Cisco网络技术论坛

返回   Cisco网络技术论坛 > Cisco专区 > Cisco技术高级讨论区

Cisco技术高级讨论区 讨论Cisco较深和较全面的问题,此栏目帖子是从cisco技术区选出,由斑竹移到此区,不能发贴,可以跟贴

发表新主题 回复
 
主题工具
旧 2004-04-27, 07:16   #1
BluShin
老油条
级别:21 | 在线时长:568小时 | 升级还需:4小时级别:21 | 在线时长:568小时 | 升级还需:4小时级别:21 | 在线时长:568小时 | 升级还需:4小时级别:21 | 在线时长:568小时 | 升级还需:4小时级别:21 | 在线时长:568小时 | 升级还需:4小时
 
BluShin 的头像
 
注册日期: Apr 2003
住址: 青岛
帖子: 1,314
精华:3
现金:2687金币
资产:2687金币
声望力: 17
声望: 10 BluShin 向着好的方向发展
声望力: 17
BluShin 向着好的方向发展
用访问控制列表实现网络单向访问

用访问控制列表实现网络单向访问

发布日期:2004-04-19
文摘内容:
--------------------------------------------------------------------------------
文摘出处:http://ror.cn/perl/ut/topic_show.cgi...=1&bpg=1&age=0

by alienguo

简易拓扑图(所有子网掩码均为255.255.255.0):
PC(10.1.1.2)---E0(10.1.1.1)[RouterA]S0(192.1.1.1)---S1(192.1.1.2)[RouterB]

做网络的单向访问其实实现的是防火墙的基本功能:我是内网,你是外网,我能访问你,但你不能访问我。
所以现在假设RouterA的E0口所连网段为内网段,RouterA S0所连的网段为外网段,还假设我想做的是内网的PC机能ping通外网RouterB的S1口,但RouterB却ping不进我的内网。

用ACL来实现类似的单向访问控制需要用到一种特殊的ACL,叫Reflexive ACL。Reflexive ACL的配置分为两个部分,一部分是outbound的配置,一部分是inbound的配置。

在继续下面的说明之前,先说点题外话。在最开始想到单向访问问题时,我(也包括其它一些我的同事)自然的就这么想:那我在E0口上允许PC的流量进来,然后再在S0口上禁止RouterB的流量进来不就行了?看上去好像没什么问题,但一试就知道其实是不行的。为什么不行呢,因为很多人都忽略了这么一个问题:即绝大多数的网络流量都是有去有回的,上面的方法只解决了去的问题,但这个流量在到达RouterB后,RouterB还需要返回这个流量给PC,这个返回的流量到了RouterA的S0口,但上面的方法却在S0口上禁止了RouterB的流量进来,回来的流量被挡住了,通讯失败。

好,下面再切回来。Reflexive ACL中outbound的部分决定了我出去的哪些内网网络流量是需要被单向访问的,inbound部分决定了这些流量在返回后能被正确的识别并送给内网发起连接的PC机。

Reflexive ACL中outbound的部分:
ip access-list extended outbound_filter
permit icmp any any reflect icmp_traffic
permit ip any any
!---注意在Reflexive ACL中只能用named方式的ACL,不能用numbered方式的ACL。
!---基本配置和普通ACL并没有什么太多不同,不同之处是reflect icmp_traffic,它的意思是这条ACE作为单向流量来处理,并且给了一个名称叫icmp_traffic,icmp_traffic在inbound部分被引用。
!---permit ip any any并不是必要的,加在这里是为了另一个测试,下面会说明。

Reflexive ACL中inbound的部分:
ip access-list extended inbound_filter
evaluate icmp_traffic
deny ip any any log
!---inbound的配置有和普通ACL有点不同了,第一句evaluate icmp_traffic对上述outbound配置中的icmp_traffic进行了引用,也就是说,它要检查从外网进来的流量,如果这个流量确实是从内网发起的对外访问的返回流量,那么允许这个流量进来。
!---注意deny ip any any log这句,虽然这句也是不必配的,因为是默认的deny ip any any,但我加了log来对上面outbound部分的permit ip any any进行测试。

Reflexive ACL中应用到接口的部分:
interface Serial0
ip address 192.1.1.1 255.255.255.0
ip access-group inbound_filter in
ip access-group outbound_filter out
!---这里也有一些讲究,ACL outbound_filter被应用到外网口的out方向,ACL inbound_filter被应用到外网口的in方向,in和out不能搞混。

