acl單向訪問

㈠ 你好，華為ENSP s5700交換機如何做ACL單向訪問

1.創建ACL,制定訪問控制規則(默認是permit) acl 3000rule 5 permit tcp source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0...
2.配置流分類,匹配ACL traffic classifier c1 if-match acl 3000quit
3.配置流行為(默認是permit) traffic behavior b1 quit
4.配置流策略,關聯流分類和流行為 traffic policy p1 classifier c1 behavior b1 quit

㈡ 求大神，思科路由器怎麼做ACL VLAN單向訪問

1、可以做允許兩個網段互訪，然後去拒絕而部分IP可以訪問。
2 、 可以允許部分IP訪問，然後拒絕兩個網段相互訪問。
3、ACL應該是做不到單向訪問，我做過實驗。

㈢ 華為S5700交換機單向訪問acl策略疑問

數據的通信一定是雙向，交換機和路由器是沒法做單訪的，如果想實現單訪，必須要有安全設備，比如防火牆、網閘等等

㈣ acl兩個網段禁止互訪是單項的嗎

禁止。
路由器和交換機之間的數據交換是雙向的，也就是說做不到單向的訪問。
ACL簡介：訪問控制列表ACL（AccessControlList）是由一條或多條規則組成的集合。所謂規則，是指描述報文匹配條件的判斷語句，這些條件可以是報文的源地址、目的地址、埠號等。ACL本質上是一種報文過濾器，規則是過濾器的濾芯。設備基於這些規則進行報文匹配，可以過濾出特定的報文，並根據應用ACL的業務模塊的處理策略來允許或阻止該報文通過。

㈤ acl訪問控制能否實現單向通信

可以在三層交換機上配置acl策略，限制PC2無法訪問PC1所在的VLAN、IP或埠

㈥ cisco模擬軟體里配置acl單向訪問，出錯，沒辦法配置reflect，總顯示命令不對啊，哪位大俠幫幫忙，謝謝

你命令沒錯，只是PT不支持而已，如果你非要做這個實驗，建議用GNS3
另外，PT有很多命令都不支持的。。。

㈦ 用ACL做VLAN間單向互訪

你好，

以下配置及說明以Cisco配置為前提。

因為通信是相互的，所以Cisco設備中的ACL在應用中默認是雙向限制的。

如何按需實現單向訪問？即不能讓B訪問A，但允許A訪問B。
假設A和B屬於不同的Vlan，Vlan間的路由通過三層交換機實現。
此時有兩種方法實現單向訪問控制：
1）在三層交換機上做Vlan-Filter；
2）利用reflect做ACL。

基於你的拓撲結構，是採取單臂路由來實現Vlan間的通信，所以只能採取方法2，並在路由器做配置。

配置如下：（兩步）

//第一步：建立訪問控制列表
ip access-list extended ACL-inbound //「ACL-inbound」是自定義的ACL名稱
//我並不阻止Vlan10內部的主機訪問外網，為什麼還要建立Vlan10站內的ACL呢？
//這是因為在這里要指定「reflect」策略，在制定站外策略（Vlan20訪問Vlan10）時需要用到！
permit ip host 192.168.10.2 host 192.168.20.2 reflect ACL-Ref
//指定一個reflect策略，命名為「ACL-Ref」，在制定站外ACL時要用到
permit ip any any //允許站內任意主機到站外任意地址的訪問，必配，否則Vlan10其他主機無法出站訪問！

ip access-list extended ACL-outbound //站外訪問控制策略
evaluate ACL-Ref //允許前面定義的reflect策略（ACL-Ref）中指定通信的返回數據
deny ip host 192.168.20.2 host 192.168.10.2 //阻止192.168.20.2訪問192.168.10.2
permit ip any any //允許站外其他任意主機訪問Vlan10內的任意主機

//第二步：埠應用ACL
interface fa0/0.1 //進入Vlan10的通信埠配置
ip address 192.168.10.1 255.255.255.0
ip access-group ACL-inbound in //應用站內訪問控制策略「ACL-inbound」
ip access-group ACL-outbound out //應用站外訪問控制策略「ACL-outbound」

