亚洲Aⅴ无码Av红楼在线观看_国产午夜福利涩爱AⅤ_国产sm调教一区二区三区_精品人妻一区二区三区不卡毛片

始創(chuàng)于2000年 股票代碼:831685
咨詢(xún)熱線(xiàn):0371-60135900 注冊(cè)有禮 登錄
  • 掛牌上市企業(yè)
  • 60秒人工響應(yīng)
  • 99.99%連通率
  • 7*24h人工
  • 故障100倍補(bǔ)償
全部產(chǎn)品
您的位置: 網(wǎng)站首頁(yè) > 幫助中心>文章內(nèi)容

用訪問(wèn)控制列表實(shí)現(xiàn)網(wǎng)絡(luò)單向訪問(wèn)
發(fā)布時(shí)間:  2012/7/4 17:08:22

  簡(jiǎn)易拓?fù)鋱D(所有子網(wǎng)掩碼均為255.255.255.0):

  PC(10.1.1.2)---E0(10.1.1.1)[RouterA]S0(192.1.1.1)---S1(192.1.1.2)[RouterB]

  做網(wǎng)絡(luò)的單向訪問(wèn)其實(shí)實(shí)現(xiàn)的是防火墻的基本功能:我是內(nèi)網(wǎng),你是外網(wǎng),我能訪問(wèn)你,但你不能訪問(wèn)我。

  所以現(xiàn)在假設(shè)RouterA的E0口所連網(wǎng)段為內(nèi)網(wǎng)段,RouterA S0所連的網(wǎng)段為外網(wǎng)段,還假設(shè)我想做的是內(nèi)網(wǎng)的PC機(jī)能ping通外網(wǎng)RouterB的S1口,但RouterB卻ping不進(jìn)我的內(nèi)網(wǎng)。

  用ACL來(lái)實(shí)現(xiàn)類(lèi)似的單向訪問(wèn)控制需要用到一種特殊的ACL,叫Reflexive ACL。Reflexive ACL的配置分為兩個(gè)部分,一部分是outbound的配置,一部分是inbound的配置。

  在繼續(xù)下面的說(shuō)明之前,先說(shuō)點(diǎn)題外話(huà)。在最開(kāi)始想到單向訪問(wèn)問(wèn)題時(shí),我(也包括其它一些我的同事)自然的就這么想:那我在E0口上允許PC的流量進(jìn)來(lái),然后再在S0口上禁止RouterB的流量進(jìn)來(lái)不就行了?看上去好像沒(méi)什么問(wèn)題,但一試就知道其實(shí)是不行的。為什么不行呢,因?yàn)楹芏嗳硕己雎粤诉@么一個(gè)問(wèn)題:即絕大多數(shù)的網(wǎng)絡(luò)流量都是有去有回的,上面的方法只解決了去的問(wèn)題,但這個(gè)流量在到達(dá)RouterB后,RouterB還需要返回這個(gè)流量給PC,這個(gè)返回的流量到了RouterA的S0口,但上面的方法卻在S0口上禁止了RouterB的流量進(jìn)來(lái),回來(lái)的流量被擋住了,通訊失敗。

  好,下面再切回來(lái)。Reflexive ACL中outbound的部分決定了我出去的哪些內(nèi)網(wǎng)網(wǎng)絡(luò)流量是需要被單向訪問(wèn)的,inbound部分決定了這些流量在返回后能被正確的識(shí)別并送給內(nèi)網(wǎng)發(fā)起連接的PC機(jī)。

  Reflexive ACL中outbound的部分:

  ip access-list extended outbound_filter

  permit icmp any any reflect icmp_traffic

  permit ip any any

  !---注意在Reflexive ACL中只能用named方式的ACL,不能用numbered方式的ACL。

  !---基本配置和普通ACL并沒(méi)有什么太多不同,不同之處是reflect icmp_traffic,它的意思是這條ACE作為單向流量來(lái)處理,并且給了一個(gè)名稱(chēng)叫icmp_traffic,icmp_traffic在inbound部分被引用。

  !---permit ip any any并不是必要的,加在這里是為了另一個(gè)測(cè)試,下面會(huì)說(shuō)明。

  Reflexive ACL中inbound的部分:

  ip access-list extended inbound_filter

  evaluate icmp_traffic

  deny ip any any log

  !---inbound的配置有和普通ACL有點(diǎn)不同了,第一句evaluate icmp_traffic對(duì)上述outbound配置中的icmp_traffic進(jìn)行了引用,也就是說(shuō),它要檢查從外網(wǎng)進(jìn)來(lái)的流量,如果這個(gè)流量確實(shí)是從內(nèi)網(wǎng)發(fā)起的對(duì)外訪問(wèn)的返回流量,那么允許這個(gè)流量進(jìn)來(lái)。


億恩科技地址(ADD):鄭州市黃河路129號(hào)天一大廈608室 郵編(ZIP):450008 傳真(FAX):0371-60123888
   聯(lián)系:億恩小凡
   QQ:89317007
   電話(huà):0371-63322206


本文出自:億恩科技【www.allwellnessguide.com】

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
  • 您可能在找
  • 億恩北京公司:
  • 經(jīng)營(yíng)性ICP/ISP證:京B2-20150015
    •
  • 億恩鄭州公司:
  • 經(jīng)營(yíng)性ICP/ISP/IDC證:豫B1.B2-20060070
    •
  • 億恩南昌公司:
  • 經(jīng)營(yíng)性ICP/ISP證:贛B2-20080012
    •
  • 服務(wù)器/云主機(jī) 24小時(shí)售后服務(wù)電話(huà):0371-60135900
  • 虛擬主機(jī)/智能建站 24小時(shí)售后服務(wù)電話(huà):0371-60135900
    •
    專(zhuān)注服務(wù)器托管17年
    掃掃關(guān)注-微信公眾號(hào)
    0371-60135900
    Copyright© 1999-2019 ENKJ All Rights Reserved 億恩科技 版權(quán)所有  地址:鄭州市高新區(qū)翠竹街1號(hào)總部企業(yè)基地億恩大廈  法律顧問(wèn):河南亞太人律師事務(wù)所郝建鋒、杜慧月律師   京公網(wǎng)安備41019702002023號(hào)
      0
     
     
     
     

    0371-60135900
    7*24小時(shí)客服服務(wù)熱線(xiàn)