日期:2014-05-17  浏览次数:21006 次

请帮帮忙,看下这个ACL设置
Basic   ACL     2008,   2   rules
Acl 's   step   is   1
  rule   0   permit   source   10.75.173.0   0.0.0.255

Advanced   ACL     3003,   2   rules
Acl 's   step   is   1
  rule   0   deny   ip   source   10.75.173.0   0.0.0.255   destination   10.66.1.0   0.0.0.255
  rule   1   permit   tcp   source   10.75.173.0   0.0.0.255   destination   10.66.1.0   0.0.0.255
destination-port   eq   www

Advanced   ACL     3004,   4   rules
Acl 's   step   is   1
  rule   0   deny   ip   source   10.75.173.0   0.0.0.255   destination   10.66.1.0   0.0.0.255
  rule   1   permit   tcp   source   10.75.173.128   0.0.0.31   destination   10.66.1.0   0.0.0.255
  destination-port   eq   1433
  rule   2   permit   tcp   source   10.75.173.128   0.0.0.31   destination   10.66.1.0   0.0.0.255
  destination-port   eq   1434
  rule   3   permit   udp   source   10.75.173.128   0.0.0.31   destination   10.66.1.0   0.0.0.255
  destination-port   eq   1433

Advanced   ACL     3006,   2   rules
Acl 's   step   is   1
  rule   0   deny   ip   source   10.75.173.0   0.0.0.255   destination   10.75.173.7   0
  rule   1   deny   ip   source   10.75.173.0   0.0.0.255   destination   10.66.1.0   0.0.0.255

单位分了两个网段   10.75.173.*   10.66.1.*   173网段在VLAN1   66在VLAN2,主交换机用的三层交换机,其中10.75.173.9,10.75.173.7是服务器,直接插在了三层交换机接口上.
要求:66网段和173网段不能互访,但66网段都可以访问服务器173.9,173网段不能访问服务器173.7,这段ACL是别人写的,我没搞懂为什么它只限制173访问66不限制66访问173?还有它是怎么做到66网段可以访问173.9的?

------解决方案--------------------
沙發...
------解决方案--------------------
帮你顶
------解决方案--------------------
第一:看了之后有好多疑问,想问一下lz,这些ACL都用上了吗?还有就是是不是能满足lz所说的要求?

像这个:
------------------------------------------------------
Advanced ACL 3006, 2 rules
Acl 's step is 1
rule 0 deny ip source 10.75.173.0 0.0.0.255 destination 10.75.173.7 0
rule 1 deny ip source 10.75.173.0 0.0.0.255 destination 10.66.1.0 0.0.0.255
------------------------------------------------------
其中都是deny,没有permit。
在ACL的最后还隐藏了一项: rule 2 deny any any (限制所有访问)
那么这个ACL一但应用到端口上就会过滤掉所有的数据包。
(不知道是不是厂商不同,会有不一样的设定)


第二:我没看出来lz用的是谁家的设备。我对Cisco的设备略懂一点,都是网络设备,我想应该是相通的。
对lz所说的:“为什么它只限制173访问66不限制66访问173?”回答一下。
其实限制了173对66的访问,同时也能限制66对173的访问。
因为没限制66对173的访问,所以66能对173发起连接,但是173收到连接请求后发出的回应数据包被ACL过滤了(因为限制了173对66的访问),66根本收不到,因为通信的连接都是双向的。
所以效果是相同的。但是在正规的做法中不推荐采用这种做法,应该双向过滤,不然就像现在这样的66能发起对173的访问,而收不到173的回应,造成了网络上有一些多余的废数据包,占用带宽,浪费资源。

第三,lz最好把拓扑简单的描述一下,关键是把ACL的在那个端口上应用的,应用在了in还是out方向上说明一下,看了看,感觉头很晕。