反向访问列表
有5个VLAN,分别为 管理(63)、办公(48)、业务(49)、财务(50)、家庭(51)。
要求: 管理可以访问其它,而其它不能访问管理,并且其它VLAN之间不能互相访问!
其它的应用不受影响,例如通过上连进行INTERNET的访问
方法一: 只在管理VLAN的接口上配置,其它VLAN接口不用配置。在入方向放置reflectip access-list extended infilterpermit ip any any reflect cciepass!在出方向放置evaluateip access-list extended outfilterevaluate cciepassdeny ip 10.54.48.0 0.0.0.255 anydeny ip 10.54.49.0.0.0.0.255 anydeny ip 10.54.50.0 0.0.0.255 anydeny ip 10.54.51.0 0.0.0.255 anypermit ip any any!应用到管理接口int vlan 63ip access-group infilter inip access-group outfilter out
方法二:在管理VLAN接口上不放置任何访问列表,而是在其它VLAN接口都放。
以办公VLAN为例:在出方向放置reflectip access-list extended outfilterpermit ip any any reflect cciepass!在入方向放置evaluateip access-list extended infilterdeny ip 10.54.48.0 0.0.0.255 10.54.49.0 0.0.0.255deny ip 10.54.48.0 0.0.0.255 10.54.50.0 0.0.0.255deny ip 10.54.48.0 0.0.0.255 10.54.51.0 0.0.0.255deny ip 10.54.48.0 0.0.0.255 10.54.63.0 0.0.0.255evaluate cciepasspermit ip any any!
应用到办公VLAN接口:int vlan 48ip access-group infilter inip access-group outfilter out
总结:
1) Reflect放置在允许的方向上(可进可出)
2) 放在管理VLAN上配置简单,但是不如放在所有其它VLAN上直接。
3) 如果在内网口上放置: 在入上设置Reflect
如果在外网口上放置: 在出口上放置Reflect
LAN WAN
-
inbound outbound
4)reflect不对本地路由器上的数据包跟踪,所以对待进入的数据包时注意,要允许一些数据流进入。
