acl单向访问控制

㈠ acl访问控制能否实现单向通信

可以在三层交换机上配置acl策略，限制PC2无法访问PC1所在的VLAN、IP或端口

㈡ acl两个网段禁止互访是单项的吗

禁止。
路由器和交换机之间的数据交换是双向的，也就是说做不到单向的访问。
ACL简介：访问控制列表ACL（AccessControlList）是由一条或多条规则组成的集合。所谓规则，是指描述报文匹配条件的判断语句，这些条件可以是报文的源地址、目的地址、端口号等。ACL本质上是一种报文过滤器，规则是过滤器的滤芯。设备基于这些规则进行报文匹配，可以过滤出特定的报文，并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。

㈢ 你好，华为ENSP s5700交换机如何做ACL单向访问

1.创建ACL,制定访问控制规则(默认是permit) acl 3000rule 5 permit tcp source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0...
2.配置流分类,匹配ACL traffic classifier c1 if-match acl 3000quit
3.配置流行为(默认是permit) traffic behavior b1 quit
4.配置流策略,关联流分类和流行为 traffic policy p1 classifier c1 behavior b1 quit

㈣ 请分析访问控制列表（ACL）与包过滤防火墙的区别

ACL一般用在交换机和路由器上，应用的时候是有方向的（入方向或者出方向），我们知道数据包是有来有回的，acl只能做到单向访问限制。比如交换机上配了2个vlan，vlan10和vlan20，vlan10的192.168.10.1访问vlan20的192.168.20.1，如果在vlan10上启用acl应用在inbound方向，策略为允许192.168.10.1访问192.168.20.1，然后又在vlan20上启用acl应用在inbound方向，策略为192.168.20.1拒绝访问192.168.10.1。这种情况下其实两边都是不通的。应为从192.168.10.1ping192.168.20.1去的时候是可以到达的，但是回来的时候就让vlan20上的acl给阻止了。
但是如果交换机换成防火墙就不一样了，防火墙是基于5元组的包过滤的方式实现的访问控制，如果是上面同样的配置，那么结果就是192.168.10.1能访问192.168.20.1，反过来就不通了。
因为192.168.10.1去访问192.168.20.1的时候这条会话会别标记，能去就能会，这是跟acl的本质区别，能记录数据的来回，而acl做不到。
手打，谢谢。

㈤ 用ACL做VLAN间单向互访

你好，

以下配置及说明以Cisco配置为前提。

因为通信是相互的，所以Cisco设备中的ACL在应用中默认是双向限制的。

如何按需实现单向访问？即不能让B访问A，但允许A访问B。
假设A和B属于不同的Vlan，Vlan间的路由通过三层交换机实现。
此时有两种方法实现单向访问控制：
1）在三层交换机上做Vlan-Filter；
2）利用reflect做ACL。

基于你的拓扑结构，是采取单臂路由来实现Vlan间的通信，所以只能采取方法2，并在路由器做配置。

配置如下：（两步）

//第一步：建立访问控制列表
ip access-list extended ACL-inbound //“ACL-inbound”是自定义的ACL名称
//我并不阻止Vlan10内部的主机访问外网，为什么还要建立Vlan10站内的ACL呢？
//这是因为在这里要指定“reflect”策略，在制定站外策略（Vlan20访问Vlan10）时需要用到！
permit ip host 192.168.10.2 host 192.168.20.2 reflect ACL-Ref
//指定一个reflect策略，命名为“ACL-Ref”，在制定站外ACL时要用到
permit ip any any //允许站内任意主机到站外任意地址的访问，必配，否则Vlan10其他主机无法出站访问！

ip access-list extended ACL-outbound //站外访问控制策略
evaluate ACL-Ref //允许前面定义的reflect策略（ACL-Ref）中指定通信的返回数据
deny ip host 192.168.20.2 host 192.168.10.2 //阻止192.168.20.2访问192.168.10.2
permit ip any any //允许站外其他任意主机访问Vlan10内的任意主机

//第二步：端口应用ACL
interface fa0/0.1 //进入Vlan10的通信端口配置
ip address 192.168.10.1 255.255.255.0
ip access-group ACL-inbound in //应用站内访问控制策略“ACL-inbound”
ip access-group ACL-outbound out //应用站外访问控制策略“ACL-outbound”

以上，供参考。

㈥ acl如何设置单向访问

配置ACL的过程，先建立ACL列表，然后把建立好的ACL列表运用到端口，在运用到端口的时候有个参数需要配置选择进还是出，只选择进或者只选择出就完成了对单向ACL访问的配置，选择进的话，就是从该端口接收的数据包要比对ACL，选择出的话，就是从该端口发送的数据包要比对ACL，就这样

㈦ 思科acl单项访问控制

MLS:
因为已经全网互档仿脊通了，所以只大昌要拒绝pc2向pc1发送icmp echo就可以了
access-list 100 deny icmp host 192.168.5.1 host 192.168.4.1 echo
acl隐含一条deny any any，所以要行渗加一条permit
access-list 101 permit ip any any

㈧ 如何使用acl进行vlan间的限制

你好，

以下配置及说明以Cisco配置为前提。

因为通信是相互的，所以Cisco设备中的ACL在应用中默认是双向限制的。

如何按需实现单向访问？即不能让B访问A，但允许A访问B。
假设A和B属于不同的Vlan，Vlan间的路由通过三层交换机实现。
此时有两种方法实现单向访问控制：
1）在三层交换机上做Vlan-Filter；
2）利用reflect做ACL。

基于你的拓扑结构，是采取单臂路由来实现Vlan间的通信，所以只能采取方法2，并在路由器做配置。

配置如下：（两步）

//第一步：建立访问控制列表
ip access-list extended ACL-inbound //“ACL-inbound”是自定义的ACL名称
//我并不阻止Vlan10内部的主机访问外网，为什么还要建立Vlan10站内的ACL呢？
//这是因为在这里要指定“reflect”策略，在制定站外策略（Vlan20访问Vlan10）时需要用到！
permit ip host 192.168.10.2 host 192.168.20.2 reflect ACL-Ref
//指定一个reflect策略，命名为“ACL-Ref”，在制定站外ACL时要用到
permit ip any any //允许站内任意主机到站外任意地址的访问，必配，否则Vlan10其他主机无法出站访问！

ip access-list extended ACL-outbound //站外访问控制策略
evaluate ACL-Ref //允许前面定义的reflect策略（ACL-Ref）中指定通信的返回数据
deny ip host 192.168.20.2 host 192.168.10.2 //阻止192.168.20.2访问192.168.10.2
permit ip any any //允许站外其他任意主机访问Vlan10内的任意主机

//第二步：端口应用ACL
interface fa0/0.1 //进入Vlan10的通信端口配置
ip address 192.168.10.1 255.255.255.0
ip access-group ACL-inbound in //应用站内访问控制策略“ACL-inbound”
ip access-group ACL-outbound out //应用站外访问控制策略“ACL-outbound”

以上，供参考。