设为首页收藏本站language→→ 语言切换

鸿鹄论坛

 找回密码
 论坛注册

QQ登录

先注册再绑定QQ

查看: 1215|回复: 11
收起左侧

[求助] 单向访问acl的问题

[复制链接]
发表于 2018-4-3 17:38:24 | 显示全部楼层 |阅读模式
10鸿鹄币
我用cisco 3560,由于3560 不支持自反acl,所以我用  established来解决这个问题。
目的:vlan 10 能访问vlan 20, 但vlan20 不能访问 vlan10, vlan 10 和vlan 20 都能上网
我知道 established只能解决tcp的单向访问,我就是要TCP的单向访问。

vlan 10: 10.10.10.1/24    ,  vlan 20: 10.10.20.1/24
配置:
ip access list extend test
permit tcp any 10.10.20.0 0.0.0.255 established
permit any any

interface vlan 10
ip access-group test out

interface vlan 20
ip access-group test in

结果单向访问没能实现,vlan 10和 vlan 20 能上外网。请高手指教,我曾经把 vlan 10 和vlan 20的in 和 out 方向换了下,但是依然不行。

最佳答案

查看完整内容

判断是接口和方向的问题
发表于 2018-4-3 17:38:25 | 显示全部楼层
判断是接口和方向的问题
沙发 2018-4-3 17:38:25 回复 收起回复
回复

使用道具 举报

发表于 2018-4-4 23:28:27 | 显示全部楼层
单向访问的话用echo-reply就好啊,为什么要用established呢?
板凳 2018-4-4 23:28:27 回复 收起回复
回复

使用道具 举报

发表于 2018-4-4 23:31:33 | 显示全部楼层
单向访问的话,用的是echo和echo-reply,不关TCP的事情吧,TCP的单向访问你可以试试telnet来测试
地板 2018-4-4 23:31:33 回复 收起回复
回复

使用道具 举报

发表于 2018-4-6 11:18:03 来自手机 | 显示全部楼层
没看懂…
5# 2018-4-6 11:18:03 回复 收起回复
回复

使用道具 举报

 楼主| 发表于 2018-4-8 10:22:42 | 显示全部楼层
h19 发表于 2018-4-4 23:31
单向访问的话,用的是echo和echo-reply,不关TCP的事情吧,TCP的单向访问你可以试试telnet来测试

问题解决了,我在国外的expert 论坛发了这个问题,国外的大神,直接告诉了我问题所在,交换机配置established acl 应用到vlan里,但方向只能用in,不能用out,而路由器在接口上的acl应用established acl ,方向可以in 和out根据自己的喜好,我把删掉,不做acl,立刻能达到我的目的。
6# 2018-4-8 10:22:42 回复 收起回复
回复

使用道具 举报

 楼主| 发表于 2018-4-8 10:25:56 | 显示全部楼层
h19 发表于 2018-4-4 23:31
单向访问的话,用的是echo和echo-reply,不关TCP的事情吧,TCP的单向访问你可以试试telnet来测试

首先,我纯属研究各种功能,establish的存在肯定有他存在的意义。在国内总是用一些自己所知道的知识去解决问题,而不是把所有功能都研究透,这样在解决他人的问题的时候,不管用什么功能,我都能解决掉。


而我的问题解决了,我在国外的expert 论坛发了这个问题,国外的大神,直接告诉了我问题所在,交换机配置established acl 应用到vlan里,但方向只能用in,不能用out,而路由器在接口上的acl应用established,方向可以in 和out根据自己的喜好,我把vlan 10 的acl删掉,不做acl,立刻能达到我的目的。
7# 2018-4-8 10:25:56 回复 收起回复
回复

使用道具 举报

发表于 2018-4-8 11:33:42 | 显示全部楼层
kai199418 发表于 2018-4-8 10:25
首先,我纯属研究各种功能,establish的存在肯定有他存在的意义。在国内总是用一些自己所知道的知识去解 ...

学习了,谢谢
8# 2018-4-8 11:33:42 回复 收起回复
回复

使用道具 举报

发表于 2018-4-8 11:38:34 | 显示全部楼层
kai199418 发表于 2018-4-8 10:25
首先,我纯属研究各种功能,establish的存在肯定有他存在的意义。在国内总是用一些自己所知道的知识去解 ...

能不能麻烦给个那个论坛的链接,我搜了一下没找到,先谢谢了
9# 2018-4-8 11:38:34 回复 收起回复
回复

使用道具 举报

 楼主| 发表于 2018-4-8 15:34:07 | 显示全部楼层
h19 发表于 2018-4-8 11:38
能不能麻烦给个那个论坛的链接,我搜了一下没找到,先谢谢了

www.experts-exchange.com, 这个是个国外网站,得需要VPN,才能访问,然后创建个论坛账号密码
10# 2018-4-8 15:34:07 回复 收起回复
回复

使用道具 举报

发表于 2018-7-9 16:27:34 | 显示全部楼层
学习了
11# 2018-7-9 16:27:34 回复 收起回复
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 论坛注册

本版积分规则

QQ|Archiver|手机版|小黑屋|sitemap|鸿鹄论坛 ( 京ICP备14027439号 )  

GMT+8, 2024-3-29 05:51 , Processed in 0.063779 second(s), 9 queries , Redis On.  

  Powered by Discuz!

  © 2001-2024 HH010.COM

快速回复 返回顶部 返回列表