华为自反ACL实验

一、实验背景

做这个实验的原因是最近公司里上了三台小程序服务器,由于三台服务器的端口都映射出去了,领导要求A网段的三台服务器不能访问内网B,C网段,同时B、C网段内网用户可以访问A段的94、95、96服务器;

也就是PC4\PC5可以访问PC1\PC2\PC3,但PC1\PC2\PC3不能访问PC4\PC5.

说明:真机型号交换机(S5720-36C-EI),ENSP模拟器的交换机是不能实现自反ACL的,所以我使用了AR系列的路由器。

二、拓扑图如下,基本符合真实环境。
LSW1是没有做任何配置;

AR1和AR4之间只用了简单的默认路由,我的目的是ACL所以网通了就行;

自反ACL:自反ACL是动态生成的,会根据实时的会话请求自动创建和删除规则

三、自反ACL使用说明最好看下官方资料, 还有就是出入方向(inbound和outbound)选择,自反ACL也能实现B、C网段不能访问A网段,同时A网段可以访问B、C网段。

四、ACL命令配置,在AR1上配置,ACL作用在AR1 G0/0/1接口的出方向上

AR1

acl 3000

1、 ##允许94、95、96三台服务器的syn+ack报文通过,允许对B网段发起tcp连接进行回应。

rule 50 permit tcp source 172.17.16.94 0 destination 172.17.0.0 0.0.255.255 tcp-flag ack syn

rule 60 permit tcp source 172.17.16.95 0 destination 172.17.0.0 0.0.255.255 tcp-flag ack syn

rule 70 permit tcp source 172.17.16.96 0 destination 172.17.0.0 0.0.255.255 tcp-flag ack syn

2、####允许94、95、96三台服务器的syn+ack报文通过,允许对C网段发起tcp连接进行回应。

rule 71 permit tcp source 172.17.16.95 0 destination 192.168.0.0 0.0.255.255 tcp-flag ack syn

rule 72 permit tcp source 172.17.16.94 0 destination 192.168.0.0 0.0.255.255 tcp-flag ack syn

rule 73 permit tcp source 172.17.16.96 0 destination 192.168.0.0 0.0.255.255 tcp-flag ack syn

3、####拒绝A网段主动发起对B网段的TCP连接的syn请求报文通过。

rule 100 deny tcp source 172.17.16.95 0 destination 172.17.0.0 0.0.255.255 tcp-flag syn

rule 110 deny tcp source 172.17.16.94 0 destination 172.17.0.0 0.0.255.255 tcp-flag syn

rule 120 deny tcp source 172.17.16.96 0 destination 172.17.0.0 0.0.255.255 tcp-flag syn

4、####拒绝A网段主动发起对C网段的TCP连接的syn请求报文通过。

rule 121 deny tcp source 172.17.16.94 0 destination 192.168.0.0 0.0.255.255 tcp-flag syn

rule 122 deny tcp source 172.17.16.95 0 destination 192.168.0.0 0.0.255.255 tcp-flag syn

rule 123 deny tcp source 172.17.16.96 0 destination 192.168.0.0 0.0.255.255 tcp-flag syn

5、##拒绝94、95、96网段到B网段的echo请求报文通过,防止服务器被攻击后主动发起ping连通性测试。

rule 150 deny icmp source 172.17.16.94 0 destination 172.17.0.0 0.0.255.255 icmp-type echo

rule 160 deny icmp source 172.17.16.95 0 destination 172.17.0.0 0.0.255.255 icmp-type echo

rule 170 deny icmp source 172.17.16.96 0 destination 172.17.0.0 0.0.255.255 icmp-type echo

6、###拒绝94、95、96网段到C网段的echo请求报文通过,防止服务器被攻击后主动发起ping连通性测试。

rule 171 deny icmp source 172.17.16.94 0 destination 192.168.0.0 0.0.255.255 icmp-type echo

rule 172 deny icmp source 172.17.16.95 0 destination 192.168.0.0 0.0.255.255 icmp-type echo

rule 173 deny icmp source 172.17.16.96 0 destination 192.168.0.0 0.0.255.255 icmp-type echo

7、##允许其他IP的访问。

rule 200 permit ip

8#(如果是拒绝BC访问A网段三台服务器,同时A段三台服务器可以访问BC网段的话,ACL则需要应用在inbound上,ACL的源目的地址调换位置就可以)。

int g 0/0/1

##应用在G0/0/1/接口的出方向上

traffic-filter outbound acl 3000

验证:

**1、PC4\PC5可以正常ping通PC\123**实验结果BC网段可以正常访问A段的三个服务器地址;

2、PC1\PC2\PC3pingPC4\PC5,测试结果无法ping通,A段三个服务器无法访问B、C段,很好的完成了本次实验的需求。

可以在AR1上执行dis acl all 查看一下策略匹配次数;

如有问题可以留言或者加群交流 478075018

相关推荐
b130538100497 小时前
鸿蒙实战:交互反馈动画 — 按压缩放效果
华为·交互·harmonyos·鸿蒙系统
拥抱太阳06167 小时前
HarmonyOS 应用开发《掌上英语》第5篇:依赖注入与全局状态:AppStorageV2 实战HarmonyOS 应用开发《掌上英语》第1篇
pytorch·华为·harmonyos
国服第二切图仔8 小时前
HarmonyOS APP《画伴梦工厂》开发第63篇-网络通信升级——QUIC长连接与冷启预建链
华为·harmonyos
xd1855785559 小时前
标题炼金术-电商标题优化的HarmonyOS开发实践
人工智能·华为·harmonyos·鸿蒙
国服第二切图仔9 小时前
HarmonyOS APP《画伴梦工厂》开发第58篇-互动卡片——摇一摇触发动态效果
华为·harmonyos
最爱老式锅包肉11 小时前
《HarmonyOS技术精讲-蓝牙》传统蓝牙实战:音频播放与文件传输
华为·音视频·harmonyos
山内桜良111 小时前
HarmonyOS中,html 与 ets 桥接沟通
华为·html·harmonyos
最爱老式锅包肉11 小时前
《HarmonyOS技术精讲-蓝牙》综合实战:构建智能家居控制应用
华为·智能家居·harmonyos
心中有国也有家12 小时前
AtomGit Flutter 鸿蒙客户端:初始化流水线
学习·flutter·华为·harmonyos
爱吃大芒果12 小时前
面向未来的大模型原生应用 (AI-Native) 架构解析与演进路线图 (Roadmap)
华为·信息可视化·架构·harmonyos·ai-native