用“自反ACL”可以实现
具体配置如下:
ip access-list extended inacl
permit ip vlan2 vlan3 reflect trafic //仅仅实现VLAN2与VLAN3之间的访问,但如果VLAN2与外界通信,需要把这个ACL的目的网络改成any
ip access-list extended outacl
evaluate trafic
interface vlan 2
ip access-group inacl in
ip access-group outacl out
⑵ 怎样配置思科路由器自反ACL 实现网段之间单向访问
1、配置路由器,并在R1、R3上配置默认路由确保IP连通性。
R1(config)#interface s0/0/0
R1(config)#ip address 192.168.12.1 255.255.255.0
R1(config)#no shutdown
R1(config)#interface g0/0
R1(config)#ip address 172.16.1.1 255.255.255.0
R1(config)#no shutdown
R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.12.2
R2(config)#interface s0/0/0
R2(config)#ip address 192.168.12.2 255.255.255.0
R2(config)#no shutdown
R2(config)#interface s0/0/1
R2(config)#ip address 202.210.23.2 255.255.255.0
R2(config)#no shutdown
R3(config)#interface loopback 0
R3(config)#ip address 3.3.3.3 255.255.255.0
R3(config)#no shutdown
R3(config)#interface s0/0/1
R3(config)#ip address 202.210.23.3 255.255.255.0
R3(config)#no shutdown
R3(config)#ip route 0.0.0.0 0.0.0.0 202.210.23.2
2、在路由器R2上配置自反ACL
R2(config)#ip access-list extended ACLOUT
R2(config-ext-nacl)#permit tcp any any reflect REF //定义自反ACL
R2(config-ext-nacl)#permit udp any any reflect REF
R2(config)#ip access-list extended ACLIN
R2(config-ext-nacl)#evaluate REF //评估反射
R2(config)#int s0/0/1
R2(config-if)#ip access-group ACLOUT out
R2(config-if)#ip access-group ACLIN in
PS:(1)、自反ACL永远是permit的;
(2)、自反ACL允许高层Session信息的IP包过滤;
(3)、利用自反ACL可以只允许出去的流量,但是阻止从外部网络产生的向内部网络的流量,从而可以更好地保护内部网络;
(4)、自反ACL是在有流量产生时(如出方向的流量)临时自动产生的,并且当Session结束条目就删除;
(5)、自反ACL不是直接被应用到某个接口下的,而是嵌套在一个扩展命名访问列表下的。
3、调试
(1)同时在路由器R1和R3都打开TELNET服务,在R1(从内网到外网)TELNET路由器R3成功,同时在路由器R2上查看访问控制列表:
R2#show access-lists
Extended IP access list ACLIN
10 evaluate REF
Extended IP access list ACLOUT
10 permit tcp any any reflect REF
20 permit udp any any reflect REF
Reflexive IP access list REF
permit tcp host 202.210.23.3 eq telnet host 192.168.12.1 eq 11002 (48 matches) (time left 268)
//以上输出说明自反列表是在有内部到外部TELNET流量经过的时候,临时自动产生一条列表。
(2)在路由器R1打开TELNET 服务,在R3(从外网到内网)TELNET路由器R1不能成功,同时在路由器R2上查看访问控制列表:
R2#show access-lists
Extended IP access list ACLIN
10 evaluate REF
Extended IP access list ACLOUT
10 permit tcp any any reflect REF
20 permit udp any any reflect REF
Reflexive IP access list REF
⑶ 局域网单向访问!求高手!!
设置一个共享密码,把密码告诉老板
具体设置方法:
第一 、运行一遍网络安装向导,然后右键点击我的电脑-〉管理-〉本地用户和组-〉用户-〉右键点击guest帐户-〉设置密码
第二、首先取消默认的“简单共享”。打开“我的电脑”,依次点击“工具→文件夹选项”,在打开的对话框中选择“查看”选项卡,清空“使用简单共享(推荐)”前的复选框。
然后创建共享用户。单击“开始→设置→控制面板”,打开“用户帐户”,创建一个有密码的用户,假设用户名为zyj ,需要共享资源的机器必须以该用户共享资源。
接下来设置要共享的目录(假设为共享目录为NTFS分区上的目录meet),并设置只有用户zyj可以共享该目录下的资源:用鼠标右键单击要共享的目录“meet”,单击“共享和安全”,选择“共享→共享该文件夹”,点击“权限”,单击“删除”按钮将原先该目录任何用户(everyone)都可以共享的权限删除,再单击“添加”按钮,依次单击“高级→立即查找”,选择用户zyj,单击“确定”添加用户zyj添加,并选择用户zyj的共享权限。
以后局域网中的计算机要想查看该共享文件夹中的内容,只有输入正确的用户名和密码,才能查看或修改共享文件夹中的内容
⑷ 局域网跨网段单向访问
最简单的方式是在路由器中作NAT,因为NAT是单向的
就是说192.168.0.1段IP访问192.168.1.1段IP时,路由启用NAT转换
⑸ acl单向访问怎么配置
配置ACL的过程,先建立ACL列表,然后把建立好的ACL列表运用到端口,在运用到端口的时候有个参数需要配置选择进还是出,只选择进或者只选择出就完成了对单向ACL访问的配置,选择进的话,就是从该端口接收的数据包要比对ACL,选择出的话,就是从该端口发送的数据包要比对ACL,就这样
⑹ h3c 二层交换如何配置使同网段不同vlan单向访问
你是想通过路由器实现 vlan 10 和vlan 20之间的相互访问?那么交换机1上的3端口怎样配置呢?一样是: port link-type trunk # port trunk permit vlan 10 20 //这个是对的然后在路由器上分别终结vlan 10 和 vlan 20的数据帧,因为路由器是三层的,所以192.168.1.0/24 和 192.168.2.0/24 会有路由,这样就可以相互访问了。路由器配置: interface vlan 10 IP address 192.168.0.1 24 # interface vlan 20 IP address 192.168.1.1 24 这种类似的配置。其实就是单臂路由
⑺ 思科如何设置单向访问
不管哪个厂家,交换机和路由器都是没法做单项访问的,要做单项访问,只能用安全设备,比如防火墙、网闸等。通过在安全设备上划分不同的区域,设置不同区域之间的访问策略即可
⑻ 局域网内部机器如何实现单向访问(高手请进)
只要让A机处于外网而其它机器处于内网就可,方案如下:其它机器采用一台有路由功能的小HUB(市场上120元那种共享上宽带的),组成内网,这样A机不能访问内网的任何机器,而内网中的任一机器均可访问A机器。成本120元,网线若干。
⑼ 华为路由单向访问设置
路由器和交换机是没法做数据的单访的,如果你现在这个情况需要实现,则需要一个安全设备,只有安全设备才可以实现单项访问。买个防火墙吧
⑽ VLAN单向访问的设置问题
做不到,想一下计算机之间的通信过程。
一台计算机要访问另一台计算机需要有发送和接收;也就是说A要和B通信的话,B收到A发给它的数据后要给A回应数据才能完成一次通信,也就是说A要访问B,B也必须能给A发送回应数据,如果B不能访问A,那么A、B之间是不能通信的。
所以“vlan2能访问vlan3,vlan4,但vlan3,vlan4不能访问vlan2”是做不到的。
但是,可以通过ACL的设置来限制VLAN2、3、4之间的一些特定访问数据,比如可以让VLAN2仅能以80端口访问VLAN3、4;或VLAN3、4不能以FTP方式访问VLAN2。