交換技術：反向訪問列表在實際中的應用(轉)

交換技術：反向訪問列表在實際中的應用(轉)[@more@]

　　反向訪問列表

　　有5個VLAN,分別為 管理(63)、辦公(48)、業務(49)、財務(50)、家庭(51)。

　　要求: 管理可以訪問其它,而其它不能訪問管理,並且其它VLAN之間不能互相訪問！

　　其它的應用不受影響，例如透過上連進行INTERNET的訪問

　　方法一: 只在管理VLAN的介面上配置,其它VLAN介面不用配置。

在入方向放置reflect

ip access-list extended infilter

permit ip any any reflect cciepass

!

在出方向放置evaluate

ip access-list extended outfilter

evaluate cciepass

deny ip 10.54.48.0 0.0.0.255 any

deny ip 10.54.49.0.0.0.0.255 any

deny ip 10.54.50.0 0.0.0.255 any

deny ip 10.54.51.0 0.0.0.255 any

permit ip any any

！應用到管理介面

int vlan 63

ip access-group infilter in

ip access-group outfilter out

　　方法二：在管理VLAN介面上不放置任何訪問列表，而是在其它VLAN介面都放。

　　以辦公VLAN為例：

在出方向放置reflect

ip access-list extended outfilter

permit ip any any reflect cciepass

!

在入方向放置evaluate

ip access-list extended infilter

deny ip 10.54.48.0 0.0.0.255 10.54.49.0 0.0.0.255

deny ip 10.54.48.0 0.0.0.255 10.54.50.0 0.0.0.255

deny ip 10.54.48.0 0.0.0.255 10.54.51.0 0.0.0.255

deny ip 10.54.48.0 0.0.0.255 10.54.63.0 0.0.0.255

evaluate cciepass

permit ip any any

!

　　應用到辦公VLAN介面：

int vlan 48

ip access-group infilter in

ip access-group outfilter out

　　總結：

　　1） Reflect放置在允許的方向上（可進可出）

　　2） 放在管理VLAN上配置簡單，但是不如放在所有其它VLAN上直接。

　　3) 如果在內網口上放置: 在入上設定Reflect

　　如果在外網口上放置: 在出口上放置Reflect

　　LAN WAN

　　-

　　inbound outbound

　　4)reflect不對本地路由器上的資料包跟蹤,所以對待進入的資料包時注意,要允許一些資料流進入。