反向访问列表在交换技术中的应用方式

公司需求各个VLAN之间不能互相访问，但一些基本的应用不能受影响。假设有5个部门，就有5个VLAN,分别是管理(63)、办公(48)、业务(49)、财务(50)、其他(51)。


方法一: 只在管理VLAN的接口上配置,其它VLAN接口不用配置。


在入方向放置reflect

ip access-list extended infilter

permit ip any any reflect cciepass

!

在出方向放置evaluate

ip access-list extended outfilter

evaluate cciepass

deny ip 10.54.48.0 0.0.0.255 any

deny ip 10.54.49.0.0.0.0.255 any

deny ip 10.54.50.0 0.0.0.255 any

deny ip 10.54.51.0 0.0.0.255 any

permit ip any any

！

应用到管理接口

int vlan 63

ip access-group infilter in

ip access-group outfilter out


方法二：在管理VLAN接口上不放置任何访问列表，而是在其它VLAN接口都放。


以办公VLAN为例：


在出方向放置reflect

ip access-list extended outfilter

permit ip any any reflect cciepass

!

在入方向放置evaluate

ip access-list extended infilter

deny ip 10.54.48.0 0.0.0.255 10.54.49.0 0.0.0.255

deny ip 10.54.48.0 0.0.0.255 10.54.50.0 0.0.0.255

deny ip 10.54.48.0 0.0.0.255 10.54.51.0 0.0.0.255

deny ip 10.54.48.0 0.0.0.255 10.54.63.0 0.0.0.255

evaluate cciepass

permit ip any any

!


应用到办公VLAN接口：


int vlan 48

ip access-group infilter in

ip access-group outfilter out

赛迪网－技术社区    whoami