好,现在进行测试,在10.1.1.2上ping 192.1.1.2,通了,RouterB上则ping不通10.1.1.2。
现在还余下一个问题:路由器既然已经deny了外网进来的所有流量,那么它是怎么允许内网出去的返回流量进来呢?
它是通过创建动态生成的ACL来允许返回流量的,下面看看show access-list的结果:

……
Reflexive IP access list icmp_traffic
permit icmp host 192.1.1.2 host 10.1.1.2 (24 matches) (time left 196)
……

这些动态ACL可通过TCP的FIN/RST包来动态自动消除,对ICMP这样stateless的包来说,是通过内置的timer来消除的,这点可通过上述show access-list结果中的(time left 196)来核实。

最后再说说那另一个测试,也就是两个ACL中加的多余的东西:

ip access-list extended outbound_filter
permit ip any any

ip access-list extended inbound_filter
deny ip any any log

我在10.1.1.2上发起一个到192.1.1.2的TELNET连接,这个流量到了S0口后由ACL outbound_filter中的permit ip any any检测后放行。到了RouterB后,RouterB进行处理然后返回流量,这个流量到了S0口后由inbound_filter检测,因为evaluate icmp_traffic中并没有包含对TCP类型流量的检测,这个包由deny ip any any log一句处理后丢弃并生成日志:

00:24:28: %SEC-6-IPACCESSLOGP: list inbound_filter denied tcp 192.1.1.2(23) -> 10.1.1.2(1483), 1 packet

好,最后的最后,如果Reflexive ACL是做在内网口上,而不是在外网口上,该怎么写呢?呵呵,这个问题就留给你了。

============================
如转贴请保持文章完整性并注明作者及出处

===== 谁谓河广,一苇杭之 ====


无根树,花正幽,贪恋荣华谁肯休?
浮生事,苦海舟,荡去飘来不自由!
BluShin 当前离线  
回复时引用此帖
旧 2004-04-27, 10:35   #2
flaring
Aegean Sea
级别:14 | 在线时长:280小时 | 升级还需:5小时级别:14 | 在线时长:280小时 | 升级还需:5小时级别:14 | 在线时长:280小时 | 升级还需:5小时级别:14 | 在线时长:280小时 | 升级还需:5小时级别:14 | 在线时长:280小时 | 升级还需:5小时级别:14 | 在线时长:280小时 | 升级还需:5小时
 
flaring 的头像
 
注册日期: Nov 2003
住址: 北京
帖子: 1,014
现金:2029金币
资产:2029金币
声望力: 16
声望: 10 flaring 向着好的方向发展
声望力: 16
flaring 向着好的方向发展
不错。

I'm a poor man, but I have this consolation: I am poor by accident, not by design.



 
http://tbar.xaonline.com/Pic/P200403/P28/P280915_786403834.gif
flaring 当前离线  
回复时引用此帖
旧 2004-04-28, 15:54   #3
song2744
注册用户
级别:4 | 在线时长:39小时 | 升级还需:6小时级别:4 | 在线时长:39小时 | 升级还需:6小时级别:4 | 在线时长:39小时 | 升级还需:6小时级别:4 | 在线时长:39小时 | 升级还需:6小时
 
song2744 的头像
 
注册日期: Apr 2004
住址: 北京
帖子: 108
现金:216金币
资产:216金币
声望力: 15
声望: 10 song2744 向着好的方向发展
声望力: 15
song2744 向着好的方向发展
在CISCO1720

song2744 当前离线  
回复时引用此帖
旧 2004-04-28, 15:56   #4
song2744
注册用户
级别:4 | 在线时长:39小时 | 升级还需:6小时级别:4 | 在线时长:39小时 | 升级还需:6小时级别:4 | 在线时长:39小时 | 升级还需:6小时级别:4 | 在线时长:39小时 | 升级还需:6小时
 
song2744 的头像
 
注册日期: Apr 2004
住址: 北京
帖子: 108
现金:216金币
资产:216金币
声望力: 15
声望: 10 song2744 向着好的方向发展
声望力: 15
song2744 向着好的方向发展
在CISCO1720上做实验未能通过,很是郁闷。A――华为1600 B――CISCO1720 在B上做的访问列表。两边都PING不能。
song2744 当前离线  
回复时引用此帖
旧 2004-05-13, 17:01   #5
song2744
注册用户
级别:4 | 在线时长:39小时 | 升级还需:6小时级别:4 | 在线时长:39小时 | 升级还需:6小时级别:4 | 在线时长:39小时 | 升级还需:6小时级别:4 | 在线时长:39小时 | 升级还需:6小时
 
