现在网络情况是这样的。。主交换Cisco3750 分了vlan1---vlan10 vlan1=192.168.10 vlan2=192.168.2.0 依次类推 目前VLAN间是可以互访的 现在要求VLAN2-VLAN10都能访问VLAN1 但VLAN1 不允许访问VLAN2-VLAN10
请问这个ACL要怎么写呢
ip access-list extended VLAN1-ACL
deny ip any 192.168.2.0 0.0.0.255
deny ip any 192.168.3.0 0.0.0.255
deny ip any 192.168.4.0 0.0.3.255
dney ip any 192.168.8.0 0.0.0.255
deny ip any 192.168.9.0 0.0.0.255
deny ip any 192.168.10.0 0.0.0.255
in vlan 1
ip access-group VLAN1-ACL in
这个ACL不行耶 应用之后 双方都不能访问啦
单向acl如果只是一些特殊的协议的话例如icmp之类的可以用echo、echo-reply实现
但是所有的ip是通过反射acl实现的就是对出站的流量进行映射,这样就可以允许本地发起的数据包
access-list 101 permit ip any any reflect my
ip access extended my1
evaluate my
int vlan 1
ip access-g 101 out
ip access-g my1 in
具体子网自己改一下就好了单向acl如果只是一些特殊的协议的话例如icmp之类的可以用echo、echo-reply实现
但是所有的ip是通过反射acl实现的就是对出站的流量进行映射,这样就可以允许本地发起的数据包
access-list 101 permit ip any any reflect my
ip access extended my1
evaluate my
int vlan 1
ip access-g 101 out
ip access-g my1 in
具体子网自己改一下就好了
官方文档里cisco 3750 根本不支持 Reflexive 这个命令,虽然可以将命令打上去,但是不能用。在这里请真正实现过的高人,讲一讲实现vlan单向访问的具体方法。
ip access-list extended VLAN1
deny ip any 192.168.2.0 0.0.0.255
deny ip any 192.168.3.0 0.0.0.255
deny ip any 192.168.4.0 0.0.3.255
dney ip any 192.168.8.0 0.0.0.255
deny ip any 192.168.9.0 0.0.0.255
deny ip any 192.168.10.0 0.0.0.255
permit any any
in vlan 1
ip access-group VLAN1-ACL out
以下是我自己在的一个实验“三层交换机单向访问策略配置”可供楼主参考希望有帮助。
http://ccccc.blog.51cto.com/303305/140428
自反ACL可以实现,具体可以在论坛里搜,有答案
传送门
https://bbs.51cto.com/thread-800896-1.html
