思科认证:反向访问控制列表技术经验

会计考友

思科认证:反向访问控制列表技术经验
有5个VLAN，分别为 管理（63）、办公（48）、业务（49）、财务（50）、家庭（51）。
4 g9 h, e3 ?" t# D- k/ g要求： 管理可以访问其它，而其它不能访问管理，并且其它VLAN之间不能互相访问！
" }7 r: I  e) B3 ?5 q# O其它的应用不受影响，例如通过上连进行INTERNET的访问
1 R4 S8 v$ @, K' [0 E& H7 T: _方法一： 只在管理VLAN的接口上配置，其它VLAN接口不用配置。
7 {5 Z  ~; T* Y% y  E* X在入方向放置ref lect
$ @/ h" M; {! h* S, W& Tip access-list extended infilter
7 ?, j3 ]. z$ P- `& ?- u+ Qpermit ip any any reflect cciepass ！
$ R% l  x3 n) B- o& ~1 |在出方向放置evaluate
+ j5 B5 u0 y/ z; i* E( }ip access-list extended outfilter
evaluate cciepass
deny ip 10.54.48.0 0.0.0.255 any
deny ip 10.54.49.0.0.0.0.255 any
deny ip 10.54.50.0 0.0.0.255 any
+ Q/ w! k  Y" ~& {% z9 Rdeny ip 10.54.51.0 0.0.0.255 any
permit ip any any
- \  A1 e2 i( [应用到管理接口
( c6 V1 H8 p( t9 x, e; Rint vlan 63
6 j! g* d3 |1 J( l/ R) a& ?ip access-group infilter in
- Y/ _0 F$ J1 _( Kip access-group outfilter out
0 d5 u  y$ T. @6 r" D( S# x方法二：在管理VLAN接口上不放置任何访问列表，而是在其它VLAN接口都放。
以办公VLAN为例：
+ P3 w+ `  w: V在出方向放置reflect
ip access-list extended outfilter
permit ip any any reflect cciepass ！
在入方向放置evaluate
ip access-list extended infilter
deny ip 10.54.48.0 0.0.0.255 10.54.49.0 0.0.0.255
deny ip 10.54.48.0 0.0.0.255 10.54.50.0 0.0.0.255
5 k9 u1 d/ l% G# Q0 H+ ~! r% adeny ip 10.54.48.0 0.0.0.255 10.54.51.0 0.0.0.255
deny ip 10.54.48.0 0.0.0.255 10.54.63.0 0.0.0.255
" Y% B/ m0 l' P! sevaluate cciepass
7 R2 ~# D& u9 ?: lpermit ip any any ！
应用到办公VLAN接口：
int vlan 48
! I4 U; F/ }: y2 Jip access-group infilter in
ip access-group outfilter out
2 n9 V+ [1 ~6 o6 P6 D2 |+ o总结：
/ B+ x2 X$ c9 g8 ]5 I/ b1）Reflect放置在允许的方向上（可进可出）
2）放在管理VLAN上配置简单，但是不如放在所有其它VLAN上直接。
6 U( l( D) A. G9 K+ f3）如果在内网口上放置： 在入上设置Reflect
5 |) C8 E5 e5 u: M$ a如果在外网口上放置： 在出口上放置Reflect
LAN WAN
-
inbound outbound
  @& ?3 D- J+ f$ c4）reflect不对本地路由器上的数据包跟踪，所以对待进入的数据包时注意，要允许一些数据流进入