自反acl

最新推荐文章于 2025-09-05 19:25:19 发布

转载最新推荐文章于 2025-09-05 19:25:19 发布 · 86 阅读

0 ·

CC 4.0 BY-SA版权

原文链接：http://www.cnblogs.com/lakerschampionships/p/10930095.html

文章标签：

#网络

博客介绍了通过对端口请求数据包打标记、检测回复数据包来控制通过的原理，给出拓扑图并测试连通性。接着展示了配置ACL的命令，包括允许特定ICMP及标记数据包进入内网等。最后进行测试，如R2 PING R4、R2和R4的telnet测试，验证了配置效果。

原理：通过对经过该端口的请求数据包打上标记，对回复的数据包进行检测，据有该标记的数据包允许通过，否则被拒绝。

拓扑图

测试连通性

R2 telnet R4

配置命令

在检测连通性，确保无误后，配置acl

r1(config)#ip access-list extended come

r1(config-ext-nacl)#permit icmp any any 被允许的ICMP是不用标记即可进入内网的

r1(config-ext-nacl)#evaluate abc 其它要进入内网的，必须是标记为ab

r1(config)#ip access-list extended goto

r1(config-ext-nacl)#permit tcp any any eq telnet reflect abc timeout 60 telnet已记为abc

r1(config-ext-nacl)#permit ip any any

应用ACL

r1(config)#int f0/1

r1(config-if)#ip access-group goto out

测试结果

R2 PING R4

ICMP允许通过

R2 telnet R4

可见，内网向外网发送的telnet因被标记了abc所以被允许返回了

R4 telnet R2

查看acl表

转载于:https://www.cnblogs.com/lakerschampionships/p/10930095.html

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

weixin_30475039

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

Cisco 自反ACL真机配置实例

qq_24328629的博客

05-20

1482

Cisco 自反ACL真机配置实例某个机会下接触到Cisco的自反ACL ，自反ACL主要实现单项访问类似于防火墙基于会话的方式控制访问，自反ACL在有匹配到对应数据流时，设备自动生成一条自反ACL实现返回的数据不至于没有放行ACL而丢弃。具体实验通过平去测试，实现A侧可以ping通B侧而另B侧不能ping通A侧。实验拓扑：配置：配置命令： Router(config)#interface G0/0/0 Router(config-if)#ip add Router(c

实验9、自反ACL.doc

05-30

拥有扩展ACL，就会拥有自反ACL，通过本文档你可以了接到自反ACL的原理以及如何配置自反ACL，同样里面也包含了实验的拓扑图和相关的步骤命令。

参与评论您还未登录，请先登录后发表或查看评论

华为eNSP：自反ACL

nankon_的博客

06-20

1723

综上所述，自反ACL通过动态创建临时的反向规则来允许响应流量进入，而阻止未被请求的外部流量。这种技术可以有效地保护内部网络，同时确保合法通信的顺畅。在实际应用中，管理员需综合考虑安全需求、管理复杂性和性能影响，以合理部署自反ACL，从而最大化其优势。

华为eNSP实验：自反ACL

fanshizhiren的博客

06-25

1085

自反ACL、高级ACL和基本ACL是网络设备上用于控制流量访问的三种不同类型的访问控制列表（ACL），它们在匹配能力、动态性以及应用场景等方面存在明显区别。匹配能力基本ACL：基本ACL只能匹配IP源地址，其编号范围为2000-2999。高级ACL：高级ACL可以匹配源IP地址、目标IP地址、协议号、源端口和目标端口等三层和四层字段，其编号范围为3000-3999。自反ACL：自反ACL不直接匹配具体的IP地址或端口号，而是根据会话的初始请求动态生成允许响应流量的规则。动态性基本ACL。

华为自反ACL实验

SHDTC0的博客

12-11

1497

做这个实验的原因是最近公司里上了三台小程序服务器，由于三台服务器的端口都映射出去了，领导要求A网段的三台服务器不能访问内网B，C网段，同时B、C网段内网用户可以访问A段的94、95、96服务器；8#（如果是拒绝BC访问A网段三台服务器，同时A段三台服务器可以访问BC网段的话，ACL则需要应用在inbound上，ACL的源目的地址调换位置就可以）。，还有就是出入方向（inbound和outbound）选择，自反ACL也能实现B、C网段不能访问A网段，同时A网段可以访问B、C网段。LSW1是没有做任何配置；

自反ACL

zhgj_xj的博客

06-27

161

测试pc2是否可以访问pc1，结果如图。使用高级ACL实现单向访问控制。测试PC1和PC2的连通性。自反ACL的实验拓扑如图。

在思科模拟器Cisco Packet Tracer实现自反ACL

m0_56942354的博客

05-20

2588

目录一、前言实验1：使用ACL控制链路连通性实验2：在思科模拟器Cisco Packet Tracer实现自反ACL 步骤一：给路由器2911开启securityk9模式步骤二：配置ACL 步骤三：验证连通性一、前言最近在通过Cisco Packet Tracer模拟器学习ACL时，遇到的一点小问题，ACL分为标准的ACL访问控制列表和扩展的访问控制列表，但是当给某一路由器配置了一条访问控制列表，虽然是实现禁止该条例控制列表，但是无法从对端PING回来。具体...

