪問控制列表ACL access-list 100 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 然後在路由器介面或子介面上做應用就可以了
具體方法參考CISCO路由器ACL配置說明
ACL不管單向或雙向都能實現 通過埠控制就可以了
⑼ 請分析訪問控制列表(ACL)與包過濾防火牆的區別
ACL一般用在交換機和路由器上,應用的時候是有方向的(入方向或者出方向),我們知道數據包是有來有回的,acl只能做到單向訪問限制。比如交換機上配了2個vlan,vlan10和vlan20,vlan10的192.168.10.1訪問vlan20的192.168.20.1,如果在vlan10上啟用acl應用在inbound方向,策略為允許192.168.10.1訪問192.168.20.1,然後又在vlan20上啟用acl應用在inbound方向,策略為192.168.20.1拒絕訪問192.168.10.1。這種情況下其實兩邊都是不通的。應為從192.168.10.1ping192.168.20.1去的時候是可以到達的,但是回來的時候就讓vlan20上的acl給阻止了。
但是如果交換機換成防火牆就不一樣了,防火牆是基於5元組的包過濾的方式實現的訪問控制,如果是上面同樣的配置,那麼結果就是192.168.10.1能訪問192.168.20.1,反過來就不通了。
因為192.168.10.1去訪問192.168.20.1的時候這條會話會別標記,能去就能會,這是跟acl的本質區別,能記錄數據的來回,而acl做不到。
手打,謝謝。