銳捷交換機單向訪問控制

1、應用場景：路由器有一種功能叫自反ACL，能夠實現單向訪問的需求，比如A用戶能夠主動訪問B，但是B用戶不能主動訪問A，但是交換機的安全ACL是通過硬件芯片直接實現，所以沒有自反ACL的邏輯，無法實現同樣的效果。但是如果您需要控制的AB用戶之間的數據流是TCP這樣的帶有狀態(tài)位的協議時，因為每次訪問前都需要先進行TCP會話協商，有三次握手的過程，就可以考慮利用TCPSYN位的發(fā)起方來變相的控制A能主動發(fā)起到B的訪問，但是B不能主動訪問A，從而

2、實現類似于自反ACL的功能。特別適用于一些敏感服務器，比如提供給外網訪問他的FTP，WEB服務等，但是出于安全考慮，不允許這些服務器去訪問inter上面的其他TCP的服務。交換機依靠TCPFLAG實現基于TCP的訪問限制，其他非TCP協議，比如ICMP報文和UDP報文將無法做限制。功能簡介：ACLs的全稱為接入控制列表(AccessControlLists)，也稱為訪問列表（AccessLists），俗稱為防火墻，在有的文檔中還稱之為包

3、過濾。ACLs通過定義一些規(guī)則對網絡設備接口上的數據報文進行控制：允許通過或丟棄。對數據流進行過濾可以限制網絡中的通訊數據的類型，限制網絡的使用者或使用的設備。安全ACLs在數據流通過網絡設備時對其進行分類過濾，并對從指定接口輸入或者輸出的數據流進行檢查，根據匹配條件(Conditions)決定是允許其通過(Permit)還是丟棄(Deny)。ACLs由一系列的表項組成，我們稱之為接入控制列表表項(AccessControlEntry：

4、ACE)。每個接入控制列表表項都申明了滿足該表項的匹配條件及行為。訪問列表規(guī)則可以針對數據流的源目MAC、源目IP地址、TCPUDP上層協議，時間區(qū)域等信息，通常分為如下幾種類型的ACL：IP標準ACL，IP擴展ACL，MAC擴展ACL，專家級ExpertACL，IPv6擴展ACL，報文的前80字節(jié)的ACL80等。ACL部署原則：ACL通過過濾數據包并且丟棄不希望抵達目的地的數據包來控制通信流量。然而，網絡能否有效地減少不必要的通信流量

5、，這還要取決于網絡管理員把ACL放置在哪個地方。原則：根據減少不必要通信流量的通行準則，管理員應該盡可能地把ACL放置在靠近被拒絕的通信流量的來源處。舉個例子：我們經常見到對常見病毒端口進行過濾的ACL，那么這種ACL應用在哪里比較合適呢？四、配置步驟說明：環(huán)境要求阻止網絡B的主機發(fā)起到網絡A的TCP通信請求，只要過濾從網絡B發(fā)起經過中間設備G32口轉發(fā)的TCP連接請求報文即可。分析TCP連接過程可知，TCP初始請求報文的TCP首部標志

6、字段的SYN置位且ACK標志位為0。因此，我們可以通過配置擴展訪問控制列表的Matchall選項，在G32端口的入口方向，對TCP首部SYN標志位置1且ACK標志位為0的報文進行過濾，即可實現網絡A單向訪問網絡B的應用。方法1：在B上做控制交換機SWB的配置命令如下：Ruijie#configureterminalRuijie(config)#ipaccesslistextended101在配置模式下創(chuàng)建擴展訪問列表ACL101Ruij

7、ie(configextnacl)#denytcp192.168.100.00.0.0.255192.168.200.00.0.0.255matchallsyn拒絕TCPFlag的SYN=1，且其它（包含ACK標志位）標志位為0的報文通過Ruijie(configextnacl)#permitipanyany允許其它IP報文通過Ruijie(configextnacl)#exitRuijie(config)#interfacegigab