交换机
园区网交换机
数据中心与云计算交换机
中小网络精简型交换机
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
小锐A系列
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
电力能源
制造业
高教/职教
医疗卫生
交通
地产酒店文旅·连锁服务
公共安全
1)确认内网普通用户或服务器段是否配置了策略路由;
如果配置了策略路由,需要将内网去往服务器段,或服务器去往内网网段的的数据流,在策略路由中deny掉;
情况1:
配置服务器策略路由,优化方法:将服务器去往内网网段 deny掉;
情况2:
配置内网网段策略路由,优化方法:将将内网去往服务器段 deny掉;
注意:在配置deny的 ACL条目时,内网网段和服务器网段都是私网IP;
以“情况2”举例:
原本的策略路由保证内网服务器:172.16.1.2 出口下一跳为:172.18.10.1;
优化方案:
ip access-list extended 100
10 deny ip host 172.16.1.2 192.168.1.0 0.0.0.255 //将服务器去往内网网段 deny掉
20 permit ip host 172.16.1.2 any
route-map server permit 10
match ip address 100
set ip next-hop 172.18.10.1
具体原理如下:
对于双线用户一般是有一条光纤、一条拨号,会强制服务器走光纤出去,如果服务器设置了端口映射出去,我们分析数据走向哈
1.内网通过外网访问服务器,经过NAT,源地址转换为外网口IP地址,目的地址转换为内网服务器地址,访问服务器(数据是可以到服务器的哦,关键是数据回去)
2.到了服务器了,那我数据肯定要回去,回去的时候就要详细分析下 数据经过路由器是先匹配路由再进行NAT的,而策略路由的优先级又大于路由,那我们就知道了,数据到了路由器,直接强制走策略路由访问外网,数据直接丢到光纤口出去了,数据出了光纤口就丢弃了。