单向通信的一个小实验

已于 2025-03-09 04:17:56 修改
阅读量1.1k 收藏 20
点赞数 24
分类专栏: 有趣小实验 文章标签: 网络 运维
于 2024-11-02 00:20:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/pt1043/article/details/143442539
版权

实验拓扑如下:

单向访问一般是采用自反ACL实现的——(Reflexive ACL)是一种用于动态管理流量的访问控制列表,它允许流量从内部网络发起,而返回的流量则被自动允许。自反ACL通常用于提高网络安全性,同时允许有效的会话管理。

工作原理:

  1. 流量的初始发起:

    • 当内部主机发起连接(例如,访问外部服务器),自反ACL会首先检查出站流量。

    • 出站流量会根据ACL规则进行评估,如果符合允许规则,流量会被允许通过。

  2. 记录状态:

    • 自反ACL会动态地记录这次连接的状态信息,包括源IP、目标IP、源端口和目标端口等信息。

    • 这通常通过创建临时的“会话”条目来实现。

  3. 允许返回流量:

    • 当外部服务器尝试响应该连接时,返回流量会根据之前记录的会话信息进行检查。

    • 自反ACL会允许这些返回流量,而不需要再进行静态配置。

  4. 会话过期:

    • 如果在一定时间内没有流量进行活动,记录的会话条目会过期,从而不再允许返回流量。

优势

  • 动态性: 自反ACL可以动态管理流量,而无需为每个可能的返回流量手动添加规则。

  • 安全性: 它提高了网络的安全性,因为只允许已建立的会话的返回流量,防止未授权的流量。

实验环境搭建准备与说明:

内网路由器R1的loopback口可以访问外网的203.0.113.3,反向则不允许,使用telnet测试。因为ACL设置的单项反问是基于TCP和UDP的而没有允许ICMP等协议。

路由器R1的基础配置:

Building configuration...

hostname R1
enable password cisc0123
username cisco password 0 cisc0123

interface Loopback1
 ip address 10.1.1.1 255.255.255.0
 ip ospf network point-to-point
 ip ospf 1 area 0
!
interface Ethernet0/0
 ip address 10.1.12.1 255.255.255.0
 ip ospf network point-to-point
 ip ospf 1 area 0

router ospf 1
 router-id 1.1.1.1

line vty 0 4
 password cisc0123
 login local
 transport input telnet

路由器R2的基础配置:

Building configuration...

Current configuration : 1186 bytes
!
hostname R2

interface Ethernet0/0
 ip address 10.1.12.2 255.255.255.0
 ip ospf network point-to-point
 ip ospf 1 area 0
!
interface Ethernet0/1
 ip address 198.51.100.66 255.255.255.252

router ospf 1
 router-id 2.2.2.2
 default-information originate metric 100
!
ip route 0.0.0.0 0.0.0.0 198.51.100.65

路由器R3的基础配置:

Building configuration...

Current configuration : 1220 bytes
!
hostname R3

username cisco secret 5 $1$FiFI$ifpOrnDTWZLNTIkWDGF1s.

interface Loopback1
 ip address 203.0.113.3 255.255.255.255
!
interface Ethernet0/0
 ip address 198.51.100.65 255.255.255.252

ip route 0.0.0.0 0.0.0.0 198.51.100.66

line vty 0 4
 login local
 transport input telnet

现阶段,配置单向访问前准备已完成。全网互通,由于简化模型则没有设置NAT选项。外网只是配了一条默认路由的回包;为了配合测试单向访问则开启了telnet服务。在运营商申请固定IP地址时,运营商只给一个/30的地址和下一跳IP地址以及DNS地址。具体运营商给客户的路由是如何配置的有了解细节的希望回复一下。

以下开始实施单向访问——在网关设备R2的核心配置

//LAN Connection to WAN Outside(定义一个本身具有注释的名字很有意义)->LC2W-O

//One-way Access(accessing a network unilaterally-单向反问一个网络)->OWA

ip access-list extended LC2W-O
 permit tcp any any reflect OWA timeout 300
 permit udp any any reflect OWA timeout 300
ip access-list extended WC2L-I
 evaluate OWA

interface Ethernet0/1
 ip access-group LC2W-O out
 ip access-group WC2L-I in

测试一下:

如果想换个方向做单向访问,去R2的E0/1上把LC2W-O的方向变成in;把WC2L-I变成out即可。

PS:但实际应用是不会有人使用互联网单向访问某个内网的;不过换个思路,两个独立的自主的网络,设置某一方可以单向访问另一方是可行的。

技术要点:

