Address
304 North Cardinal St.
Dorchester Center, MA 02124
Work Hours
Monday to Friday: 7AM - 7PM
Weekend: 10AM - 5PM
需求
- 办公区主机172.16.100.1,可以访问监控区域设备192.168.10.1,反向访问不允许。
- 办公区SW上已有较多ACL策略,要求在监控区域SW上配置。
解决办法
1.在监控区域SW,vlanif10上调用ACL,拒绝目的地址为172.16.100.0/24的流量
acl adv 3001
rule 15 deny ip destination 172.16.100.0 0.0.0.255
#
int vlan 10
ip address 192.168.10.254 255.255.255.0
packet-filter 3001 inbound
#此时存在问题,会导致双向不通,优化ACL策略
如果在ACL中只匹配源ip或目的ip,就会双向不通,需要使用ACL中的tcp的标志位来进行匹配,实现单向访问。
acl adv 3001
rule 5 permit icmp destination 172.16.100.0 0.0.0.255 icmp-type echo-reply # 放行icmp回包
rule 10 permit tcp destination 172.16.100.0 0.0.0.255 ack 1 # 使用ACL中的tcp的标志位来进行匹配
rule 15 deny ip destination 172.16.100.0 0.0.0.255结果验证
- 办公区域主机可以访问监控区域设备
- 监控区域设备不能访问办公区域主机
–
注:
- HCL模拟器,在vlan虚拟接口调用ACL只有inbound方向生效,outbound方向ACL不生效。
- HCL实验工程文件下载:https://download.csdn.net/download/i12344/90437791