单向访问acl的问题
我用cisco 3560,由于3560 不支持自反acl,所以我用established来解决这个问题。目的:vlan 10 能访问vlan 20, 但vlan20 不能访问 vlan10, vlan 10 和vlan 20 都能上网
我知道 established只能解决tcp的单向访问,我就是要TCP的单向访问。
vlan 10: 10.10.10.1/24 ,vlan 20: 10.10.20.1/24
配置:
ip access list extend test
permit tcp any 10.10.20.0 0.0.0.255 established
permit any any
interface vlan 10
ip access-group test out
interface vlan 20
ip access-group test in
结果单向访问没能实现,vlan 10和 vlan 20 能上外网。请高手指教,我曾经把 vlan 10 和vlan 20的in 和 out 方向换了下,但是依然不行。
判断是接口和方向的问题 单向访问的话用echo-reply就好啊,为什么要用established呢? 单向访问的话,用的是echo和echo-reply,不关TCP的事情吧,TCP的单向访问你可以试试telnet来测试 没看懂… h19 发表于 2018-4-4 23:31
单向访问的话,用的是echo和echo-reply,不关TCP的事情吧,TCP的单向访问你可以试试telnet来测试
问题解决了,我在国外的expert 论坛发了这个问题,国外的大神,直接告诉了我问题所在,交换机配置established acl 应用到vlan里,但方向只能用in,不能用out,而路由器在接口上的acl应用established acl ,方向可以in 和out根据自己的喜好,我把删掉,不做acl,立刻能达到我的目的。 h19 发表于 2018-4-4 23:31
单向访问的话,用的是echo和echo-reply,不关TCP的事情吧,TCP的单向访问你可以试试telnet来测试
首先,我纯属研究各种功能,establish的存在肯定有他存在的意义。在国内总是用一些自己所知道的知识去解决问题,而不是把所有功能都研究透,这样在解决他人的问题的时候,不管用什么功能,我都能解决掉。
而我的问题解决了,我在国外的expert 论坛发了这个问题,国外的大神,直接告诉了我问题所在,交换机配置established acl 应用到vlan里,但方向只能用in,不能用out,而路由器在接口上的acl应用established,方向可以in 和out根据自己的喜好,我把vlan 10 的acl删掉,不做acl,立刻能达到我的目的。 kai199418 发表于 2018-4-8 10:25
首先,我纯属研究各种功能,establish的存在肯定有他存在的意义。在国内总是用一些自己所知道的知识去解 ...
学习了,谢谢 kai199418 发表于 2018-4-8 10:25
首先,我纯属研究各种功能,establish的存在肯定有他存在的意义。在国内总是用一些自己所知道的知识去解 ...
能不能麻烦给个那个论坛的链接,我搜了一下没找到,先谢谢了 h19 发表于 2018-4-8 11:38
能不能麻烦给个那个论坛的链接,我搜了一下没找到,先谢谢了
www.experts-exchange.com, 这个是个国外网站,得需要VPN,才能访问,然后创建个论坛账号密码 学习了
页:
[1]