acl單向訪問控制

㈠ acl訪問控制能否實現單向通信

可以在三層交換機上配置acl策略，限制PC2無法訪問PC1所在的VLAN、IP或埠

㈡ acl兩個網段禁止互訪是單項的嗎

禁止。
路由器和交換機之間的數據交換是雙向的，也就是說做不到單向的訪問。
ACL簡介：訪問控制列表ACL（AccessControlList）是由一條或多條規則組成的集合。所謂規則，是指描述報文匹配條件的判斷語句，這些條件可以是報文的源地址、目的地址、埠號等。ACL本質上是一種報文過濾器，規則是過濾器的濾芯。設備基於這些規則進行報文匹配，可以過濾出特定的報文，並根據應用ACL的業務模塊的處理策略來允許或阻止該報文通過。

㈢ 你好，華為ENSP s5700交換機如何做ACL單向訪問

1.創建ACL,制定訪問控制規則(默認是permit) acl 3000rule 5 permit tcp source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0...
2.配置流分類,匹配ACL traffic classifier c1 if-match acl 3000quit
3.配置流行為(默認是permit) traffic behavior b1 quit
4.配置流策略,關聯流分類和流行為 traffic policy p1 classifier c1 behavior b1 quit

㈣ 請分析訪問控制列表（ACL）與包過濾防火牆的區別

ACL一般用在交換機和路由器上，應用的時候是有方向的（入方向或者出方向），我們知道數據包是有來有回的，acl只能做到單向訪問限制。比如交換機上配了2個vlan，vlan10和vlan20，vlan10的192.168.10.1訪問vlan20的192.168.20.1，如果在vlan10上啟用acl應用在inbound方向，策略為允許192.168.10.1訪問192.168.20.1，然後又在vlan20上啟用acl應用在inbound方向，策略為192.168.20.1拒絕訪問192.168.10.1。這種情況下其實兩邊都是不通的。應為從192.168.10.1ping192.168.20.1去的時候是可以到達的，但是回來的時候就讓vlan20上的acl給阻止了。
但是如果交換機換成防火牆就不一樣了，防火牆是基於5元組的包過濾的方式實現的訪問控制，如果是上面同樣的配置，那麼結果就是192.168.10.1能訪問192.168.20.1，反過來就不通了。
因為192.168.10.1去訪問192.168.20.1的時候這條會話會別標記，能去就能會，這是跟acl的本質區別，能記錄數據的來回，而acl做不到。
手打，謝謝。

㈤ 用ACL做VLAN間單向互訪

你好，

以下配置及說明以Cisco配置為前提。

因為通信是相互的，所以Cisco設備中的ACL在應用中默認是雙向限制的。

如何按需實現單向訪問？即不能讓B訪問A，但允許A訪問B。
假設A和B屬於不同的Vlan，Vlan間的路由通過三層交換機實現。
此時有兩種方法實現單向訪問控制：
1）在三層交換機上做Vlan-Filter；
2）利用reflect做ACL。

基於你的拓撲結構，是採取單臂路由來實現Vlan間的通信，所以只能採取方法2，並在路由器做配置。

配置如下：（兩步）

//第一步：建立訪問控制列表
ip access-list extended ACL-inbound //「ACL-inbound」是自定義的ACL名稱
//我並不阻止Vlan10內部的主機訪問外網，為什麼還要建立Vlan10站內的ACL呢？
//這是因為在這里要指定「reflect」策略，在制定站外策略（Vlan20訪問Vlan10）時需要用到！
permit ip host 192.168.10.2 host 192.168.20.2 reflect ACL-Ref
//指定一個reflect策略，命名為「ACL-Ref」，在制定站外ACL時要用到
permit ip any any //允許站內任意主機到站外任意地址的訪問，必配，否則Vlan10其他主機無法出站訪問！

ip access-list extended ACL-outbound //站外訪問控制策略
evaluate ACL-Ref //允許前面定義的reflect策略（ACL-Ref）中指定通信的返回數據
deny ip host 192.168.20.2 host 192.168.10.2 //阻止192.168.20.2訪問192.168.10.2
permit ip any any //允許站外其他任意主機訪問Vlan10內的任意主機

//第二步：埠應用ACL
interface fa0/0.1 //進入Vlan10的通信埠配置
ip address 192.168.10.1 255.255.255.0
ip access-group ACL-inbound in //應用站內訪問控制策略「ACL-inbound」
ip access-group ACL-outbound out //應用站外訪問控制策略「ACL-outbound」

以上，供參考。

㈥ acl如何設置單向訪問

配置ACL的過程，先建立ACL列表，然後把建立好的ACL列表運用到埠，在運用到埠的時候有個參數需要配置選擇進還是出，只選擇進或者只選擇出就完成了對單向ACL訪問的配置，選擇進的話，就是從該埠接收的數據包要比對ACL，選擇出的話，就是從該埠發送的數據包要比對ACL，就這樣

㈦ 思科acl單項訪問控制

MLS:
因為已經全網互檔仿脊通了，所以只大昌要拒絕pc2向pc1發送icmp echo就可以了
access-list 100 deny icmp host 192.168.5.1 host 192.168.4.1 echo
acl隱含一條deny any any，所以要行滲加一條permit
access-list 101 permit ip any any

㈧ 如何使用acl進行vlan間的限制

你好，

以下配置及說明以Cisco配置為前提。

因為通信是相互的，所以Cisco設備中的ACL在應用中默認是雙向限制的。

如何按需實現單向訪問？即不能讓B訪問A，但允許A訪問B。
假設A和B屬於不同的Vlan，Vlan間的路由通過三層交換機實現。
此時有兩種方法實現單向訪問控制：
1）在三層交換機上做Vlan-Filter；
2）利用reflect做ACL。

基於你的拓撲結構，是採取單臂路由來實現Vlan間的通信，所以只能採取方法2，並在路由器做配置。

配置如下：（兩步）

//第一步：建立訪問控制列表
ip access-list extended ACL-inbound //「ACL-inbound」是自定義的ACL名稱
//我並不阻止Vlan10內部的主機訪問外網，為什麼還要建立Vlan10站內的ACL呢？
//這是因為在這里要指定「reflect」策略，在制定站外策略（Vlan20訪問Vlan10）時需要用到！
permit ip host 192.168.10.2 host 192.168.20.2 reflect ACL-Ref
//指定一個reflect策略，命名為「ACL-Ref」，在制定站外ACL時要用到
permit ip any any //允許站內任意主機到站外任意地址的訪問，必配，否則Vlan10其他主機無法出站訪問！

ip access-list extended ACL-outbound //站外訪問控制策略
evaluate ACL-Ref //允許前面定義的reflect策略（ACL-Ref）中指定通信的返回數據
deny ip host 192.168.20.2 host 192.168.10.2 //阻止192.168.20.2訪問192.168.10.2
permit ip any any //允許站外其他任意主機訪問Vlan10內的任意主機

//第二步：埠應用ACL
interface fa0/0.1 //進入Vlan10的通信埠配置
ip address 192.168.10.1 255.255.255.0
ip access-group ACL-inbound in //應用站內訪問控制策略「ACL-inbound」
ip access-group ACL-outbound out //應用站外訪問控制策略「ACL-outbound」

以上，供參考。