交换技术:反向访问列表在实际中的应用

王朝other·作者佚名  2008-05-21
窄屏简体版  字體: |||超大  

反向访问列表

有5个VLAN,分别为 管理(63)、办公(48)、业务(49)、财务(50)、家庭(51)。

要求: 管理可以访问其它,而其它不能访问管理,并且其它VLAN之间不能互相访问!

其它的应用不受影响,例如通过上连进行INTERNET的访问

方法一: 只在管理VLAN的接口上配置,其它VLAN接口不用配置。在入方向放置reflectip access-list extended infilterpermit ip any any reflect cciepass!在出方向放置evaluateip access-list extended outfilterevaluate cciepassdeny ip 10.54.48.0 0.0.0.255 anydeny ip 10.54.49.0.0.0.0.255 anydeny ip 10.54.50.0 0.0.0.255 anydeny ip 10.54.51.0 0.0.0.255 anypermit ip any any!应用到管理接口int vlan 63ip access-group infilter inip access-group outfilter out

方法二:在管理VLAN接口上不放置任何访问列表,而是在其它VLAN接口都放。

以办公VLAN为例:在出方向放置reflectip access-list extended outfilterpermit ip any any reflect cciepass!在入方向放置evaluateip access-list extended infilterdeny ip 10.54.48.0 0.0.0.255 10.54.49.0 0.0.0.255deny ip 10.54.48.0 0.0.0.255 10.54.50.0 0.0.0.255deny ip 10.54.48.0 0.0.0.255 10.54.51.0 0.0.0.255deny ip 10.54.48.0 0.0.0.255 10.54.63.0 0.0.0.255evaluate cciepasspermit ip any any!

应用到办公VLAN接口:int vlan 48ip access-group infilter inip access-group outfilter out

总结:

1) Reflect放置在允许的方向上(可进可出)

2) 放在管理VLAN上配置简单,但是不如放在所有其它VLAN上直接。

3) 如果在内网口上放置: 在入上设置Reflect

如果在外网口上放置: 在出口上放置Reflect

LAN WAN

-

inbound outbound

4)reflect不对本地路由器上的数据包跟踪,所以对待进入的数据包时注意,要允许一些数据流进入。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航