访问控制列表问题

qinaide123

局域网的三层交换机上有两个vlan。分别是vlan10和vlan20.怎样做ACL。要求vlan10可以访问vlan20.但拒绝vlan20访问vlan10

guo8887

楼主可是使用基于TCP established的扩展ACL
   ip access-list extend name
    permit tcp A.B.C.D A.B.C.D A.B.C.D A.B.C.D established

应用时注意方向。

   

散步的猫

通过tcp的三次握手机制。中介vlan20和wlan10建立链接
自反acl

荔枝园

这....怎么会有这么奇怪的需求呢，通信过程中是要求双线通信的，就是我能去能回，按你的需求在三层路由器上设置acl来允许vlan10的数据进入vlan20，但还要写一条拒绝vlan20的数据进入vlan10，问题是我vlan10到vlan20的数据进入vlan20后，vlan20内部的主机进行回复的时候源地址是vlan20内的地址，就会出现数据包呗三层交换机丢弃，如果真有这样的需求，比如说vlan20内有很关键的服务器不让别人登录进来，可以写具体到某几个IP地址之间允许或者拒绝访问。我没想到有别的办法可以解决你说的问题

荔枝园

靠，写了一遍白写了，
通信是双向的，按照你的需求需要在三层交换机上写上acl拒绝vlan20进入vlan10.允许vlan10进入vlan20，那么当vlan10的数据进入vlan20后。vlan20进行回包的时候源地址会变成vlan20的地址，在三层交换机检测数据包时，会根据咱们制定的规则，vlan20进入vlan10的数据会被丢弃，那么通信就不能正常进行了，所以你说的要求实现不了，要是你vlan20内部有重要的服务器或者主机不能允许所有人登录进来，可以设置具体的某几个IP允许或者拒绝他们通信就可以了

zh754267513

扩展的acl，可以实现，可以其中一个连通，但是另一个就拒绝流量！