song2744 的头像
 
注册日期: Apr 2004
住址: 北京
帖子: 108
现金:216金币
资产:216金币
声望力: 15
声望: 10 song2744 向着好的方向发展
声望力: 15
song2744 向着好的方向发展
功能是实现了,但这样的ACL把路由协议的包也阻拦了。我用的是RIP,用了此表后CISCO1720上路由表上没有对端路由器的表项。去掉访问表(ACL)后,路由正常。
把楼主说的OUTBOUND_FILTER表中的ICMP 换为IP也不成。
在华为的路由器上做了一FTP服务器,在CISCO路由器端的计算机上FTP时,用LS命令不成功,被DENY了。为什么?????
song2744 当前离线  
回复时引用此帖
旧 2004-05-13, 19:57   #6
song2744
注册用户
级别:4 | 在线时长:39小时 | 升级还需:6小时级别:4 | 在线时长:39小时 | 升级还需:6小时级别:4 | 在线时长:39小时 | 升级还需:6小时级别:4 | 在线时长:39小时 | 升级还需:6小时
 
song2744 的头像
 
注册日期: Apr 2004
住址: 北京
帖子: 108
现金:216金币
资产:216金币
声望力: 15
声望: 10 song2744 向着好的方向发展
声望力: 15
song2744 向着好的方向发展
在INBOUND_FILTER表中加一条PERMIT UDP ANY EQ RIP ANY后路由表显示正常了。
song2744 当前离线  
回复时引用此帖
旧 2004-05-26, 15:51   #7
realgzw
注册用户
级别:8 | 在线时长:104小时 | 升级还需:13小时级别:8 | 在线时长:104小时 | 升级还需:13小时级别:8 | 在线时长:104小时 | 升级还需:13小时级别:8 | 在线时长:104小时 | 升级还需:13小时
 
注册日期: Aug 2003
住址: 浙江
帖子: 38
现金:76金币
资产:76金币
声望力: 0
声望: 10 realgzw 向着好的方向发展
声望力: 0
realgzw 向着好的方向发展
是不是只有高端的路由器才能做?3550能做吗?
realgzw 当前离线  
回复时引用此帖
旧 2004-05-28, 17:17   #8
arlenhong
注册用户
级别:2 | 在线时长:16小时 | 升级还需:5小时级别:2 | 在线时长:16小时 | 升级还需:5小时
 
arlenhong 的头像
 
注册日期: May 2004
住址: gg
帖子: 13
现金:26金币
资产:26金币
声望力: 0
声望: 10 arlenhong 向着好的方向发展
声望力: 0
arlenhong 向着好的方向发展
能确定在那个版本ios上可以实现?

不知道对版本有限定吗?好像是要在高端路由,ios12.1以上的企业版
arlenhong 当前离线  
回复时引用此帖
旧 2004-06-14, 19:19   #9
shizhe
fugitive
级别:21 | 在线时长:556小时 | 升级还需:16小时级别:21 | 在线时长:556小时 | 升级还需:16小时级别:21 | 在线时长:556小时 | 升级还需:16小时级别:21 | 在线时长:556小时 | 升级还需:16小时级别:21 | 在线时长:556小时 | 升级还需:16小时
 
shizhe 的头像
 
注册日期: Jul 2003
住址: depress
帖子: 1,798
现金:3376金币
资产:3376金币
声望力: 17
声望: 10 shizhe 向着好的方向发展
声望力: 17
shizhe 向着好的方向发展
凡是建立连接的,
连接就是双向的了
楼主的题目有歧义

细节彰显境界
境界成就未来
shizhe 当前离线  
回复时引用此帖
旧 2004-07-07, 11:21   #10
wisechao
注册用户
级别:9 | 在线时长:126小时 | 升级还需:14小时级别:9 | 在线时长:126小时 | 升级还需:14小时级别:9 | 在线时长:126小时 | 升级还需:14小时级别:9 | 在线时长:126小时 | 升级还需:14小时级别:9 | 在线时长:126小时 | 升级还需:14小时
 
