你好,
以下配置及說明以Cisco配置為前提。
因為通訊是相互的,所以Cisco裝置中的ACL在應用中預設是雙向限制的。
如何按需實現單向訪問?即不能讓B訪問A,但允許A訪問B。
假設A和B屬於不同的Vlan,Vlan間的路由透過三層交換機實現。
此時有兩種方法實現單向訪問控制:
1)在三層交換機上做Vlan-Filter;
2)利用reflect做ACL。
基於你的拓撲結構,是採取單臂路由來實現Vlan間的通訊,所以只能採取方法2,並在路由器做配置。
配置如下:(兩步)
//第一步:建立訪問控制列表
ip access-list extended ACL-inbound //“ACL-inbound”是自定義的ACL名稱
//我並不阻止Vlan10內部的主機訪問網路,為什麼還要建立Vlan10站內的ACL呢?
//這是因為在這裡要指定“reflect”策略,在制定站外策略(Vlan20訪問Vlan10)時需要用到!
permit ip host 192.168.10.2 host 192.168.20.2 reflect ACL-Ref
//指定一個reflect策略,命名為“ACL-Ref”,在制定站外ACL時要用到
permit ip any any //允許站內任意主機到站外任意地址的訪問,必配,否則Vlan10其他主機無法出站訪問!
ip access-list extended ACL-outbound //站外訪問控制策略
evaluate ACL-Ref //允許前面定義的reflect策略(ACL-Ref)中指定通訊的返回資料
deny ip host 192.168.20.2 host 192.168.10.2 //阻止192.168.20.2訪問192.168.10.2
permit ip any any //允許站外其他任意主機訪問Vlan10內的任意主機
//第二步:埠應用ACL
interface fa0/0.1 //進入Vlan10的通訊埠配置
ip address 192.168.10.1 255.255.255.0
ip access-group ACL-inbound in //應用站內訪問控制策略“ACL-inbound”
ip access-group ACL-outbound out //應用站外訪問控制策略“ACL-outbound”
以上,供參考。
你好,
以下配置及說明以Cisco配置為前提。
因為通訊是相互的,所以Cisco裝置中的ACL在應用中預設是雙向限制的。
如何按需實現單向訪問?即不能讓B訪問A,但允許A訪問B。
假設A和B屬於不同的Vlan,Vlan間的路由透過三層交換機實現。
此時有兩種方法實現單向訪問控制:
1)在三層交換機上做Vlan-Filter;
2)利用reflect做ACL。
基於你的拓撲結構,是採取單臂路由來實現Vlan間的通訊,所以只能採取方法2,並在路由器做配置。
配置如下:(兩步)
//第一步:建立訪問控制列表
ip access-list extended ACL-inbound //“ACL-inbound”是自定義的ACL名稱
//我並不阻止Vlan10內部的主機訪問網路,為什麼還要建立Vlan10站內的ACL呢?
//這是因為在這裡要指定“reflect”策略,在制定站外策略(Vlan20訪問Vlan10)時需要用到!
permit ip host 192.168.10.2 host 192.168.20.2 reflect ACL-Ref
//指定一個reflect策略,命名為“ACL-Ref”,在制定站外ACL時要用到
permit ip any any //允許站內任意主機到站外任意地址的訪問,必配,否則Vlan10其他主機無法出站訪問!
ip access-list extended ACL-outbound //站外訪問控制策略
evaluate ACL-Ref //允許前面定義的reflect策略(ACL-Ref)中指定通訊的返回資料
deny ip host 192.168.20.2 host 192.168.10.2 //阻止192.168.20.2訪問192.168.10.2
permit ip any any //允許站外其他任意主機訪問Vlan10內的任意主機
//第二步:埠應用ACL
interface fa0/0.1 //進入Vlan10的通訊埠配置
ip address 192.168.10.1 255.255.255.0
ip access-group ACL-inbound in //應用站內訪問控制策略“ACL-inbound”
ip access-group ACL-outbound out //應用站外訪問控制策略“ACL-outbound”
以上,供參考。