A. 请教:H3C路由器,acl仅允许某ip对本地某端口的访问
最后一条rule 去掉。rule 15 permit ip 要去掉。
之后将acl要下发到WAN口的in方向。
B. 设计标准ACL,只允许192.168.3.1和192.168.1.1这两个IP能互相访问
R1:
R1(config)#access-list 1 permit host 192.168.3.1
R1(config)#int s0
R1(config-if)#ip access-group 1 out
R2:
R2(config)#access-list 2 permit host 192.168.1.2
R2(config)#int s0
R2(config-if)#ip access-group 2 out
有什么不明白的,可以给我QQ留言:337203098.我再模拟器上尝试过,绝对可以实现
C. CISCO PIX 515E 用ACL 访问控制列表来限制内网中的一个IP上外网
既然内网网段建立了访问列表,允许特定网段的地址访问某些网段,那么在特定网段之外的用户就访问不了外网。
如果一些用户是指公司内部的话,那可以利用IP和MAC地址绑定来防止这现象。
根据具体情况了,在交换机上设置VLAN,在公司的内网网段建立一个VLAN
D. 不做ACL限制,只用NAT端口地址转换,外网可以访问内网吗为什么
NAT端口地址转换可以访问内网,跟ACL限制关系不大,两个职能不同。一个是访问控制,一个是解决地址转换。
1 静态地址转换+端口复用地址转换
现在很多时候,网络中的服务器既为网络内部的客户提供网络服务,又同时为Internet中的用户提供访问服务。因此,如果采用端口复用地址转换或动态地址转换,将由于无法确定服务器的IP地址,而导致Internet用户无法实现对网络内部服务器的访问。此时,就应当采用静态地址转换+端口复用地址转换的NAT方式。也就是说,对服务器采用静态地址转换,以确保服务器拥有固定的合法IP地址。而对普通的客户计算机则采用端口复用地址转换,使所有用户都享有访问Internet的权力。
2 TCP/UDP端口NAT映射
如果ISP提供的合法IP地址的数量较多,我们自然可以采用静态地址转换+端口复用动态地址转换的方式得以完美实现。但如果ISP只提供4个IP地址,其中2个作为网络号和广播地址而不可使用,1个IP地址要用于路由器定义为默认网关, 那么将只剩下1个IP地址可用。当然我们也可以利用这个仅存的一个IP地址采用端口复用地址转换技术,从而实现整个局域网的Internet接入。但是由于服务器也采用动态端口,因此,Internet中的计算机将无法访问到网络内部的服务器。有没有好的解决问题的方案呢?这就是TCP/UDP端口NAT映射。
我们知道,不同应用程序使用的TCP/UDP的端口是不同的,比如,Web服务使用80,FTP服务使用21,SMTP服务使用25,POP3服务使用110,等等。因此,可以将不同的TCP端口绑定至不同的内部IP地址,从而只使用一个合法的IP地址,即可在允许内部所有服务器被Internet访问的同时,实现内部所有主机对Internet访问。
E. 如何通过防火墙ACL配置允许内网pc对指定公网ip的访问
access-list name extended permit ip S-IP 掩码 D-ip 掩码
在接口下调用
F. 学校如果配置VLAN,或者配置了ACL,我用其中一个可以连接外网的IP地址。如何可以扫描到内网的服
如果VLAN是不通的,那你可以上网的IP和内网服务器不在同个VLAN里,你是查不到服务器的,因为隔离了.
如果做了ACL,那要看这个ACL的进出数据是怎么设置的.
G. h3c交换机配置ACL 允许某IP可以访问IP其他不能访问
rule 40、50都写成permit
rule 100写成deny就行了
H. H3C路由器,设置ACL达到只允许访问某个IP
rule id 30 ip destination ip-address X.X.X.X 0
rule id 40 deny 就可以了
I. 思科acl允许某一个网段访问所有ip
access-list 100 permit ip 192.168.1.1 0.0.0.255 any
J. acl源IP和目的IP是什么
ACL是访问控制列表,又分标准访问和扩展访问列表!
标准访问控制列表是基于源IP来过滤。
扩展访问控制列表是基于源IP 目地IP 协议 端口号来过滤。