Quidway AR 28-12 做自反ACL+NAT

要求:公司新成立一部门,设置开发部和业务部,需实现新部门人员上网的控制,新部门人员可以访问现有网络里的主机,反之不行;开发部可以访问业务部,业务部不能访问开发部。

环境:

1台路由器,三个以太口,一个做出口,上联其它路由器;另两个分别下联两个网段。

<DZSW>dis cur

#

sysname DZSW

#

cpu-usage cycle 1min

#

firewall enable

#

nat address-group 5 192.168.142.228 192.168.142.228

nat address-group 6 192.168.142.229 192.168.142.229

#

radius scheme system

#

domain system

#

local-user admin

password simple 12345678

service-type telnet terminal

level 3

service-type ftp

#

acl number 2001

rule 1 permit source 192.168.146.2 0

rule 2 permit source 192.168.146.3 0

rule 3 permit source 192.168.146.4 0

acl number 2002

rule 2 permit source 192.168.148.1 0

rule 3 permit source 192.168.146.1 0

rule 4 permit source 192.168.148.201 0

rule 5 permit source 192.168.148.2 0

#

acl number 3001

nesting 3000

rule 1 permit icmp source 192.168.148.0 0.0.0.255 destination 192.168.146.0 0.g

rule 2 deny ip source 192.168.148.0 0.0.0.255 destination 192.168.146.0 0.0.0.5

rule 3 permit ip

acl number 3002

rule 0 permit icmp source 192.168.146.0 0.0.0.255 destination 192.168.148.0 0.5

rule 1 permit tcp source 192.168.146.0 0.0.0.255 destination 192.168.148.0 0.0g

rule 2 permit ip

#

interface Aux0

async mode flow

#

interface Ethernet0/0

ip address 192.168.148.254 255.255.255.0

firewall packet-filter 3001 inbound

firewall packet-filter 3002 outbound

#

interface Ethernet0/1

ip address 192.168.146.254 255.255.255.0

#

interface Ethernet1/0

ip address 192.168.142.228 255.255.255.0

nat outbound 2002 address-group 5

nat outbound 2001 address-group 6

#

interface Serial0/0

clock DTECLK1

link-protocol ppp

ip address dhcp-alloc

#

interface Serial0/1

clock DTECLK1

link-protocol ppp

ip address dhcp-alloc

#

interface NULL0

#

FTP server enable

#

ip route-static 0.0.0.0 0.0.0.0 192.168.142.254 preference 60

#

snmp-agent

snmp-agent local-engineid 000007DB7F0000010000530A

snmp-agent community read public

snmp-agent sys-info version all

#

user-interface con 0

user-interface aux 0

user-interface vty 0 4

authentication-mode scheme

#

return

时间: 2024-08-03 13:25:41

Quidway AR 28-12 做自反ACL+NAT的相关文章

CCNA WAN ACL&NAT

ACL要么应用于入站数据流要么应用于出站数据流. ACL编号范围: 1 ~ 99 和1300 ~ 1999: 标准IP ACL 100 ~ 199和2000 ~ 2699: 扩展IP ACL 600 ~ 699: AppleTalk 800 ~ 899: IPX 标准ACL: 只指定源地址,不指定目标地址 扩展ACL: 查看源IP地址,也查看目标IP地址.协议和端口号. 配置标准ACL access-list 2 deny 192.168.0.1 access-list 2 permit 192

自反ACL

ESW1: (主要配置)    其它 电脑 就配置上IP 网关 !interface FastEthernet1/0 switchport access vlan 10 duplex full speed 100!interface FastEthernet1/1 switchport access vlan 30 duplex full speed 100!interface FastEthernet1/2 switchport access vlan 20 duplex full speed

自反ACL的配置

现在我们个需求:允许内网主机访问外部网络,而外部网络不能访问我们的内网,如果我们使用router(config)#access-list {access-list-number} deny ip any any 并在指定接口调用,那么,外部网络是不能够访问内部网络的,但内部网络的数据出去之后也回不来了,显然,我们并不想要这种结果.我们知道TCP在建立连接之前,有一个三次握手过程,在TCP的包头里面有一个标志位,我们的扩展访问控制列表可以对这个标志位进行控制.我们分析下,内部主机向外发起连接的时候

linux 做gw(nat)详细配置

          linux 做企业网关gw(nat)详细配置 最近因为公司的路由器老化导致上网时断时续,上半小时网就断一次网,为此我头疼不已,本着为公司节约成本的宗旨,决定自己弄一台centos做网关路由,于是在网上各种搜索,东拼西凑,总算是把这网关路由给搞定了.看到网上没有一篇完整说明centos做网关路由的文档,于是决定把我这次部署网关路由的经历分享给大家. 我的环境是这样的: 外网固定IP是180.159.110.130(公司官网兼邮件).180.159.110.127(VPN) 网关

2016.11.12 做题感想

细数一下这两天做过的值得总结的一些题Orz...... HDU 2571 简单dp,但是一开始WA了一发.原因很简单:没有考虑仔细. 如果指向该点的所有点权值都为负数,那就错了(我一开始默认初始值为0) 这是非常基础的典型DAG模型,好久不做,手明显生了-- 1 #include <bits/stdc++.h> 2 3 using namespace std; 4 5 #define REP(i,n) for(int i(0); i < (n); ++i) 6 #define rep(i

自反ACL实验(GNS3)

1.拓扑图 R2.R3为内网      R4为外网 2.对路由器进行配置 先将网络配通再配ACL,往各个接口配上相应的地址,然后配置静态路由使内外网连通 测试网络连通性 R2 ping R4 开始配置ACL (1)配置允许ICMP可以不用标记就进入内网,其它的必须被标记为meaqua才返回,然后应用ACL (2) 测试外网ICMP访问内网和telnet内网 可以发现ICMP可以访问,而telnet不能 (3)配置内网向外网发起的telnet被返回,并在端口f1/0上应用ACL (4)测试内网te

VLAN+VTP+STP+HSRP+ACL+NAT+OSPF综合

如图所示,使用GN3搭建网络环境,交换机间均为Trunk链路. 2.配置要求: 2.1 在SW1.SW2.SW3上添加VLAN 10.VLAN 20,IP地址段分别为192.168.10.0/24和192.168.20.0. 2.2 配置SW1为VLAN 10的根网桥,SW2为VLAN 20的根网桥,实现链路的负载分担. 2.3 在SW1.SW2.R1和R2上配置OSPF路由协议,实现网络互通,Router-id使用管理IP和Loopback地址.配置Area 1为完全末梢区域,Area 2为N

2017年7月21日 星期五 --出埃及记 Exodus 28:12

and fasten them on the shoulder pieces of the ephod as memorial stones for the sons of Israel. Aaron is to bear the names on his shoulders as a memorial before the LORD. 要将这两块宝石安在以弗得的两条肩带上,为以色列人作纪念石.亚伦要在两肩上担他们的名字,在耶和华面前作为纪念.

在CentoOS 7上使用Nginx 1.12做TCP反向代理

1.关闭selinux.firewall 2.修改/etc/security/limits.conf添加以下内容: * soft    nofile  65536 * hard    nofile  65536 3.修改/etc/security/limits.d/20-nproc.conf *          soft    nproc     65536 4.重启系统,查看修改结果 ulimit -a 5.配置yum源/etc/yum.repos.d/nginx.repo [nginx]