用「自反ACL」可以實現
具體配置如下:
ip access-list extended inacl
permit ip vlan2 vlan3 reflect trafic //僅僅實現VLAN2與VLAN3之間的訪問,但如果VLAN2與外界通信,需要把這個ACL的目的網路改成any
ip access-list extended outacl
evaluate trafic
interface vlan 2
ip access-group inacl in
ip access-group outacl out
⑵ 怎樣配置思科路由器自反ACL 實現網段之間單向訪問
1、配置路由器,並在R1、R3上配置默認路由確保IP連通性。
R1(config)#interface s0/0/0
R1(config)#ip address 192.168.12.1 255.255.255.0
R1(config)#no shutdown
R1(config)#interface g0/0
R1(config)#ip address 172.16.1.1 255.255.255.0
R1(config)#no shutdown
R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.12.2
R2(config)#interface s0/0/0
R2(config)#ip address 192.168.12.2 255.255.255.0
R2(config)#no shutdown
R2(config)#interface s0/0/1
R2(config)#ip address 202.210.23.2 255.255.255.0
R2(config)#no shutdown
R3(config)#interface loopback 0
R3(config)#ip address 3.3.3.3 255.255.255.0
R3(config)#no shutdown
R3(config)#interface s0/0/1
R3(config)#ip address 202.210.23.3 255.255.255.0
R3(config)#no shutdown
R3(config)#ip route 0.0.0.0 0.0.0.0 202.210.23.2
2、在路由器R2上配置自反ACL
R2(config)#ip access-list extended ACLOUT
R2(config-ext-nacl)#permit tcp any any reflect REF //定義自反ACL
R2(config-ext-nacl)#permit udp any any reflect REF
R2(config)#ip access-list extended ACLIN
R2(config-ext-nacl)#evaluate REF //評估反射
R2(config)#int s0/0/1
R2(config-if)#ip access-group ACLOUT out
R2(config-if)#ip access-group ACLIN in
PS:(1)、自反ACL永遠是permit的;
(2)、自反ACL允許高層Session信息的IP包過濾;
(3)、利用自反ACL可以只允許出去的流量,但是阻止從外部網路產生的向內部網路的流量,從而可以更好地保護內部網路;
(4)、自反ACL是在有流量產生時(如出方向的流量)臨時自動產生的,並且當Session結束條目就刪除;
(5)、自反ACL不是直接被應用到某個介面下的,而是嵌套在一個擴展命名訪問列表下的。
3、調試
(1)同時在路由器R1和R3都打開TELNET服務,在R1(從內網到外網)TELNET路由器R3成功,同時在路由器R2上查看訪問控制列表:
R2#show access-lists
Extended IP access list ACLIN
10 evaluate REF
Extended IP access list ACLOUT
10 permit tcp any any reflect REF
20 permit udp any any reflect REF
Reflexive IP access list REF
permit tcp host 202.210.23.3 eq telnet host 192.168.12.1 eq 11002 (48 matches) (time left 268)
//以上輸出說明自反列表是在有內部到外部TELNET流量經過的時候,臨時自動產生一條列表。
(2)在路由器R1打開TELNET 服務,在R3(從外網到內網)TELNET路由器R1不能成功,同時在路由器R2上查看訪問控制列表:
R2#show access-lists
Extended IP access list ACLIN
10 evaluate REF
Extended IP access list ACLOUT
10 permit tcp any any reflect REF
20 permit udp any any reflect REF
Reflexive IP access list REF
⑶ 區域網單向訪問!求高手!!