  • 自反ACL永远设置为permit;

  • 自反ACL允许高层Session信息的数据包过滤;

  • 利用自反ACL可以只允许出去的流量,但是阻止从外网产生的流量发往内网;

  • 自反ACL是在有流量产生时(如出方向的流量)临时自动产生,并且当Session结束时将清除条目;

  • 自反ACL不是直接被应用到某个接口下,而是嵌套在一个扩展命名ACL下。

以上输出可以看到自反ACL当有内部到外部Telnet流量经过时临时产生一条ACL;反过来在外网Telnet进入内网时不会自动产生一条ACL,不能访问。 

实验一 进程通信——管道和信号实验报告.doc
05-13
通过pipe()函数创建一个单向的数据通道,使得两个进程可以通过这个通道交换信息。在这个例子中,父进程创建两条管道,子进程P1和P2分别向各自的管道写入消息,然后由父进程按顺序从管道中读取并显示消息。这展示了...
操作系统实验四 进程的管道通信 实验报告
10-23
首先,管道是一种单向的通信渠道,它允许数据从一个进程流向另一个进程,但不能反向流动。在这个实验中,我们使用了`pipe()`系统调用来创建一个管道,该调用返回两个文件描述符:`fd[0]`代表读端,`fd[1]`代表写端。...
单向访问测试(VACL和自反ACL
weixin_33769207的博客
10-28 436
一.测试拓扑:   二.基本配置: R1:(模拟为一三层交换机) vlan database  vlan 2  vlan 3 exit config t interface f0/2  sw mo ac  sw ac vlan 2 interface f0/3  sw mo ac  sw ac vlan 3 interface f0/4  sw mo ac ...
实现单向访问控制
weixin_34273481的博客
12-27 388
[Router]acl 3000 match-order auto //配置acl 3000 [Router-acl3000]rule 1 deny icmp source 192.168.10.30 0.0.0.0 destination 192.168.10.20 0.0.0.0 icmp-type echo // 禁止主机PC2 ping主机PC1...
单向访问
weixin_38248556的博客
08-18 2258
有1种单向,是比如在做安全规则中,至允许A访问B,B无法访问A,但是tcp的三次握手也是可以完成的(是A能主动访问B,而B不能主动访问A,虽然B不能主动访问A,但是如果是A主动发起的连接,B是可以回复的),    还有1种就是纯单向无反馈的,这种就不能完成tcp的三次握手,一般都是用udp协议做,这种单向应用的场景一般是shemi场景了(比如低秘网络向高秘网络传输,只要把文件放进去就好了,肯定不
H3C通过配置ACL实现单向访问示例
最新发布
更多内容查看博客描述。
03-03 534
如果在ACL中只匹配源ip或目的ip,就会双向不通,需要使用ACL中的tcp的标志位来进行匹配,实现单向访问。HCL模拟器,在vlan虚拟接口调用ACL只有inbound方向生效,outbound方向ACL不生效。1.在监控区域SW,vlanif10上调用ACL,拒绝目的地址为172.16.100.0/24的流量。办公区主机172.16.100.1,可以访问监控区域设备192.168.10.1,反向访问不允许。办公区SW上已有较多ACL策略,要求在监控区域SW上配置。办公区域主机可以访问监控区域设备。
单向路由访问
weixin_34408624的博客
11-26 1054
单向路由访问的实现原理 实现拓扑如下,条件是内网和外网经过两个路由器相连,内网也有合法的ip地址,意思就是内网可以访问外网的internet,不需要做nat的转换就行,要求是外网不能访问内网的资源。 1.R1上的配置基本配置: Router> Router>en Router#conf Configuringfromterm...
访问控制列表实现网络单向访问
afeyfre41671的博客
04-21 331
访问控制列表实现网络单向访问 网络, 列表, 访问 简易拓扑图(所有子网掩码均为255.255.255.0):   PC(10.1.1.2)---E0(10.1.1.1)[RouterA]S0(192.1.1.1)---S1(192.1.1.2)[RouterB]     做网络单向访问其实实现的是防火墙的基本功能:我是内网,你是外网,我能访问你,但你不能访问我。  ...
实验四:Linux下进程管道通信.docx
04-13
管道是一种特殊类型的文件,它允许相关进程之间进行单向通信。在这个实验中,我们关注三个具体任务。 ### 任务1 这个任务涉及创建一个父子进程的通信链路。首先,父进程调用pipe()系统调用来创建管道,然后fork()...
物联网通信实验指导书实验一
04-24
