acl单向访问

㈠ 你好，华为ENSP s5700交换机如何做ACL单向访问

1.创建ACL,制定访问控制规则(默认是permit) acl 3000rule 5 permit tcp source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0...
2.配置流分类,匹配ACL traffic classifier c1 if-match acl 3000quit
3.配置流行为(默认是permit) traffic behavior b1 quit
4.配置流策略,关联流分类和流行为 traffic policy p1 classifier c1 behavior b1 quit

㈡ 求大神，思科路由器怎么做ACL VLAN单向访问

1、可以做允许两个网段互访，然后去拒绝而部分IP可以访问。
2 、 可以允许部分IP访问，然后拒绝两个网段相互访问。
3、ACL应该是做不到单向访问，我做过实验。

㈢ 华为S5700交换机单向访问acl策略疑问

数据的通信一定是双向，交换机和路由器是没法做单访的，如果想实现单访，必须要有安全设备，比如防火墙、网闸等等

㈣ acl两个网段禁止互访是单项的吗

禁止。
路由器和交换机之间的数据交换是双向的，也就是说做不到单向的访问。
ACL简介：访问控制列表ACL（AccessControlList）是由一条或多条规则组成的集合。所谓规则，是指描述报文匹配条件的判断语句，这些条件可以是报文的源地址、目的地址、端口号等。ACL本质上是一种报文过滤器，规则是过滤器的滤芯。设备基于这些规则进行报文匹配，可以过滤出特定的报文，并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。

㈤ acl访问控制能否实现单向通信

可以在三层交换机上配置acl策略，限制PC2无法访问PC1所在的VLAN、IP或端口

㈥ cisco模拟软件里配置acl单向访问，出错，没办法配置reflect，总显示命令不对啊，哪位大侠帮帮忙，谢谢

你命令没错，只是PT不支持而已，如果你非要做这个实验，建议用GNS3
另外，PT有很多命令都不支持的。。。

㈦ 用ACL做VLAN间单向互访

你好，

以下配置及说明以Cisco配置为前提。

因为通信是相互的，所以Cisco设备中的ACL在应用中默认是双向限制的。

如何按需实现单向访问？即不能让B访问A，但允许A访问B。
假设A和B属于不同的Vlan，Vlan间的路由通过三层交换机实现。
此时有两种方法实现单向访问控制：
1）在三层交换机上做Vlan-Filter；
2）利用reflect做ACL。

基于你的拓扑结构，是采取单臂路由来实现Vlan间的通信，所以只能采取方法2，并在路由器做配置。

配置如下：（两步）

//第一步：建立访问控制列表
ip access-list extended ACL-inbound //“ACL-inbound”是自定义的ACL名称
//我并不阻止Vlan10内部的主机访问外网，为什么还要建立Vlan10站内的ACL呢？
//这是因为在这里要指定“reflect”策略，在制定站外策略（Vlan20访问Vlan10）时需要用到！
permit ip host 192.168.10.2 host 192.168.20.2 reflect ACL-Ref
//指定一个reflect策略，命名为“ACL-Ref”，在制定站外ACL时要用到
permit ip any any //允许站内任意主机到站外任意地址的访问，必配，否则Vlan10其他主机无法出站访问！

ip access-list extended ACL-outbound //站外访问控制策略
evaluate ACL-Ref //允许前面定义的reflect策略（ACL-Ref）中指定通信的返回数据
deny ip host 192.168.20.2 host 192.168.10.2 //阻止192.168.20.2访问192.168.10.2
permit ip any any //允许站外其他任意主机访问Vlan10内的任意主机

//第二步：端口应用ACL
interface fa0/0.1 //进入Vlan10的通信端口配置
ip address 192.168.10.1 255.255.255.0
ip access-group ACL-inbound in //应用站内访问控制策略“ACL-inbound”
ip access-group ACL-outbound out //应用站外访问控制策略“ACL-outbound”

