某公司通過路由器實作各部門之間的互連。為友善管理網絡,管理者為公司的上司辦公室和員工辦公室規劃了兩個網段的IP位址。同時為了隔離廣播域。現要求上司辦公室能夠通路員工辦公室,但員工辦公室不能通路上司辦公室,防止公司機密洩露。拓撲如下:
配置思路:
1、配置進階ACL和基于ACL的流分類,通過限制ICMP和TCP業務的方式實作上司辦公室到員工辦公室的單向通路:
- TCP業務:允許員工辦公室到上司辦公室的syn+ack封包通過,即允許對上司辦公室發起的TCP連接配接進行回應;拒絕員工辦公室到上司辦公室的syn請求封包通過,防止員工辦公室主動發起TCP連接配接。
- ICMP業務:拒絕員工辦公室到上司辦公室的echo請求封包通過,防止員工辦公室主動發起ping連通性測試。
說明:UDP業無法實作單向通路。
2、配置流行為,對比對上ACL的封包不作任何動作,按原來政策轉發。
3、配置并應用流政策,使ACL和流行為生效。
具體配置:
1、建立ACL并配置ACL規則
acl number 3001
rule 5 permit tcp source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 tcp-flag ack syn
rule 10 deny tcp source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 tcp-flag syn
rule 15 deny icmp source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 icmp-type echo
2、配置流分類tc1,對比對ACL 3001進行分類
traffic classifier 1 operator or
if-match acl 3001
3、配置流行為
traffic behavior 1
permit
4、配置流政策
traffic policy 1
classifier 1 behavior 1
5、在接口下應用流政策
interface GigabitEthernet0/0/1
traffic-policy 1 inbound
測試如下:
client1可以通路server2的http服務
client2無法可以通路server1的http服務
PC4 ping可以通Server2
PC3 ping不通Server1