以上，供參考。

㈧ acl如何設置單向訪問

配置ACL的過程，先建立ACL列表，然後把建立好的ACL列表運用到埠，在運用到埠的時候有個參數需要配置選擇進還是出，只選擇進或者只選擇出就完成了對單向ACL訪問的配置，選擇進的話，就是從該埠接收的數據包要比對ACL，選擇出的話，就是從該埠發送的數據包要比對ACL，就這樣

㈨ 怎樣配置思科路由器自反ACL 實現網段之間單向訪問

1、配置路由器，並在R1、R3上配置默認路由確保IP連通性。
R1(config)#interface s0/0/0
R1(config)#ip address 192.168.12.1 255.255.255.0
R1(config)#no shutdown
R1(config)#interface g0/0
R1(config)#ip address 172.16.1.1 255.255.255.0
R1(config)#no shutdown
R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.12.2
R2(config)#interface s0/0/0
R2(config)#ip address 192.168.12.2 255.255.255.0
R2(config)#no shutdown
R2(config)#interface s0/0/1
R2(config)#ip address 202.210.23.2 255.255.255.0
R2(config)#no shutdown
R3(config)#interface loopback 0
R3(config)#ip address 3.3.3.3 255.255.255.0
R3(config)#no shutdown
R3(config)#interface s0/0/1
R3(config)#ip address 202.210.23.3 255.255.255.0
R3(config)#no shutdown
R3(config)#ip route 0.0.0.0 0.0.0.0 202.210.23.2
2、在路由器R2上配置自反ACL
R2(config)#ip access-list extended ACLOUT
R2(config-ext-nacl)#permit tcp any any reflect REF //定義自反ACL
R2(config-ext-nacl)#permit udp any any reflect REF
R2(config)#ip access-list extended ACLIN
R2(config-ext-nacl)#evaluate REF //評估反射
R2(config)#int s0/0/1
R2(config-if)#ip access-group ACLOUT out
R2(config-if)#ip access-group ACLIN in
PS：(1)、自反ACL永遠是permit的;
(2)、自反ACL允許高層Session信息的IP包過濾;
(3)、利用自反ACL可以只允許出去的流量，但是阻止從外部網路產生的向內部網路的流量，從而可以更好地保護內部網路;
(4)、自反ACL是在有流量產生時(如出方向的流量)臨時自動產生的，並且當Session結束條目就刪除;
(5)、自反ACL不是直接被應用到某個介面下的，而是嵌套在一個擴展命名訪問列表下的。
3、調試
(1)同時在路由器R1和R3都打開TELNET服務，在R1(從內網到外網)TELNET路由器R3成功，同時在路由器R2上查看訪問控制列表：
R2#show access-lists
Extended IP access list ACLIN
10 evaluate REF
Extended IP access list ACLOUT
10 permit tcp any any reflect REF
20 permit udp any any reflect REF
Reflexive IP access list REF
permit tcp host 202.210.23.3 eq telnet host 192.168.12.1 eq 11002 (48 matches) (time left 268)
//以上輸出說明自反列表是在有內部到外部TELNET流量經過的時候，臨時自動產生一條列表。
(2)在路由器R1打開TELNET 服務，在R3(從外網到內網)TELNET路由器R1不能成功，同時在路由器R2上查看訪問控制列表：
R2#show access-lists
Extended IP access list ACLIN
10 evaluate REF
Extended IP access list ACLOUT
10 permit tcp any any reflect REF
20 permit udp any any reflect REF
Reflexive IP access list REF

㈩ 三層交換機 思科3560 怎麼配置ACL單向訪問

用「自反ACL」可以實現
具體配置如下：
ip access-list extended inacl
permit ip vlan2 vlan3 reflect trafic //僅僅實現VLAN2與VLAN3之間的訪問，但如果VLAN2與外界通信，需要把這個ACL的目的網路改成any
ip access-list extended outacl
evaluate trafic

interface vlan 2
ip access-group inacl in
ip access-group outacl out