当前位置: 首页 > news >正文

锐捷ACL单向TCP互通组网-通过Established状态回包实现

一 组网说明

用户需求:

客户网络建设初期规划比较乱,并且经过多位运维工程师,不同区域之间服务器又没有防火墙,如果不同区域服务器之间互相通信会存在数据丢失的风险,所以需要不同区域服务器之间经过交换机的时候只能实现类似防火墙的单向访问。

如上图要实现Server1不可以主动telnet Server2,但是Server2可以主动telnet Server1,这样以保障Server2的数据不会丢失。(Server1和Server2都开启telnet服务)

二 设备配置

2.1 SW配置ACL访问控制列表

hostname SW

!

ip access-list extended 100

10 permit tcp host 192.168.1.2 host 192.168.1.1

20 permit tcp host 192.168.1.1 host 192.168.1.2 established

30 deny tcp host 192.168.1.1 host 192.168.1.2

!

interface GigabitEthernet 0/0

ip access-group 100 in

!

2.2 上述规则配置解释

# 规则10:允许 192.168.1.2 访问 192.168.1.1 的流量

10 permit tcp host 192.168.1.2 host 192.168.1.1

# 规则20:允许 192.168.1.1 回应 192.168.1.2 的合法回程流量(利用established)

20 permit tcp host 192.168.1.1 host 192.168.1.2 established

# 规则30:拒绝 192.168.1.1 主动发起对 192.168.1.2 的连接

30 deny tcp host 192.168.1.1 host 192.168.1.2

或者ACL如下配置也可以,因为ACL默认就是拒绝

hostname SW

!

ip access-list extended 100

10 permit tcp host 192.168.1.2 host 192.168.1.1

20 permit tcp host 192.168.1.1 host 192.168.1.2 established

!

interface GigabitEthernet 0/0

ip access-group 100 in

!

三 访问验证

3.1 SW配置ACL单向TCP访问前测试

1.Server1可以telnet Server2

Server1#telnet 192.168.1.2

Trying 192.168.1.2, 23...

User Access Verification

Username:admin

Password:*****************

Username:admin

Password:*****************

Server2#

2.Server2可以telnet Server1

Server2#telnet 192.168.1.1

Trying 192.168.1.1, 23...

User Access Verification

Username:admin

Password:*****************

Server1#

3.查看登录信息

Server1#show users

Line User Host(s) Idle Location

---------------- ------------ -------------------- ---------- ------------------

0 con 0 --- idle 00:00:21 ---

* 1 vty 0 admin idle 00:00:00 192.168.1.2

Server1#

Server1#show users all

Line User Host(s) Idle Location

---------------- ------------ -------------------- ---------- ------------------

0 con 0 --- idle 00:00:24 ---

* 1 vty 0 admin idle 00:00:00 192.168.1.2

2 vty 1 --- 00:00:00 ---

3 vty 2 --- 00:00:00 ---

4 vty 3 --- 00:00:00 ---

5 vty 4 --- 00:00:00 ---

3.2 SW配置ACL单向TCP访问后测试

1.Server1不能telnet Server2

1.Server1不可以telnet Server2

Server1#telnet 192.168.1.2

Trying 192.168.1.2, 23...

2.但是Server2可以telnet Server1

Server2#telnet 192.168.1.1

Trying 192.168.1.1, 23...

User Access Verification

Username:admin

Password:*****************

Server1#

http://www.gsyq.cn/news/1626512.html

相关文章:

  • 搞砸了之后,谁允许你继续站在灶台边?
  • 告别网盘限速:8大主流网盘一键获取直链下载地址的完整指南
  • Gemini CLI实战指南:让Gemini 3成为可编程的工作流组件
  • 环境科学论文降AI工具免费推荐:2026年环境科学毕业论文AIGC超标4.8元一次过知网完整指南
  • 炉石传说脚本终极指南:5分钟解放双手的自动化神器
  • 本地搜索神器,秒出结果
  • 影刀RPA新手教程:钉钉机器人消息推送完全指南——内部群通知、Webhook配置与消息格式
  • 一站式KMS激活解决方案:告别Windows和Office激活烦恼的终极指南
  • 太流批了,报价系统,比付费好用
  • AI数字人平台哪个好用?从上手难度到内容效率的一次完整梳理(2026)
  • Supershell实战:构建跨平台全交互式C2与反弹Shell平台
  • YOLOv8为何仍是目标检测首选?从核心原理到实战部署全解析
  • 软考最后72小时逆袭关键:上午题提速30%的秒杀技巧 vs 下午题稳拿60+分的结构化应答框架
  • 鸿蒙原生 ArkTS 布局方式之 Gesture 基础:TapGesture / LongPressGesture / PanGesture 实战
  • 炉石传说脚本终极指南:5分钟快速上手开源自动化工具
  • 英雄联盟国服换肤工具R3nzSkin使用指南
  • 在线粘度计选型技术指南:温度工况、流变特性与多参数测量的工程实践
  • 惠普OMEN游戏本终极性能解锁指南:OmenSuperHub完全控制你的笔记本
  • RePKG:揭秘Wallpaper Engine壁纸资源的终极解包工具
  • ExifToolGui图形界面完全指南:轻松管理照片元数据的免费神器
  • 村长团队ZM3从零制作转模GTA5九号电摩超详细教程
  • MemtestCL完整指南:轻松检测GPU内存故障的终极工具
  • 跨平台资源下载利器:5分钟掌握res-downloader高效下载技巧
  • Hide Mock Location:终极Android位置隐私保护指南 - 如何彻底隐藏模拟位置设置
  • 毕业设计项目 深度学习语义分割实现弹幕防遮(源码分享)
  • Android模拟位置检测绕过机制:Hide Mock Location的技术实现方案
  • 别再盲目刷题了,软考程序员上岸核心只靠这5个底层能力:算法思维、伪代码阅读、边界意识、文档解读力、时间分配术
  • NVIDIA LLM增强临床预测:提升再入院预警可解释性与提前量
  • 储气罐的工作原理和安全使用要点说明
  • 机械工程论文降AI工具免费推荐:2026年机械工程毕业论文降AI4.8元知网达标免费完整方案