科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道反向访问列表在交换技术中的应用方式

反向访问列表在交换技术中的应用方式

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

公司需求各个VLAN之间不能互相访问,但一些基本的应用不能受影响。方法一: 只在管理VLAN的接口上配置,其它VLAN接口不用配置。

作者:中国IT实验室 2007年9月19日

关键字: 访问控制 路由器 ACL

  • 评论
  • 分享微博
  • 分享邮件

公司需求各个VLAN之间不能互相访问,但一些基本的应用不能受影响。假设有5个部门,就有5个VLAN,分别是管理(63)、办公(48)、业务(49)、财务(50)、其他(51)。

方法一: 只在管理VLAN的接口上配置,其它VLAN接口不用配置。

在入方向放置reflect

ip access-list extended infilter

permit ip any any reflect cciepass

在出方向放置evaluate

ip access-list extended outfilter

evaluate cciepass

deny ip 10.54.48.0 0.0.0.255 any

deny ip 10.54.49.0.0.0.0.255 any

deny ip 10.54.50.0 0.0.0.255 any

deny ip 10.54.51.0 0.0.0.255 any

permit ip any any

应用到管理接口

int vlan 63

ip access-group infilter in

ip access-group outfilter out

  方法二:在管理VLAN接口上不放置任何访问列表,而是在其它VLAN接口都放。

  以办公VLAN为例:

  在出方向放置reflect

  ip access-list extended outfilter

  permit ip any any reflect cciepass

  !

  在入方向放置evaluate

  ip access-list extended infilter

  deny ip 10.54.48.0 0.0.0.255 10.54.49.0 0.0.0.255

  deny ip 10.54.48.0 0.0.0.255 10.54.50.0 0.0.0.255

  deny ip 10.54.48.0 0.0.0.255 10.54.51.0 0.0.0.255

  deny ip 10.54.48.0 0.0.0.255 10.54.63.0 0.0.0.255

  evaluate cciepass

  permit ip any any

  !

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章