1、反向访问列表有 5 个 VLAN,分别为 管理(63)、办公(48)、业务(49)、财务(50) 、家庭(51) 。要求: 管理可以访问其它 ,而其它不能访问管理,并且其它 VLAN之间不能互相访问!其它的应用不受影响,例如通过上连进行 INTERNET 的访问方法一: 只在管理 VLAN 的接口上配置 ,其它 VLAN 接口不用配置。在入方向放置 reflectip access-list extended infilterpermit ip any any reflect cciepass!在出方向放置 evaluateip access-list extended outfilterev
2、aluate cciepassdeny ip 10.54.48.0 0.0.0.255 anydeny ip 10.54.49.0.0.0.0.255 anydeny ip 10.54.50.0 0.0.0.255 anydeny ip 10.54.51.0 0.0.0.255 anypermit ip any any!应用到管理接口int vlan 63ip access-group infilter inip access-group outfilter out方法二:在管理 VLAN 接口上不放置任何访问列表,而是在其它 VLAN 接口都放。以办公 VLAN 为例:在出方向放置 refl
3、ectip access-list extended outfilterpermit ip any any reflect cciepass!在入方向放置 evaluateip access-list extended infilterdeny ip 10.54.48.0 0.0.0.255 10.54.49.0 0.0.0.255deny ip 10.54.48.0 0.0.0.255 10.54.50.0 0.0.0.255deny ip 10.54.48.0 0.0.0.255 10.54.51.0 0.0.0.255deny ip 10.54.48.0 0.0.0.255 10.54.
4、63.0 0.0.0.255evaluate cciepasspermit ip any any!应用到办公 VLAN 接口:int vlan 48ip access-group infilter inip access-group outfilter out总结:1) Reflect 放置在允许的方向上(可进可出)2) 放在管理 VLAN 上配置简单,但是不如放在所有其它VLAN 上直接。3) 如果在内网口上放置: 在入上设置 Reflect如果在外网口上放置: 在出口上放置 ReflectLAN WAN-inbound outbound4)reflect 不对本地路由器上的数据包跟踪 ,所以对待进入的数据包时注意,要允许一些数据流进入