設置一個共享密碼,把密碼告訴老闆
具體設置方法:
第一 、運行一遍網路安裝向導,然後右鍵點擊我的電腦-〉管理-〉本地用戶和組-〉用戶-〉右鍵點擊guest帳戶-〉設置密碼
第二、首先取消默認的「簡單共享」。打開「我的電腦」,依次點擊「工具→文件夾選項」,在打開的對話框中選擇「查看」選項卡,清空「使用簡單共享(推薦)」前的復選框。
然後創建共享用戶。單擊「開始→設置→控制面板」,打開「用戶帳戶」,創建一個有密碼的用戶,假設用戶名為zyj ,需要共享資源的機器必須以該用戶共享資源。
接下來設置要共享的目錄(假設為共享目錄為NTFS分區上的目錄meet),並設置只有用戶zyj可以共享該目錄下的資源:用滑鼠右鍵單擊要共享的目錄「meet」,單擊「共享和安全」,選擇「共享→共享該文件夾」,點擊「許可權」,單擊「刪除」按鈕將原先該目錄任何用戶(everyone)都可以共享的許可權刪除,再單擊「添加」按鈕,依次單擊「高級→立即查找」,選擇用戶zyj,單擊「確定」添加用戶zyj添加,並選擇用戶zyj的共享許可權。
以後區域網中的計算機要想查看該共享文件夾中的內容,只有輸入正確的用戶名和密碼,才能查看或修改共享文件夾中的內容
⑷ 區域網跨網段單向訪問
最簡單的方式是在路由器中作NAT,因為NAT是單向的
就是說192.168.0.1段IP訪問192.168.1.1段IP時,路由啟用NAT轉換
⑸ acl單向訪問怎麼配置
配置ACL的過程,先建立ACL列表,然後把建立好的ACL列表運用到埠,在運用到埠的時候有個參數需要配置選擇進還是出,只選擇進或者只選擇出就完成了對單向ACL訪問的配置,選擇進的話,就是從該埠接收的數據包要比對ACL,選擇出的話,就是從該埠發送的數據包要比對ACL,就這樣
⑹ h3c 二層交換如何配置使同網段不同vlan單向訪問
你是想通過路由器實現 vlan 10 和vlan 20之間的相互訪問?那麼交換機1上的3埠怎樣配置呢?一樣是: port link-type trunk # port trunk permit vlan 10 20 //這個是對的然後在路由器上分別終結vlan 10 和 vlan 20的數據幀,因為路由器是三層的,所以192.168.1.0/24 和 192.168.2.0/24 會有路由,這樣就可以相互訪問了。路由器配置: interface vlan 10 IP address 192.168.0.1 24 # interface vlan 20 IP address 192.168.1.1 24 這種類似的配置。其實就是單臂路由
⑺ 思科如何設置單向訪問
不管哪個廠家,交換機和路由器都是沒法做單項訪問的,要做單項訪問,只能用安全設備,比如防火牆、網閘等。通過在安全設備上劃分不同的區域,設置不同區域之間的訪問策略即可
⑻ 區域網內部機器如何實現單向訪問(高手請進)
只要讓A機處於外網而其它機器處於內網就可,方案如下:其它機器採用一台有路由功能的小HUB(市場上120元那種共享上寬頻的),組成內網,這樣A機不能訪問內網的任何機器,而內網中的任一機器均可訪問A機器。成本120元,網線若干。
⑼ 華為路由單向訪問設置
路由器和交換機是沒法做數據的單訪的,如果你現在這個情況需要實現,則需要一個安全設備,只有安全設備才可以實現單項訪問。買個防火牆吧
⑽ VLAN單向訪問的設置問題
做不到,想一下計算機之間的通信過程。
一台計算機要訪問另一台計算機需要有發送和接收;也就是說A要和B通信的話,B收到A發給它的數據後要給A回應數據才能完成一次通信,也就是說A要訪問B,B也必須能給A發送回應數據,如果B不能訪問A,那麼A、B之間是不能通信的。
所以「vlan2能訪問vlan3,vlan4,但vlan3,vlan4不能訪問vlan2」是做不到的。
但是,可以通過ACL的設置來限制VLAN2、3、4之間的一些特定訪問數據,比如可以讓VLAN2僅能以80埠訪問VLAN3、4;或VLAN3、4不能以FTP方式訪問VLAN2。