国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

打開APP
userphoto
未登錄

開通VIP,暢享免費電子書等14項超值服

開通VIP

首頁

好書

留言交流

下載APP

聯(lián)系客服
利用自反ACL實現(xiàn)VLAN之間的單向訪問

1,試驗拓撲:
兩臺7609做核心交換,配置上N個vlan,其中vlan199的HSRP active在7609-A上,vlan208的HSRP active在7609-B上。
訪問控制的需求:
1..其他網段可以訪問vlan208的任何端口
2..vlan208不能訪問 250 254等管理網段的任何端口
3..vlan208可以訪問其他服務網段的服務端口 如80 8080 443 7001 5200 1521
4..vlan208 可以訪問vlan201 的 TCP/UDP 32768--65535 udp/tcp 111 udp/tcp 2049 這些端口組成了nfs的服務

2,配置如下:
ip access-list extended tov208
permit tcp any 192.168.208.0 0.0.0.255 reflect remain timeout 120
permit udp any 192.168.208.0 0.0.0.255 reflect remain 
permit ip any any
ip access-list extended fromv208
permit icmp any any
evaluate remain    
deny tcp any 192.168.250.0 0.0.0.255
deny udp any 192.168.250.0 0.0.0.255
deny tcp any 192.168.254.0 0.0.0.255
deny udp any 192.168.254.0 0.0.0.255
permit tcp any any eq www
permit tcp any any eq 8080
permit tcp any any eq 443
permit tcp any any eq 7001
permit tcp any any eq 5200
permit tcp any any eq 1521
permit tcp any 192.168.201.0 0.0.0.255 eq 111
permit udp any 192.168.201.0 0.0.0.255 eq 111
permit tcp any 192.168.201.0 0.0.0.255 eq 2049
permit udp any 192.168.201.0 0.0.0.255 eq 2049
permit tcp any 192.168.201.0 0.0.0.255 gt 32767
permit udp any 192.168.201.0 0.0.0.255 gt 32767
permit ip any host 224.0.0.2
int vlan 208
ip access-group fromv208 in
ip access-group tov208 out
no ip unreachables
3,結果分析
測試成功。但是同時出現(xiàn)了新問題:
vlan199訪問不了vlan208(在vlan199端設備上telnet 192.168.208.4 8080)
分析原因:
在7609-A上vlan199為active,vlan208為standby,所以在7609-A上,數據從vlan199到vlan208的數據匹配tov208后產生一條自反acl。但是這條acl不會同步到7609-B上去,所以回來的數據流到達vlan208后匹配不到acl,所以也就丟棄了。請注意路由器嚴格按照路由表來執(zhí)行路由查找工作。

其實,像這樣的需求可以直接用擴展ACL的established特性來解決。
ip access-list extended fromv208
permit icmp any any
permit ip any host 224.0.0.2
permit tcp any any eq 80 8080 443 7001 5200 1521
permit tcp any 192.168.201.0 0.0.0.255 eq 111 2049 
permit udp any 192.168.201.0 0.0.0.255 eq 111 2049
permit tcp any 192.168.201.0 0.0.0.255 gt 32767
permit udp any 192.168.201.0 0.0.0.255 gt 32767
permit tcp any any established
deny ip any 192.168.250.0 0.0.0.255
deny ip any 192.168.254.0 0.0.0.255
!
interface Vlan208
ip access-group fromv208 in
end

 
 
 
 
 
tried it successfully in my office:
ip access-list extended tovlan120
permit tcp any 10.100.120.0 0.0.0.255 reflect v120 timeout 120
permit udp any 10.100.120.0 0.0.0.255 refledt v120
permit ip any any
ip access-list extended fromvlan120
permit icmp any any
evaluate v120
permit tcp 10.100.120.0 0.0.0.255 any eq www
permit tcp 10.100.120.0 0.0.0.255 any eq 53
permit udp 10.100.120.0 0.0.0.255 any eq 53
permit tcp 10.100.120.0 0.0.0.255 any established
deny tcp 10.100.120.0 0.0.0.255 any
deny upd 10.100.120.0 0.0.0.255 any

interface vlan 120
ip acess-group fromvlan120 in
ip access-group tovlan120 out
insert access list entry use the parameter resequence
本站僅提供存儲服務,所有內容均由用戶發(fā)布,如發(fā)現(xiàn)有害或侵權內容,請點擊舉報
打開APP,閱讀全文并永久保存 查看更多類似文章
猜你喜歡
類似文章
H3C 的路由器配置命令詳解
【干貨分享】訪問控制列表ACL筆記大全.......
《網絡搭建實訓教程》第6章 訪問控制列表
創(chuàng)建并應用IP訪問列表
如何恰當應用ACL訪問控制列表
華為交換機各種配置實例(1)
更多類似文章 >>
生活服務
分享 收藏 導長圖 關注 下載文章
綁定賬號成功
后續(xù)可登錄賬號暢享VIP特權!
如果VIP功能使用有故障,
可點擊這里聯(lián)系客服!

聯(lián)系客服