当前位置: 首页 > news >正文

锐捷ACL单向TCP互通组网-通过Established状态回包实现

一 组网说明

用户需求:

客户网络建设初期规划比较乱,并且经过多位运维工程师,不同区域之间服务器又没有防火墙,如果不同区域服务器之间互相通信会存在数据丢失的风险,所以需要不同区域服务器之间经过交换机的时候只能实现类似防火墙的单向访问。

如上图要实现Server1不可以主动telnet Server2,但是Server2可以主动telnet Server1,这样以保障Server2的数据不会丢失。(Server1和Server2都开启telnet服务)

二 设备配置

2.1 SW配置ACL访问控制列表

hostname SW

!

ip access-list extended 100

10 permit tcp host 192.168.1.2 host 192.168.1.1

20 permit tcp host 192.168.1.1 host 192.168.1.2 established

30 deny tcp host 192.168.1.1 host 192.168.1.2

!

interface GigabitEthernet 0/0

ip access-group 100 in

!

2.2 上述规则配置解释

# 规则10:允许 192.168.1.2 访问 192.168.1.1 的流量

10 permit tcp host 192.168.1.2 host 192.168.1.1

# 规则20:允许 192.168.1.1 回应 192.168.1.2 的合法回程流量(利用established)

20 permit tcp host 192.168.1.1 host 192.168.1.2 established

# 规则30:拒绝 192.168.1.1 主动发起对 192.168.1.2 的连接

30 deny tcp host 192.168.1.1 host 192.168.1.2

或者ACL如下配置也可以,因为ACL默认就是拒绝

hostname SW

!

ip access-list extended 100

10 permit tcp host 192.168.1.2 host 192.168.1.1

20 permit tcp host 192.168.1.1 host 192.168.1.2 established

!

interface GigabitEthernet 0/0

ip access-group 100 in

!

三 访问验证

3.1 SW配置ACL单向TCP访问前测试

1.Server1可以telnet Server2

Server1#telnet 192.168.1.2

Trying 192.168.1.2, 23...

User Access Verification

Username:admin

Password:*****************

Username:admin

Password:*****************

Server2#

2.Server2可以telnet Server1

Server2#telnet 192.168.1.1

Trying 192.168.1.1, 23...

User Access Verification

Username:admin

Password:*****************

Server1#

3.查看登录信息

Server1#show users

Line User Host(s) Idle Location

---------------- ------------ -------------------- ---------- ------------------

0 con 0 --- idle 00:00:21 ---

* 1 vty 0 admin idle 00:00:00 192.168.1.2

Server1#

Server1#show users all

Line User Host(s) Idle Location

---------------- ------------ -------------------- ---------- ------------------

0 con 0 --- idle 00:00:24 ---

* 1 vty 0 admin idle 00:00:00 192.168.1.2

2 vty 1 --- 00:00:00 ---

3 vty 2 --- 00:00:00 ---

4 vty 3 --- 00:00:00 ---

5 vty 4 --- 00:00:00 ---

3.2 SW配置ACL单向TCP访问后测试

1.Server1不能telnet Server2

1.Server1不可以telnet Server2

Server1#telnet 192.168.1.2

Trying 192.168.1.2, 23...

2.但是Server2可以telnet Server1

Server2#telnet 192.168.1.1

Trying 192.168.1.1, 23...

User Access Verification

Username:admin

Password:*****************

Server1#

http://www.jsqmd.com/news/1114538/

相关文章:

  • 【官方未公开的机考底层逻辑】:基于2176份真题数据验证的3类题型响应延迟规律及抢分策略
  • 软考5大方向难度与通过率全对比:2024最新数据曝光,选错科目=多花1年时间?
  • 计算机Java毕设实战-基于 SpringBoot 的斯诺克场馆预约购票服务系统的设计与实现 基于 SpringBoot 的球馆时段预订与购票结【完整源码+LW+部署说明+演示视频,全bao一条龙等】
  • 2025终极网盘下载解决方案:LinkSwift一键获取九大网盘直链
  • 9大网盘直链获取神器:LinkSwift 浏览器脚本深度解析
  • 搞砸了之后,谁允许你继续站在灶台边?
  • 考前1小时还在慌?软考机考倒计时Checklist(含3套备用方案+实时校验码生成器)
  • 软考案例题“踩分不踩坑”实战口诀:1句口诀对应1个得分点,阅卷人亲测有效率94.7%
  • 8款主流网盘直链下载助手:打破限速壁垒的智能解决方案
  • 网盘直链下载助手终极指南:告别限速,8大网盘全速下载的简单方法
  • 告别网盘限速:8大主流网盘一键获取直链下载地址的完整指南
  • AI教材写作新选择!低查重AI工具,开启教材生成新篇章!
  • 软考论文时间焦虑破局手册:基于127份高分卷时序拆解的“非线性写作路径图”(限时开放3天)
  • Python爬虫经典案例第56篇:Python包索引爬取——PyPI数据采集实战
  • AI不是神也不是魔,而是需要人类驾驭的协作伙伴
  • Gemini CLI实战指南:让Gemini 3成为可编程的工作流组件
  • 鸿蒙原生 ArkTS 布局方式之 foregroundColor 与 backgroundColor 配色实战
  • 环境科学论文降AI工具免费推荐:2026年环境科学毕业论文AIGC超标4.8元一次过知网完整指南
  • 软考机考最后30分钟生死局:3类突发状况应对时间包(断网/卡顿/误操作),含应急倒计时音频脚本
  • Selenium、Cypress、Playwright三大Web自动化测试框架深度对比与选型指南
  • 如何在Windows触控板上实现高效三指拖拽:终极配置完全指南
  • 网盘直链下载助手:告别限速,九大网盘高速下载完整指南
  • 099、C3k2_Rep:C3k2 与 RepConv 的杂交设计——训练多分支推理单分支的重参数化
  • 3步彻底告别微软Edge:EdgeRemover新手完全指南
  • 炉石传说脚本完全指南:3步实现自动化对战
  • 炉石传说脚本终极指南:5分钟解放双手的自动化神器
  • YOLOv10模型改进-注意力机制-第49篇:YOLOv10改进策略【注意力机制】| AdaptiveAttention自适应注意力
  • 社会学论文降AI工具免费推荐:2026年社会学毕业论文AIGC超标4.8元亲测99.26%知网完整方案
  • 软考机考模拟系统操作实战速成:3天掌握监考端+考生端双视角操作逻辑(含工信部认证模拟平台最新V3.2.1适配要点)
  • 如何用RePKG解锁Wallpaper Engine壁纸资源:完整指南与实用技巧