请帮帮忙,看下这个ACL设置解决方法
日期:2014-05-17 浏览次数:20989 次
请帮帮忙,看下这个ACL设置
Basic ACL 2008, 2 rules
Acl 's step is 1
rule 0 permit source 10.75.173.0 0.0.0.255
Advanced ACL 3003, 2 rules
Acl 's step is 1
rule 0 deny ip source 10.75.173.0 0.0.0.255 destination 10.66.1.0 0.0.0.255
rule 1 permit tcp source 10.75.173.0 0.0.0.255 destination 10.66.1.0 0.0.0.255
destination-port eq www
Advanced ACL 3004, 4 rules
Acl 's step is 1
rule 0 deny ip source 10.75.173.0 0.0.0.255 destination 10.66.1.0 0.0.0.255
rule 1 permit tcp source 10.75.173.128 0.0.0.31 destination 10.66.1.0 0.0.0.255
destination-port eq 1433
rule 2 permit tcp source 10.75.173.128 0.0.0.31 destination 10.66.1.0 0.0.0.255
destination-port eq 1434
rule 3 permit udp source 10.75.173.128 0.0.0.31 destination 10.66.1.0 0.0.0.255
destination-port eq 1433
Advanced ACL 3006, 2 rules
Acl 's step is 1
rule 0 deny ip source 10.75.173.0 0.0.0.255 destination 10.75.173.7 0
rule 1 deny ip source 10.75.173.0 0.0.0.255 destination 10.66.1.0 0.0.0.255
单位分了两个网段 10.75.173.* 10.66.1.* 173网段在VLAN1 66在VLAN2,主交换机用的三层交换机,其中10.75.173.9,10.75.173.7是服务器,直接插在了三层交换机接口上.
要求:66网段和173网段不能互访,但66网段都可以访问服务器173.9,173网段不能访问服务器173.7,这段ACL是别人写的,我没搞懂为什么它只限制173访问66不限制66访问173?还有它是怎么做到66网段可以访问173.9的?
------解决方案--------------------
沙發...
------解决方案--------------------
帮你顶
------解决方案--------------------
第一:看了之后有好多疑问,想问一下lz,这些ACL都用上了吗?还有就是是不是能满足lz所说的要求?
像这个:
------------------------------------------------------
Advanced ACL 3006, 2 rules
Acl 's step is 1
rule 0 deny ip source 10.75.173.0 0.0.0.255 destination 10.75.173.7 0
rule 1 deny ip source 10.75.173.0 0.0.0.255 destination 10.66.1.0 0.0.0.255
------------------------------------------------------
其中都是deny,没有permit。
在ACL的最后还隐藏了一项: rule 2 deny any any (限制所有访问)
那么这个ACL一但应用到端口上就会过滤掉所有的数据包。
(不知道是不是厂商不同,会有不一样的设定)
第二:我没看出来lz用的是谁家的设备。我对Cisco的设备略懂一点,都是网络设备,我想应该是相通的。
对lz所说的:“为什么它只限制173访问66不限制66访问173?”回答一下。
其实限制了173对66的访问,同时也能限制66对173的访问。
因为没限制66对173的访问,所以66能对173发起连接,但是173收到连接请求后发出的回应数据包被ACL过滤了(因为限制了173对66的访问),66根本收不到,因为通信的连接都是双向的。
所以效果是相同的。但是在正规的做法中不推荐采用这种做法,应该双向过滤,不然就像现在这样的66能发起对173的访问,而收不到173的回应,造成了网络上有一些多余的废数据包,占用带宽,浪费资源。
第三,lz最好把拓扑简单的描述一下,关键是把ACL的在那个端口上应用的,应用在了in还是out方向上说明一下,看了看,感觉头很晕。
Basic ACL 2008, 2 rules
Acl 's step is 1
rule 0 permit source 10.75.173.0 0.0.0.255
Advanced ACL 3003, 2 rules
Acl 's step is 1
rule 0 deny ip source 10.75.173.0 0.0.0.255 destination 10.66.1.0 0.0.0.255
rule 1 permit tcp source 10.75.173.0 0.0.0.255 destination 10.66.1.0 0.0.0.255
destination-port eq www
Advanced ACL 3004, 4 rules
Acl 's step is 1
rule 0 deny ip source 10.75.173.0 0.0.0.255 destination 10.66.1.0 0.0.0.255
rule 1 permit tcp source 10.75.173.128 0.0.0.31 destination 10.66.1.0 0.0.0.255
destination-port eq 1433
rule 2 permit tcp source 10.75.173.128 0.0.0.31 destination 10.66.1.0 0.0.0.255
destination-port eq 1434
rule 3 permit udp source 10.75.173.128 0.0.0.31 destination 10.66.1.0 0.0.0.255
destination-port eq 1433
Advanced ACL 3006, 2 rules
Acl 's step is 1
rule 0 deny ip source 10.75.173.0 0.0.0.255 destination 10.75.173.7 0
rule 1 deny ip source 10.75.173.0 0.0.0.255 destination 10.66.1.0 0.0.0.255
单位分了两个网段 10.75.173.* 10.66.1.* 173网段在VLAN1 66在VLAN2,主交换机用的三层交换机,其中10.75.173.9,10.75.173.7是服务器,直接插在了三层交换机接口上.
要求:66网段和173网段不能互访,但66网段都可以访问服务器173.9,173网段不能访问服务器173.7,这段ACL是别人写的,我没搞懂为什么它只限制173访问66不限制66访问173?还有它是怎么做到66网段可以访问173.9的?
------解决方案--------------------
沙發...
------解决方案--------------------
帮你顶
------解决方案--------------------
第一:看了之后有好多疑问,想问一下lz,这些ACL都用上了吗?还有就是是不是能满足lz所说的要求?
像这个:
------------------------------------------------------
Advanced ACL 3006, 2 rules
Acl 's step is 1
rule 0 deny ip source 10.75.173.0 0.0.0.255 destination 10.75.173.7 0
rule 1 deny ip source 10.75.173.0 0.0.0.255 destination 10.66.1.0 0.0.0.255
------------------------------------------------------
其中都是deny,没有permit。
在ACL的最后还隐藏了一项: rule 2 deny any any (限制所有访问)
那么这个ACL一但应用到端口上就会过滤掉所有的数据包。
(不知道是不是厂商不同,会有不一样的设定)
第二:我没看出来lz用的是谁家的设备。我对Cisco的设备略懂一点,都是网络设备,我想应该是相通的。
对lz所说的:“为什么它只限制173访问66不限制66访问173?”回答一下。
其实限制了173对66的访问,同时也能限制66对173的访问。
因为没限制66对173的访问,所以66能对173发起连接,但是173收到连接请求后发出的回应数据包被ACL过滤了(因为限制了173对66的访问),66根本收不到,因为通信的连接都是双向的。
所以效果是相同的。但是在正规的做法中不推荐采用这种做法,应该双向过滤,不然就像现在这样的66能发起对173的访问,而收不到173的回应,造成了网络上有一些多余的废数据包,占用带宽,浪费资源。
第三,lz最好把拓扑简单的描述一下,关键是把ACL的在那个端口上应用的,应用在了in还是out方向上说明一下,看了看,感觉头很晕。
免责声明: 本文仅代表作者个人观点,与爱易网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