自反ACL总结

04-06

8790

有这样一个要求，就是我们要允许内部的机器可以访问外部，可是不允许外部的主机访问内部，有人说，这个简单，用一个访问控制列表，在Seial1上做如下配置 router(config)#access-list 100 deny ip any any router(config-if)#ip access-group 100 in 这样做的结果是外面肯定不能访问内部了，可是我们从内部出去的数

防火墙技术自反ACL

weixin_33725722的博客

05-24

410

自反ACL 拓扑以及地址规划 Ping 通截图配置拒绝外网主动访问内网配置允许ICMP可以不用标记就进入内网，其它的必须被标记才返回 r1(config)#ip access-list extended come r1(config-ext-nacl)#permit icmp any any被允许的ICMP是不用标记即可进入内网的 ...

演示：自反ACL的配置

weixin_33975951的博客

11-21

379

自反ACL的定义：自反ACL（reflexive ACL），它允许内部安全网络上的计算机主动访问非安全区域的出站数据包的目的地返回的应答流量回到该出站数据包的源地址。这样，ACL就能基于一种访问的状态来过滤外部回到企业内部的流量，可以更加严格地控制哪些流量能进入企业的内部网络（安全网络），并且提升了扩展访问列表的实战应用能力。比如，企业网络管理员希望企...

怎样配置思科路由器自反ACL 实现网段之间单向访问？

10-01

配置思科路由器的自反ACL（Access Control List）是一种有效的网络安全措施，主要用于限制网络流量并提高网络性能。自反ACL可以在不增加过多复杂性的前提下，实现特定的访问控制策略，比如在本例中，我们希望通过它...

如何使用自反ACL限制外网访问.docx

09-27

### 使用自反ACL限制外网访问 #### 一、引言随着网络安全威胁的日益增多，企业对于内外网之间的通信安全越来越重视。一种常见的做法是使用访问控制列表（Access Control List，简称ACL）来限制不必要的网络流量。...

Cisco自反ACL列表

01-09

【Cisco自反ACL列表】是一种高级的访问控制技术，它解决了传统扩展访问列表在处理双向通信时存在的问题。自反ACL能够智能地过滤特定方向的流量，允许数据包的回应通过，而不会阻断反向的合法通信。这在需要精细控制...

9.4 动态路由协议

2301_81476026的博客

09-04

519

：表示路由协议的优先级，数值越小越优先。。

计算机网络模型入门指南：分层原理与各层作用

2402_85030292的博客

09-04

654

所以，需要首先通过ARP协议获取对方的MAC地址，然后将收发双方的MAC地址形成一个MAC头部，加入到IP数据包（包）的前面，形成一个数据帧（Data Frame）,最后发送到以太网。如果没有分层，网络通信的所有功能（从物理信号传输到应用数据解析）都需要由一个模块完成，就像用一个程序实现 “快递打包 + 运输 + 配送 + 签收” 的全流程 —— 任何一个环节的改动（如包装规格变化）都可能影响整个系统，开发和维护几乎不可能实现。：负责 “用户数据的格式处理”（类似 “快递里的物品包装与拆封”）。

十大最佳网络监控工具

心一信息

09-03

722

摘要：本文介绍了8款优秀的网络监控工具，涵盖云端和开源解决方案。Auvik提供自动化网络发现和流量分析；SolarWinds以可定制仪表板和警报功能见长；LogicMonitor具备AI驱动的异常检测能力；Nagios作为老牌开源工具支持插件扩展；Zabbix提供分布式监控和强大可视化；Datadog支持600+技术集成；AdRem NetCrunch擅长无代理监控；Observium则专注于SNMP设备监控。这些工具都能帮助IT团队实时监控网络性能，快速定位并解决问题，确保业务连续性。

串口服务器技术详解：2025年行业标准与应用指南

2501_91398178的博客

09-02

1070

串口服务器（Serial-to-Ethernet Server）是一种将传统串口设备（如RS-232、RS-485、RS-422）转换为以太网设备的硬件设备。它能够实现：· 串口设备的远程监控与管理。· 数据透明传输，支持TCP、UDP等网络协议。· 传统设备与现代网络环境的无缝对接。串口服务器作为工业和物联网领域的重要设备，2025年正呈现技术多元化、应用场景广泛化的发展趋势。MOXA、EBYTE、研华、Lantronix和西门子等品牌凭借其技术优势和行业经验，为用户提供了丰富的选择。

ZeroMQ 编译 & 项目使用流程文档