以上，供参考。

㈧ acl如何设置单向访问

配置ACL的过程，先建立ACL列表，然后把建立好的ACL列表运用到端口，在运用到端口的时候有个参数需要配置选择进还是出，只选择进或者只选择出就完成了对单向ACL访问的配置，选择进的话，就是从该端口接收的数据包要比对ACL，选择出的话，就是从该端口发送的数据包要比对ACL，就这样

㈨ 怎样配置思科路由器自反ACL 实现网段之间单向访问

1、配置路由器，并在R1、R3上配置默认路由确保IP连通性。
R1(config)#interface s0/0/0
R1(config)#ip address 192.168.12.1 255.255.255.0
R1(config)#no shutdown
R1(config)#interface g0/0
R1(config)#ip address 172.16.1.1 255.255.255.0
R1(config)#no shutdown
R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.12.2
R2(config)#interface s0/0/0
R2(config)#ip address 192.168.12.2 255.255.255.0
R2(config)#no shutdown
R2(config)#interface s0/0/1
R2(config)#ip address 202.210.23.2 255.255.255.0
R2(config)#no shutdown
R3(config)#interface loopback 0
R3(config)#ip address 3.3.3.3 255.255.255.0
R3(config)#no shutdown
R3(config)#interface s0/0/1
R3(config)#ip address 202.210.23.3 255.255.255.0
R3(config)#no shutdown
R3(config)#ip route 0.0.0.0 0.0.0.0 202.210.23.2
2、在路由器R2上配置自反ACL
R2(config)#ip access-list extended ACLOUT
R2(config-ext-nacl)#permit tcp any any reflect REF //定义自反ACL
R2(config-ext-nacl)#permit udp any any reflect REF
R2(config)#ip access-list extended ACLIN
R2(config-ext-nacl)#evaluate REF //评估反射
R2(config)#int s0/0/1
R2(config-if)#ip access-group ACLOUT out
R2(config-if)#ip access-group ACLIN in
PS：(1)、自反ACL永远是permit的;
(2)、自反ACL允许高层Session信息的IP包过滤;
(3)、利用自反ACL可以只允许出去的流量，但是阻止从外部网络产生的向内部网络的流量，从而可以更好地保护内部网络;
(4)、自反ACL是在有流量产生时(如出方向的流量)临时自动产生的，并且当Session结束条目就删除;
(5)、自反ACL不是直接被应用到某个接口下的，而是嵌套在一个扩展命名访问列表下的。
3、调试
(1)同时在路由器R1和R3都打开TELNET服务，在R1(从内网到外网)TELNET路由器R3成功，同时在路由器R2上查看访问控制列表：
R2#show access-lists
Extended IP access list ACLIN
10 evaluate REF
Extended IP access list ACLOUT
10 permit tcp any any reflect REF
20 permit udp any any reflect REF
Reflexive IP access list REF
permit tcp host 202.210.23.3 eq telnet host 192.168.12.1 eq 11002 (48 matches) (time left 268)
//以上输出说明自反列表是在有内部到外部TELNET流量经过的时候，临时自动产生一条列表。
(2)在路由器R1打开TELNET 服务，在R3(从外网到内网)TELNET路由器R1不能成功，同时在路由器R2上查看访问控制列表：
R2#show access-lists
Extended IP access list ACLIN
10 evaluate REF
Extended IP access list ACLOUT
10 permit tcp any any reflect REF
20 permit udp any any reflect REF
Reflexive IP access list REF

㈩ 三层交换机 思科3560 怎么配置ACL单向访问

用“自反ACL”可以实现
具体配置如下：
ip access-list extended inacl
permit ip vlan2 vlan3 reflect trafic //仅仅实现VLAN2与VLAN3之间的访问，但如果VLAN2与外界通信，需要把这个ACL的目的网络改成any
ip access-list extended outacl
evaluate trafic

interface vlan 2
ip access-group inacl in
ip access-group outacl out