反向訪問列表

有5個VLAN,分別為 管理(63)、辦公(48)、業(yè)務(wù)(49)、財務(wù)(50)、家庭(51)。
要求: 管理可以訪問其它,而其它不能訪問管理,并且其它VLAN之間不能互相訪問！
其它的應(yīng)用不受影響，例如通過上連進行INTERNET的訪問

方法一: 只在管理VLAN的接口上配置,其它VLAN接口不用配置。

在入方向放置reflect
ip access-list extended infilter
permit ip any any reflect cciepass
!
在出方向放置evaluate
ip access-list extended outfilter
evaluate cciepass
deny ip 10.54.48.0 0.0.0.255 any
deny ip 10.54.49.0.0.0.0.255 any
deny ip 10.54.50.0 0.0.0.255 any
deny ip 10.54.51.0 0.0.0.255 any
permit ip any any
！應(yīng)用到管理接口
int vlan 63
ip access-group infilter in
ip access-group outfilter out

方法二：在管理VLAN接口上不放置任何訪問列表，而是在其它VLAN接口都放。

以辦公VLAN為例：
在出方向放置reflect
ip access-list extended outfilter
permit ip any any reflect cciepass
!
在入方向放置evaluate
ip access-list extended infilter
deny ip 10.54.48.0 0.0.0.255 10.54.49.0 0.0.0.255
deny ip 10.54.48.0 0.0.0.255 10.54.50.0 0.0.0.255
deny ip 10.54.48.0 0.0.0.255 10.54.51.0 0.0.0.255
deny ip 10.54.48.0 0.0.0.255 10.54.63.0 0.0.0.255
evaluate cciepass
permit ip any any
!
應(yīng)用到辦公VLAN接口：
int vlan 48
ip access-group infilter in
ip access-group outfilter out

總結(jié)：
1） Reflect放置在允許的方向上（可進可出）
2） 放在管理VLAN上配置簡單，但是不如放在所有其它VLAN上直接。
3) 如果在內(nèi)網(wǎng)口上放置: 在入上設(shè)置Reflect
如果在外網(wǎng)口上放置: 在出口上放置Reflect

LAN WAN
-
inbound outbound

4)reflect不對本地路由器上的數(shù)據(jù)包跟蹤,所以對待進入的數(shù)據(jù)包時注意,要允許一些數(shù)據(jù)流進入

文章錄入：csh    責(zé)任編輯：csh 

最新評論