锐捷ACL单向TCP互通组网-通过Established状态回包实现

一 组网说明

用户需求:

客户网络建设初期规划比较乱,并且经过多位运维工程师,不同区域之间服务器又没有防火墙,如果不同区域服务器之间互相通信会存在数据丢失的风险,所以需要不同区域服务器之间经过交换机的时候只能实现类似防火墙的单向访问。

如上图要实现Server1不可以主动telnet Server2,但是Server2可以主动telnet Server1,这样以保障Server2的数据不会丢失。(Server1和Server2都开启telnet服务)

二 设备配置

2.1 SW配置ACL访问控制列表

hostname SW

!

ip access-list extended 100

10 permit tcp host 192.168.1.2 host 192.168.1.1

20 permit tcp host 192.168.1.1 host 192.168.1.2 established

30 deny tcp host 192.168.1.1 host 192.168.1.2

!

interface GigabitEthernet 0/0

ip access-group 100 in

!

2.2 上述规则配置解释

规则10:允许 192.168.1.2 访问 192.168.1.1 的流量

10 permit tcp host 192.168.1.2 host 192.168.1.1

规则20:允许 192.168.1.1 回应 192.168.1.2 的合法回程流量(利用established)

20 permit tcp host 192.168.1.1 host 192.168.1.2 established

规则30:拒绝 192.168.1.1 主动发起对 192.168.1.2 的连接

30 deny tcp host 192.168.1.1 host 192.168.1.2

或者ACL如下配置也可以,因为ACL默认就是拒绝

hostname SW

!

ip access-list extended 100

10 permit tcp host 192.168.1.2 host 192.168.1.1

20 permit tcp host 192.168.1.1 host 192.168.1.2 established

!

interface GigabitEthernet 0/0

ip access-group 100 in

!

三 访问验证

3.1 SW配置ACL单向TCP访问前测试

1.Server1可以telnet Server2

Server1#telnet 192.168.1.2

Trying 192.168.1.2, 23...

User Access Verification

Username:admin

Password:*****************

Username:admin

Password:*****************

Server2#

2.Server2可以telnet Server1

Server2#telnet 192.168.1.1

Trying 192.168.1.1, 23...

User Access Verification

Username:admin

Password:*****************

Server1#

3.查看登录信息

Server1#show users

Line User Host(s) Idle Location


0 con 0 --- idle 00:00:21 ---

* 1 vty 0 admin idle 00:00:00 192.168.1.2

Server1#

Server1#show users all

Line User Host(s) Idle Location


0 con 0 --- idle 00:00:24 ---

* 1 vty 0 admin idle 00:00:00 192.168.1.2

2 vty 1 --- 00:00:00 ---

3 vty 2 --- 00:00:00 ---

4 vty 3 --- 00:00:00 ---

5 vty 4 --- 00:00:00 ---

3.2 SW配置ACL单向TCP访问后测试

1.Server1不能telnet Server2

1.Server1不可以telnet Server2

Server1#telnet 192.168.1.2

Trying 192.168.1.2, 23...

2.但是Server2可以telnet Server1

Server2#telnet 192.168.1.1

Trying 192.168.1.1, 23...

User Access Verification

Username:admin

Password:*****************

Server1#

相关推荐
techdashen1 小时前
从网络栈继续往下:micro:bit、2.4GHz、调制方式,以及一个不太靠谱但很有趣的想法
网络·fpga开发
碎碎念_4921 小时前
网络通信基础:IP协议、ARP协议、DHCP
网络·arp·dhcp·ip协议
Geeys2 小时前
淘宝电商运营新手入门完整教程|零基础开店引流
大数据·网络·人工智能
m0_737302582 小时前
OpenClaw:赋予大模型执行能力的开源本地 AI 智能体
服务器
Web极客码2 小时前
在WordPress Multisite中添加超级管理员用户
服务器·php·网站
子不语1802 小时前
从0开始学习S7-1200+ET200SP(3)——两台S7-1200通过TCP连接
网络协议·学习·tcp/ip
FlightYe2 小时前
FFmpeg移动端硬解机制
linux·网络·ffmpeg·音视频·实时音视频·视频编解码
京韵养生记2 小时前
【无标题】
java·服务器·前端
七夜zippoe3 小时前
OpenClaw 实战案例:数据分析平台构建
服务器·网络·数据分析·openclaw·平台构建