29
2020
05
10:12:44

Cisco3750 VLAN单向访问ACL的建立

https://bbs.51cto.com/thread-891229-1.html?_t_t_t=0.8702325003512643


现在网络情况是这样的。。主交换Cisco3750  分了vlan1---vlan10    vlan1=192.168.10  vlan2=192.168.2.0 依次类推 目前VLAN间是可以互访的    现在要求VLAN2-VLAN10都能访问VLAN1  但VLAN1 不允许访问VLAN2-VLAN10  

请问这个ACL要怎么写呢


ip access-list extended VLAN1-ACL
deny ip any 192.168.2.0 0.0.0.255
deny ip any 192.168.3.0 0.0.0.255
deny ip any 192.168.4.0 0.0.3.255
dney ip any 192.168.8.0 0.0.0.255
deny ip any 192.168.9.0 0.0.0.255
deny ip any 192.168.10.0 0.0.0.255

in vlan 1
ip access-group VLAN1-ACL in

这个ACL不行耶  应用之后 双方都不能访问啦


单向acl如果只是一些特殊的协议的话例如icmp之类的可以用echo、echo-reply实现
但是所有的ip是通过反射acl实现的就是对出站的流量进行映射,这样就可以允许本地发起的数据包
access-list 101 permit ip any any reflect my
ip access extended my1
evaluate my
int vlan 1
ip access-g 101 out
ip access-g my1 in
具体子网自己改一下就好了单向acl如果只是一些特殊的协议的话例如icmp之类的可以用echo、echo-reply实现
但是所有的ip是通过反射acl实现的就是对出站的流量进行映射,这样就可以允许本地发起的数据包
access-list 101 permit ip any any reflect my
ip access extended my1
evaluate my
int vlan 1
ip access-g 101 out
ip access-g my1 in
具体子网自己改一下就好了

官方文档里cisco 3750 根本不支持 Reflexive 这个命令,虽然可以将命令打上去,但是不能用。在这里请真正实现过的高人,讲一讲实现vlan单向访问的具体方法。



ip access-list extended VLAN1
deny ip any 192.168.2.0 0.0.0.255
deny ip any 192.168.3.0 0.0.0.255
deny ip any 192.168.4.0 0.0.3.255
dney ip any 192.168.8.0 0.0.0.255
deny ip any 192.168.9.0 0.0.0.255
deny ip any 192.168.10.0 0.0.0.255
permit any any

in vlan 1
ip access-group VLAN1-ACL out



以下是我自己在的一个实验“三层交换机单向访问策略配置”可供楼主参考希望有帮助。
http://ccccc.blog.51cto.com/303305/140428


自反ACL可以实现,具体可以在论坛里搜,有答案
传送门
https://bbs.51cto.com/thread-800896-1.html


我在3560上实现过,情况与3750一样,不支持自反ACL,但也只能是TCP的应用才可以
主要是established这个参数
access-list 101 permit tcp any any established
access-list 101 deny ip any 192.168.2.0 0.0.0.255
access-list 101 deny ip any 192.168.3.0 0.0.0.255
access-list 101 deny ip any 192.168.4.0 0.0.7.255
access-list 101 permit ip any any
然后把101应用到VLAN1的OUT方向
这样就可以实现VLAN1不能访问VLAN2-10,但VLAN2-10访问VLAN1没问题,但只能是TCP的,比如TELNET,SSH,HTTP,文件打印机共享。。。。。。而且不会影响VLAN1访问internet网络。
如果VLAN1连internet也不需要访问,那更简单,只需要一条就搞定,同样应用到VLAN1的out方向。
access-list 101 permit tcp any any established




推荐本站淘宝优惠价购买喜欢的宝贝:

image.png

本文链接:https://hqyman.cn/post/1311.html 非本站原创文章欢迎转载,原创文章需保留本站地址!

分享到:
打赏





休息一下~~


作者:hqy | 分类:技术文章 | 浏览:3464 | 评论:0
« 上一篇 下一篇 »

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

请先 登录 再评论,若不是会员请先 注册

您的IP地址是: