|
|
 |
|
|
 1. 请教:请问cisco如何实现单向ACL的效果? |
  |
|
 |
|
HP : 0 / 68
MP : 8 / 953
EXP : 73%
|
|
初涉江湖
成员等级: 3
发表总数: 25
金币总数: 57
所属组别: 普通成员
注册日期: 2004/03/30
|
例如有2个vlan, vlan 10里的PC可以访问vlan 11里的pc, 但vlan 11的pc 不能访问vlan 10的pc
具体如何实现好????
以前听位大哥级人马讲,这样是实现不了的,因为IP通信是相向的,发请求包后,要收到确认包后才会发数据,如果单向acl实现了,那么如何收到确认包呢?(这也是个要思考一下的问题)
不过我在网上看过cisco是可以实现的,华为也可以实现的(但网上讲比cisco实现的思路复杂一点)
哪位做过的啊? 发个配置讨论一下啦,谢谢 |
|
|
|
| 2. Re:请教:请问cisco如何实现单向ACL的效果? |
|
|
 |
|
HP : 76 / 761
MP : 442 / 11503
EXP : 46%
|
|
名动江湖
成员等级: 31
发表总数: 1328
金币总数: 2
所属组别: 高级成员
注册日期: 2003/11/8
|
支持一下,请DX降临... 
call me achai |
|
|
|
| 3. Re:请教:请问cisco如何实现单向ACL的效果? |
|
|
|
|
|
HP : 76 / 761
MP : 442 / 11503
EXP : 46%
|
|
名动江湖
成员等级: 31
发表总数: 1328
金币总数: 2
所属组别: 高级成员
注册日期: 2003/11/8
|
转一个:
网络层访问权限控制技术ACL详解(4)
作者:juechen70 编译 出处:http://www.UltraTechnology.net
单向访问控制
使用IP ACL实现单向访问控制
A公司准备实行薪资的不透明化管理,由于目前的薪资收入数据还放在财务部门的Vlan中,所以公司不希望市场和研发部门能访问到财务部Vlan中的数据,另一方面,财务部门做为公司的核心管理部门,又希望能访问到市场和研发部门Vlan内的数据。我们的网管在接到这个需求后就在SWA上做了如下的配置:
ip access-list extend fi-access-limit
deny ip any 10.1.4.0 0.0.0.255
permit ip any any
int vlan 5
ip access-group fi-access-limit in
int vlan 6
ip access-group fi-access-limit in
配置做完后,测试了一下,市场和研发部门确实访问不到财务部了,刚准备休息一下,财务部打电话过来说为访问不到市场与研发部门的数据了。这是怎么回事呢?
让我们回忆一下,在两台主机A与B之间要实现通讯,需要些什么条件呢?答案是既需要A能向B发包,也需要B能向A发包,任何一个方向的包被阻断,通讯都不能成功,在我们的例子中就存在这样的问题,财务部访问市场或研发部门时,包到到市场或研发部门的主机,由这些主机返回的包在到达路由器SWA时,由于普通的ACL均不具备检测会话状态的能力,就被deny ip any 10.1.4.0 0.0.0.255这条ACL给阻断了,所以访问不能成功。
要想实现真正意义上的单向访问控制应该怎么办呢?我们希望在财务部门访问市场和研发部门时,能在市场和研发部门的ACL中临时生成一个反向的ACL条目,这样就能实现单向访问了。这里就需要使用到反向ACL技术。我们可以按照如下配置实例就可以满足刚才的那个单向访问需求:
ip access-list extend fi-main
permit tcp any 10.1.0.0 0.0.255.255 reflect r-main timeout 120
permit udp any 10.1.0.0 0.0.255.255 reflect r-main timeout 200
permit icmp any 10.1.0.0 0.0.255.255 reflect r-main timeout 10
permit ip any any
int vlan 4
ip access-group fi-main in
ip access-list extend fi-access-limit
evaluate r-main
deny ip any 10.1.4.0 0.0.0.255
permit ip any any
int vlan 5
ip access-group fi-access-limit in
int vlan 6
ip access-group fi-access-limit in
现在对反向ACL新增加的内容一一解释如下:
新增了一个ACL(fi-main)并应用在具备访问权限的接口下(财务部所在的vlan4)的in方向,使用该acl中具备reflect关键字的acl条目来捕捉建立反向ACL条目所需要的信息。我们将该ACL称为主ACL。
reflect r-main timeout xxx:其中的reflect关键字表明该条目可以用于捕捉建立反向的ACL条目所需要的信息。r-main是reflect组的名字,具备相同reflect组名字的所有的ACL条目为一个reflect组。timeout xxx表明由这条ACL条目所建立起来的反向ACL条目在没有流量的情况下,多长时间后会消失(缺省值为300秒),单位为秒。
evaluate r-main:我们注意到在fi-access-limit(我们把它称为反ACL)增加了这样一句,这一句的意思是有符合r-main这个reflect组中所定义的acl条目的流量发生时,在evaluate语句所在的当前位置动态生成一条反向的permit语句。
反向ACL的局限性:
必须使用命名的ACL,其实这不能叫局限性,应该算注意事项吧;
对多通道应用程序如h323之类无法提供支持。
好了,到现在我们从IP ACL的基础知识讲起,中间讲述了标准的IP ACL、扩展的IP ACL、基于名字的ACL、基于时间的ACL、反向ACL等诸多内容,这些ACL在ios的基本IP特性集中都能提供支持,在一般的企业网或校园网中也应该完全够用了。如果各位看官还需要了解更加深入的知识,如CBAC之类能够为多通道应用程序提供良好支持的配置技术的,请参考《Cisco IOS Security Configuration Guide,Part 3: Traffic Filtering and Firewalls》。
call me achai |
|
|
|
| 4. Re:请教:请问cisco如何实现单向ACL的效果? |
|
|
|
|
|
HP : 0 / 68
MP : 8 / 953
EXP : 73%
|
|
初涉江湖
成员等级: 3
发表总数: 25
金币总数: 57
所属组别: 普通成员
注册日期: 2004/03/30
|
好,试一下!!
对多通道应用程序如h323之类的确无法提供支持。对于ftp这种需双端口的服务是否一样不可以?
其实在实际中,这种单向acl的做法,大家觉得是否有必要? 通过应用软件去实现这些东西是不是会好一些? |
|
|
|
| 5. Re:请教:请问cisco如何实现单向ACL的效果? |
|
|
 |
|
HP : 86 / 863
MP : 602 / 13411
EXP : 54%
|
|
四川唐门掌门
成员等级: 35
发表总数: 1807
金币总数: 1,226
所属组别: 高级成员
注册日期: 2003/09/16
|
这种acl只能允许建立一条tcp连接,如果某种应用需要对端主动发起连接,比如ftp的pasv模式,就不行
没有签名创意的网络新手 |
|
|
|
| 6. Re:请教:请问cisco如何实现单向ACL的效果? |
|
|
 |
|
HP : 0 / 43
MP : 5 / 537
EXP : 74%
|
|
初涉江湖
成员等级: 2
发表总数: 16
金币总数: 81
所属组别: 普通成员
注册日期: 2004/10/20
|
3550 可不可以用这种方式 |
|
|
