思科路由器反向访问控制列表配置
在172.16.4.0/24网段中的计算机都是服务器,我们通过反向ACL设置保护这些服务器免受来自172.16.3.0这个网段的病毒攻击。
配置实例:禁止病毒从172.16.3.0/24这个网段传播到172.16.4.0/24这个服务器网段。
access-list 101 permit tcp 172.16.3.0 0.0.0.255 172.16.4.0 0.0.0.255 established Cisco 模拟器 定义ACL101,容许所有来自172.16.3.0网段的计算机访问172.16.4.0网段中的计算机,前提是TCP连接已经建立了的。当TCP连接没有建立的话是不容许172.16.3.0访问172.16.4.0的。
设置完毕后病毒就不会轻易的从172.16.3.0传播到172.16.4.0的服务器区了。因为病毒要想传播都是主动进行TCP连接的,由于路由器上采用反向ACL禁止了172.16.3.0网段的TCP主动连接,因此病毒无法顺利传播。
检验反向ACL是否顺利配置的一个简单方法就是拿172.16.4.0里的一台服务器PING在172.16.3.0中的计算机,如果可以PING通的话再用172.16.3.0那台计算机PING172.16.4.0的服务器,PING不通则说明ACL配置成功。
通过上文配置的反向ACL会出现一个问题,那就是172.16.3.0的计算机不能访问服务器的服务了,假如图中172.16.4.13提供了WWW服务的话也不能正常访问。解决的方法是在ESTABLISHED那句前头再添加一个扩展ACL规则,例如:access-list 101 permit tcp 172.16.3.0 0.0.0.255 172.16.4.13 0.0.0.0 eq www这样根据“最靠近受控对象原则”即在检查ACL规则时是采用自上而下在ACL中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的 ACL语句。172.16.3.0的计算机就可以正常访问该服务器的WWW服务了,而下面的ESTABLISHED防病毒命令还可以正常生效。
相关推荐
- 【路由器】 路由器怎么改密码WiFi密码 05-02
- 【路由器】 wifi怎么设置不让别人蹭网 04-21
- 【路由器】 怎么修改自家WiFi密码 04-14
- 【路由器】 怎么修改wifi密码教程 03-14
- 【路由器】 一键登录192.168.1.1登录网页 03-08
- 【路由器】 华为NFC移动路由器怎么样 08-27
- 【路由器】 非屏蔽双绞线可以传输什么信号 08-19
- 【路由器】 非屏蔽双绞线和屏蔽双绞线的区别 08-19
- 【路由器】 非屏蔽网线配套屏蔽配线架有用吗 08-19
- 【路由器】 非屏蔽网线要接地吗 08-19
本周热门
-
1
192.168.1.1登录入口地址 2020/03/20 -
2
六类网线网速是多少 2020/08/18 -
3
网线千兆百兆区别 2020/08/11 -
4
网线cat5e是什么意思 2020/08/17 -
5
网线颜色代表什么意思 2020/08/12 -
6
网线怎么迁移 2020/08/17 -
7
五类网线能跑多少 2020/08/13 -
8
网线太长会不会影响网速 2020/08/12
本月热门
-
1
192.168.1.1登录入口地址 2020/03/20
-
2
五类网线能跑多少 2020/08/13
-
3
网线怎么迁移 2020/08/17
-
4
网线千兆百兆区别 2020/08/11
-
5
网线ab接法有什么不同 2020/08/14 -
6
网线颜色代表什么意思 2020/08/12
-
7
六类网线网速是多少 2020/08/18
-
8
网线cat5e是什么意思 2020/08/17
-
9
网线太长会不会影响网速 2020/08/12
-
10
网线屏蔽和非屏蔽的区别 2020/08/14