反向访问列表在实际中的应用

反向访问列表

有5个VLAN,分别为 管理(63)、办公(48)、业务(49)、财务(50)、家庭(51)。
要求: 管理可以访问其它,而其它不能访问管理,并且其它VLAN之间不能互相访问!
其它的应用不受影响,例如通过上连进行INTERNET的访问

方法一: 只在管理VLAN的接口上配置,其它VLAN接口不用配置。

在入方向放置reflect
ip access-list extended infilter
permit ip any any reflect cciepass
!
在出方向放置evaluate
ip access-list extended outfilter
evaluate cciepass
deny ip 10.54.48.0 0.0.0.255 any
deny ip 10.54.49.0.0.0.0.255 any
deny ip 10.54.50.0 0.0.0.255 any
deny ip 10.54.51.0 0.0.0.255 any
permit ip any any
!应用到管理接口
int vlan 63
ip access-group infilter in
ip access-group outfilter out

方法二:在管理VLAN接口上不放置任何访问列表,而是在其它VLAN接口都放。

以办公VLAN为例:
在出方向放置reflect
ip access-list extended outfilter
permit ip any any reflect cciepass
!
在入方向放置evaluate
ip access-list extended infilter
deny ip 10.54.48.0 0.0.0.255 10.54.49.0 0.0.0.255
deny ip 10.54.48.0 0.0.0.255 10.54.50.0 0.0.0.255
deny ip 10.54.48.0 0.0.0.255 10.54.51.0 0.0.0.255
deny ip 10.54.48.0 0.0.0.255 10.54.63.0 0.0.0.255
evaluate cciepass
permit ip any any
!
应用到办公VLAN接口:
int vlan 48
ip access-group infilter in
ip access-group outfilter out

总结:
1) Reflect放置在允许的方向上(可进可出)
2) 放在管理VLAN上配置简单,但是不如放在所有其它VLAN上直接。
3) 如果在内网口上放置: 在入上设置Reflect
如果在外网口上放置: 在出口上放置Reflect

LAN WAN
-
inbound outbound

4)reflect不对本地路由器上的数据包跟踪,所以对待进入的数据包时注意,要允许一些数据流进入

文章录入:csh    责任编辑:csh

(0)

相关推荐

  • 反向访问列表在实际中的应用

    反向访问列表 有5个VLAN,分别为 管理(63).办公(48).业务(49).财务(50).家庭(51). 要求: 管理可以访问其它,而其它不能访问管理,并且其它VLAN之间不能互相访问! 其它的应用不受影响,例如通过上连进行INTERNET的访问 方法一: 只在管理VLAN的接口上配置,其它VLAN接口不用配置. 在入方向放置reflect ip access-list extended infilter permit ip any any reflect cciepass ! 在出方向放置

  • 访问列表

    访问列表能使用或者拒绝数据包在路由器之间的移动,许可或者拒绝Telnet(VTY)在路由器之间访问,和建立dial-on demand(DDR), 有意义交通,触发拨号到一个远程位置. ACCESS LIST 访问列表是十分重要条件列表,它控制访问.强大的工具控制访问在网段之间,它过滤不需要的数据包和实现安全政策,随着访问列表,网络管理人员将有更大的力量去加强几乎任何发明出来的访问政策,IP 和IPX Access Lists 工件得非常类拟,他都比较过滤的数据包,分类,一旦Access Lis

  • 路由器访问列表的应用

    随着网络的不断发展,路由器在校园网中担当起了重要的角色.然而不少单位仅仅利用了它的一个基本功能--路由,实际上路由器还可以用来设置访问控制策略.现以Cisco路由器为例,谈谈路由器访问列表的应用. 访问列表能干什么 随着网络的发展和用户要求的变化,从IOS12.0开始,Cisco路由器新增加了一种基于时间的访问列表.通过它,可以根据一天中的不同时间或者根据一星期中的不同日期(当然也可以二者结合起来)控制网络数据包的转发.这种基于时间的访问列表就是在原来的标准访问列表和扩展访问列表中加入有效的时间

  • 基于域名的方式访问Istio服务网格中的多个应用程序的方法详解

    基于域名的方式访问Istio服务网格中的多个应用程序的方法详解

    目录 1.为什么要使用域名访问部署在Istio中的程序 2.通过域名的方式访问Istio网格中的应用程序 2.1.配置Gateway和VirtualService资源 2.1.1.修改httpbin程序的Gateway和VirtualService资源 2.1.2.修改bookinfo程序的Gateway和VirtualService资源 2.1.3.修改nginx程序的Gateway和VirtualService资源 2.2.配置LB代理Istio的IngressGateway 3.基于域名来

  • 如何直接访问php实例对象中的private属性详解

    前言 本文主要介绍了关于如何直接访问php实例对象中private属性的相关内容,在介绍关键部分之前,我们先回顾一下php面向对象的访问控制. 对属性或方法的访问控制,是通过在前面添加关键字 public(公有),protected(受保护)或 private(私有)来实现的.被定义为公有的类成员可以在任何地方被访问.被定义为受保护的类成员则可以被其自身以及其子类和父类访问.被定义为私有的类成员则只能被其定义所在的类访问. 类属性必须定义为公有,受保护,私有之一.如果用 var 定义,则被视为公

  • 修改UA在PC中访问只能在微信中打开的链接方法

    通常一般在chrome下修改 UA 为 微信或qq 就能打开 那些在js端做了限制的 链接, 但今天发现 还有一些 js 限制了 navigator.platform,pc上的值为 WIN32 或 MAC 导致 环境判断失败. UA: 安卓QQ内置浏览器UA: Mozilla/5.0 (Linux; Android 5.0; SM-N9100 Build/LRX21V) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/37.0.

  • python如何在列表、字典中筛选数据

    python如何在列表.字典中筛选数据? 实际问题有哪些? 1.过滤掉列表[3,9,-1,10.-2......] 中负数 2.筛选出字典 {'li_ming':90,'xiao_hong':60,'li_kang':95,'bei_men':98} 中值高于90的项 3.筛选出集合{3,9,-1,10.-2......]中能被3整除的数 问题1如何解决? 最普通方法: #!/usr/bin/python3 def filter_l(data): res = [] for i in data:

  • python Django 反向访问器的外键冲突解决

    我有两个继承一个基类的Django模型: - Request - Inquiry - Analysis 请求有两个外键到内置用户模型. create_user = models.ForeignKey(User, related_name='requests_created') assign_user = models.ForeignKey(User, related_name='requests_assigned') 由于某种原因,我得到的错误 "Analysis.assign_user&quo

  • php有序列表或数组中删除指定的值的实现代码

    实现:删除给定的值之后,得到一个新的有序列表,长度-1 代码: <?php /** * Created by PhpStorm. * User: wkk * Time: 2021/7/11 - 01:03 * Desc: <线性表> */ namespace php; class ListArray { // 从一个线性表中删除给定的值 public function deleteValue($list, $value) { // 记录是否找到 $flag = false; // 记录这

  • ADSI+ASP添加IP到IIS禁止访问列表中

    复制代码 代码如下: <%@ Language=VBScript %> <% Dim strIP strIP = request("IP") %> <FORM action=? method=post> 输入IP:<input type=text value="<%=strIP%>" style="BORDER: #AAAAAA 1px solid;" name="IP"&

随机推荐