"物联网通信实验指导书实验一" 本实验指导书是物联网通信技术课程的实验部分,旨在使学生掌握物联网通信的基本概念、了解物联网通信的发展现状、掌握物联网通信的关键技术,并通过实验和实践教学强化学生对物联网...
怎样配置思科路由器自反ACL 实现网段之间单向访问
10-01
ACL可以限制网络流量、提高网络性能,为了保护内网的安全,可以只允许内网访问外网,不允许外网访问内网,这里利用cisco 路由器的自反ACL来实现。
Cisco自反ACL列表
01-09
在R2上用扩展访问列表可以阻止R1主动向R3发起的TCP连接。但也阻止了R3被动向R1发的TCP回应。这是不合题意的。因此就目前而言,扩展访问列表无法满足这个需求。于是就引出了一个新型的访问列表―――自反访问控制列表
实验一-进程通信——管道和信号实验报告.doc
04-24
### 实验一 进程通信... - 用于实现父子进程或兄弟进程之间的单向通信。 通过以上实验内容的学习与实践,学生能够更加深入地理解进程通信的核心概念和技术细节,为进一步探索更复杂的进程间通信机制打下坚实的基础。
实训二十四: 交换机单向访问控制的配置
weixin_60462069的博客
10-03 3062
1、单 向 访 问 控 制 — 允 许 A 网段的用户可以访问 B 网段的 tcp 应用,而 B 网段不能访 问 A 网段的 tcp 应用。譬如:一个公司有财务部和业务部,财务部可以访问业务部的数据,但是不允许业务部 的机器访问财务部的数据。3、PC2 可以访问到 FTP-SERVER1,但同时 PC1 不能访问到 FTP-SERVER2,实现了 VLAN200 到 VLAN100 的单向访问。2、 正确配置四台机器的 IP 地址,子网掩码和网关。1、 DCN-CS6200 交换机 1 台。
控制列表实现单向访问
weixin_34268753的博客
04-27 991
控制列表实现单向访问实施环境:思科小凡的模拟器1、要求:现有路由器两台和PC机两台,两台路由器分别连接一个区域lan1和lan2,每个区域分别有一台PC,要求实现针对任何应用协议如{tcp/udp},lan1到lan2是通的,但lan2到lan1是不通的。2、网络拓扑图使用亿图工具绘制出网络拓扑图如图1所示:图1:网络拓扑图3、设备配置(1)路由器R1的配置//进入特权模式R...
自反访问控制列表ACL
black_zt666的博客
07-30 2880
实验名称 自反访问控制列表ACL 一、 实验目的 1、理解自反 ACL 工作原理,掌握 reflect和evaluate字段意义; 2、掌握自反ACL的配置方法。 二、实验仪器设备或材料 Cisco PT Gns3 华为Ensp 三、实验原理 自反ACL(Reflective ACL)是动态ACL技术的一种应用。设备根据一个方向的ACL,可以自动创建出一个反方向的ACL(自反ACL),该ACL和原ACL的源IP地址和目的IP地址、源端口号和目的端口号完全相反。 利用自反ACL,可以实现单向访问控制,只
华为eNSP:自反ACL
nankon_的博客
06-20 1494
综上所述,自反ACL通过动态创建临时的反向规则来允许响应流量进入,而阻止未被请求的外部流量。这种技术可以有效地保护内部网络,同时确保合法通信的顺畅。在实际应用中,管理员需综合考虑安全需求、管理复杂性和性能影响,以合理部署自反ACL,从而最大化其优势。
ACL(访问控制列表)
qq_58881947的博客
05-10 1996
目录1、ACL概述2、实验一:基本ACL(2000~2999)用法3、实验二:高级ACL(3000~3999)用法(单项访问)4、实验四:ACL时间设定ACL技术作用:通过定义一些列规则来允许或拒绝流量通,提高网络性能、防止网络攻击。保障数据传输的安全可靠性和网络稳定,可定义一些列的规则对数据包进行分类并针对不同类型的报文进行不同的处理以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击可以限制网络访问ACL技术用法: 设置在路由器或交换机接口上,两个接口协议设置不一样时效果不一样。
网络单向通信
sinat_33822516的博客
05-13 5559
目前很多软件都是基于一个C/S或B/S架构的,像公司的产品就是杀毒产品,在每个pc上都要安装客户端,然后有一个统一的Server端,用来下发策略以及查看各个终端的事件。 但是在企业级用户中,会经常发现,企业更喜欢是将所有的PC终端都放在内网中,而Server放在可以连接外网的网络中,而且只有Agent可以访问Server,Server不能主动连接Agent。这就需要一个单向通信的原理了。之前本人...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

pt1043

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值