企业内网单向访问的实现—TCP三次握手的深入理解与应用

企业内网中常有这样的需求,管理员或老板希望能够访问其他业务部门主机的共享资料等信息,却不希望任何人访问管理员的共享信息。

我们可以利用ACL 结合 过滤策略来实现。


拓扑说明:AR1内网核心设备

SW1 及下联PC1 SERVER1代表管理员主机组

SW2 及下联PC2 SERVER2代表管理员主机组


基础配置:

PC1 192.168.1.2/24 SERVER1 192.168.1.1/24开启HTTP服务

PC2 172.16.1.2/24 SERVER2 172.16.1.1/24开启HTTP服务

AR1配置接口IP

sys R1

interface GigabitEthernet0/0/0

ip address 192.168.1.254 255.255.255.0

interface GigabitEthernet0/0/1

ip address 172.16.1.254 255.255.255.0


不做任何限制 两个网段互访没有任何问题。





关键配置

主要需要理解TCP连接建立过程包括三次握手,被动一方所发送的握手数据中携带rst或ack标记,不会携带syn等其它标记,所以只需要在被动一方上配置ACL,允许rst或者ack通过,不允许其它tcp通过即可。

AR1配置

acl number 3000

rule 5 permit tcp destination 192.168.1.0 0.0.0.255 tcp-flag ack

rule 10 permit tcp destination 192.168.1.0 0.0.0.255 tcp-flag rst

rule 15 deny tcp destination 192.168.1.0 0.0.0.255

interface GigabitEthernet0/0/0

traffic-filter outbound acl 3000


配置完成,测试所有主机互PING没有问题,PC1可以访问SERVER2的HTTP服务,PC2不能访问SERVER1的HTTP服务。



也可以用traffic-policy来实现即MQC模块配置

配置如下

acl number 3000

rule 5 permit tcp destination 192.168.1.0 0.0.0.255 tcp-flag ack

rule 10 permit tcp destination 192.168.1.0 0.0.0.255 tcp-flag rst

rule 15 deny tcp destination 192.168.1.0 0.0.0.255

traffic classifier c1 operator or

if-match acl 3000

traffic behavior b1

permit

traffic policy p1

classifier c1 behavior b1

interface GigabitEthernet0/0/0

traffic-policy p1 outbound

版权声明:

作者: freeclashnode

链接: https://www.freeclashnode.com/news/article-2968.htm

来源: FreeClashNode

文章版权归作者所有,未经允许请勿转载。

免费节点实时更新

热门文章

最新文章

归档