| 网站首页 | 产品中心 | 资料中心 | 下载中心 | 图片中心 | 在线提问 | 售前服务 | 售后服务 | 联系我们 | 网站地图 | 

  您现在的位置: 国普科技 >> 资料中心 >> 网络领域资料 >> 网络原理 >> 交换机资料 >> 文章正文

交换技术:反向访问列表在实际中的应用
作者:佚名    文章来源:不详    点击数:2404    更新时间:2007-5-18
>  反向访问列表

  有5个VLAN,分别为 管理(63)、办公(48)、业务(49)、财务(50)、家庭(51)。

  要求: 管理可以访问其它,而其它不能访问管理,并且其它VLAN之间不能互相访问!

  其它的应用不受影响,例如通过上连进行INTERNET的访问

  方法一: 只在管理VLAN的接口上配置,其它VLAN接口不用配置。

在入方向放置reflect
ip access-list extended infilter
permit ip any any reflect cciepass
!
在出方向放置evaluate
ip access-list extended outfilter
evaluate cciepass
deny ip 10.54.48.0 0.0.0.255 any
deny ip 10.54.49.0.0.0.0.255 any
deny ip 10.54.50.0 0.0.0.255 any
deny ip 10.54.51.0 0.0.0.255 any
permit ip any any
!应用到管理接口
int vlan 63
ip access-group infilter in
ip access-group outfilter out

  方法二:在管理VLAN接口上不放置任何访问列表,而是在其它VLAN接口都放。

  以办公VLAN为例:

在出方向放置reflect
ip access-list extended outfilter
permit ip any any reflect cciepass
!
在入方向放置evaluate
ip access-list extended infilter
deny ip 10.54.48.0 0.0.0.255 10.54.49.0 0.0.0.255
deny ip 10.54.48.0 0.0.0.255 10.54.50.0 0.0.0.255
deny ip 10.54.48.0 0.0.0.255 10.54.51.0 0.0.0.255
deny ip 10.54.48.0 0.0.0.255 10.54.63.0 0.0.0.255
evaluate cciepass
permit ip any any
!

  应用到办公VLAN接口:

int vlan 48
ip access-group infilter in
ip access-group outfilter out

  总结:

  1) Reflect放置在允许的方向上(可进可出)

  2) 放在管理VLAN上配置简单,但是不如放在所有其它VLAN上直接。

  3) 如果在内网口上放置: 在入上设置Reflect

  如果在外网口上放置: 在出口上放置Reflect

  LAN WAN

  -

  inbound outbound

  4)reflect不对本地路由器上的数据包跟踪,所以对待进入的数据包时注意,要允许一些数据流进入。

发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口
 
  • 上一篇文章:

  • 下一篇文章:

  •  


        工业和信息化部备案管理系统网站 浙ICP备14003890号 浙公网安备33010602013770号  
     服务热线:+86-571-87396126  18868849222  传真:+86-571-87396125   mail:85021133@163.com  点这里留言
     版权所有:杭州国普科技有限公司. Copyright ©2007-2009 Hangzhou Guopu Technology Co., Ltd.
     销售部地址:杭州市西湖区塘苗路2号1503  邮编310013