反向訪問(wèn)列表
有5個(gè)VLAN,分別為 管理(63)、辦公(48)、業(yè)務(wù)(49)、財(cái)務(wù)(50)、家庭(51)。
要求: 管理可以訪問(wèn)其它,而其它不能訪問(wèn)管理,并且其它VLAN之間不能互相訪問(wèn)!
其它的應(yīng)用不受影響,例如通過(guò)上連進(jìn)行INTERNET的訪問(wèn)
方法一: 只在管理VLAN的接口上配置,其它VLAN接口不用配置。
在入方向放置reflect
ip access-list extended infilter
permit ip any any reflect cciepass
!
在出方向放置evaluate
ip access-list extended outfilter
evaluate cciepass
deny ip 10.54.48.0 0.0.0.255 any
deny ip 10.54.49.0.0.0.0.255 any
deny ip 10.54.50.0 0.0.0.255 any
deny ip 10.54.51.0 0.0.0.255 any
permit ip any any
!應(yīng)用到管理接口
int vlan 63
ip access-group infilter in
ip access-group outfilter out |
方法二:在管理VLAN接口上不放置任何訪問(wèn)列表,而是在其它VLAN接口都放。
以辦公VLAN為例:
在出方向放置reflect
ip access-list extended outfilter
permit ip any any reflect cciepass
!
在入方向放置evaluate
ip access-list extended infilter
deny ip 10.54.48.0 0.0.0.255 10.54.49.0 0.0.0.255
deny ip 10.54.48.0 0.0.0.255 10.54.50.0 0.0.0.255
deny ip 10.54.48.0 0.0.0.255 10.54.51.0 0.0.0.255
deny ip 10.54.48.0 0.0.0.255 10.54.63.0 0.0.0.255
evaluate cciepass
permit ip any any
! |
應(yīng)用到辦公VLAN接口:
int vlan 48
ip access-group infilter in
ip access-group outfilter out |
總結(jié):
1) Reflect放置在允許的方向上(可進(jìn)可出)
2) 放在管理VLAN上配置簡(jiǎn)單,但是不如放在所有其它VLAN上直接。
3) 如果在內(nèi)網(wǎng)口上放置: 在入上設(shè)置Reflect
如果在外網(wǎng)口上放置: 在出口上放置Reflect
LAN WAN
-
inbound outbound
4)reflect不對(duì)本地路由器上的數(shù)據(jù)包跟蹤,所以對(duì)待進(jìn)入的數(shù)據(jù)包時(shí)注意,要允許一些數(shù)據(jù)流進(jìn)入。