注册日期: Jul 2003
住址: shezhen
帖子: 140
现金:407金币
资产:407金币
声望力: 16
声望: 10 wisechao 向着好的方向发展
声望力: 16
wisechao 向着好的方向发展
好,顶
wisechao 当前离线  
回复时引用此帖
旧 2004-07-15, 00:11   #11
fanminding
注册用户
级别:2 | 在线时长:14小时 | 升级还需:7小时级别:2 | 在线时长:14小时 | 升级还需:7小时
 
fanminding 的头像
 
注册日期: Jun 2004
住址: gz.zy
帖子: 57
现金:119金币
资产:119金币
声望力: 15
声望: 10 fanminding 向着好的方向发展
声望力: 15
fanminding 向着好的方向发展
这个区为什么不让发表新贴子啊?
fanminding 当前离线  
回复时引用此帖
旧 2004-12-10, 16:21   #12
七里香
风行者
级别:22 | 在线时长:584小时 | 升级还需:37小时级别:22 | 在线时长:584小时 | 升级还需:37小时级别:22 | 在线时长:584小时 | 升级还需:37小时级别:22 | 在线时长:584小时 | 升级还需:37小时级别:22 | 在线时长:584小时 | 升级还需:37小时级别:22 | 在线时长:584小时 | 升级还需:37小时
 
七里香 的头像
 
注册日期: Feb 2004
住址: 郑州
帖子: 1,853
现金:3697金币
资产:3697金币
声望力: 16
声望: 10 七里香 向着好的方向发展
声望力: 16
七里香 向着好的方向发展
3550 好像是不支持自反ip访问列表

提供郑州地区网络技术培训与CISCO技术支持服务
郑州网络技术群:26219257
http://hi.baidu.com/sunbinnetwork
帅哥 七里香 当前离线  
回复时引用此帖
旧 2004-12-12, 12:59   #13
moyini
注册用户
级别:6 | 在线时长:72小时 | 升级还需:5小时级别:6 | 在线时长:72小时 | 升级还需:5小时
 
注册日期: Nov 2004
住址: 北京
帖子: 307
现金:614金币
资产:614金币
声望力: 14
声望: 10 moyini 向着好的方向发展
声望力: 14
moyini 向着好的方向发展
图呢
moyini 当前离线  
回复时引用此帖
旧 2004-12-29, 10:43   #14
dapai
流浪者
级别:17 | 在线时长:374小时 | 升级还需:22小时级别:17 | 在线时长:374小时 | 升级还需:22小时级别:17 | 在线时长:374小时 | 升级还需:22小时级别:17 | 在线时长:374小时 | 升级还需:22小时级别:17 | 在线时长:374小时 | 升级还需:22小时
 
dapai 的头像
 
注册日期: Mar 2004
住址: 江苏
帖子: 1,681
现金:3330金币
资产:3330金币
声望力: 16
声望: 10 dapai 向着好的方向发展
声望力: 16
dapai 向着好的方向发展
我在65上做能成功

有容耐大,无欲则刚
dapai 当前离线  
回复时引用此帖
旧 2004-12-29, 13:15   #15
dapai
流浪者
级别:17 | 在线时长:374小时 | 升级还需:22小时级别:17 | 在线时长:374小时 | 升级还需:22小时级别:17 | 在线时长:374小时 | 升级还需:22小时级别:17 | 在线时长:374小时 | 升级还需:22小时级别:17 | 在线时长:374小时 | 升级还需:22小时
 
dapai 的头像
 
注册日期: Mar 2004
住址: 江苏
帖子: 1,681
现金:3330金币
资产:3330金币
声望力: 16
声望: 10 dapai 向着好的方向发展
声望力: 16
dapai 向着好的方向发展
就是reflect和evaluate的?用
dapai 当前离线  
回复时引用此帖
发表新主题 回复

主题工具

发帖规则
不可以发表新主题
不可以发表回复
不可以上传附件
不可以编辑自己的帖子

启用 BB 代码
论坛启用 表情符号
论坛启用 [IMG] 代码
论坛禁用 HTML 代码

论坛跳转


所有时间均为北京时间。现在的时间是 12:20


Powered by vBulletin® 版本 3.8.3
版权所有 ©2000 - 2018,Jelsoft Enterprises Ltd.
增强包 [3.4] 制作: PHP源动力   官方中文站: vBulletin 中文
Copyright © 2003 - 2013 Net130.com, All Rights Reserved 备案号:皖ICP备11007528号