技术经验：反向访问控制列表-新闻中心-精英教育网

　　ip access-list extended outfilter
　　evaluate cciepass
　　deny ip 10.54.48.0 0.0.0.255 any
　　deny ip 10.54.49.0.0.0.0.255 any
　　deny ip 10.54.50.0 0.0.0.255 any
　　deny ip 10.54.51.0 0.0.0.255 any
　　permit ip any any

　　！应用到管理接口

　　int vlan 63
　　ip access-group infilter in
　　ip access-group outfilter out
　　
　　方法二：在管理VLAN接口上不放置任何访问列表，而是在其它VLAN接口都放。
　　以办公VLAN为例：
　　
　　在出方向放置reflect

　　ip access-list extended outfilter
　　permit ip any any reflect cciepass
　　!

　　在入方向放置evaluate
　　ip access-list extended infilter
　　deny ip 10.54.48.0 0.0.0.255 10.54.49.0 0.0.0.255
　　deny ip 10.54.48.0 0.0.0.255 10.54.50.0 0.0.0.255
　　deny ip 10.54.48.0 0.0.0.255 10.54.51.0 0.0.0.255
　　deny ip 10.54.48.0 0.0.0.255 10.54.63.0 0.0.0.255
　　evaluate cciepass
　　permit ip any any
　　!

　　应用到办公VLAN接口：

　　int vlan 48
　　ip access-group infilter in
　　ip access-group outfilter out
　　
　　总结：
　　
　　1）Reflect放置在允许的方向上（可进可出）
　　
　　2）放在管理VLAN上配置简单，但是不如放在所有其它VLAN上直接。
　　
　　3）如果在内网口上放置: 在入上设置Reflect
　　
　　如果在外网口上放置: 在出口上放置Reflect
　　
　　LAN WAN
　　-
　　inbound outbound
　　
　　4）reflect不对本地路由器上的数据包跟踪,所以对待进入的数据包时注意,要允许一些数据流进入

下一篇：Cisco认证考试中Switch命令说明

1.在基于IOS的交换机上设置主机名/系统名：

switch(config)# hostname hostname

"TEXT-INDENT: 2em">在基于CLI的交换机上设置主机名/系统名：

switch(enable) set system name name-string

2.在基于IOS的交换机上设置登录口令：

switch(config)# enable password level 1 password

在基于CLI的...[查看详情]

关键词： IT认证思科认证控制列表


	北师大　火星时代共举影视动画培训之鼎		北大BEC培训官方报名网站现在报名独享95折!		2008年国家职业资格考试一次过关完全备考手册		2008留学第一站留学资讯尽在精英留学站！

上一篇：技术经验：访问控制列表[2]
下一篇：Cisco认证考试中Switch命令说明

　相关新闻

·思科认证：浅析WCDMA网络的演进和部署	·思科认证动态：失业大军中的CCIE们
·Cisco资格认证考试指导之Switch命令	·关于Cisco交换机接口模式的详细介绍
·Cisco交换机4506密码恢复过程	·思科认证CCIE R&S要看的书和文档
·CISCO 思科认证入门全面解读	·思科考试考点分析考试时间及格分数
·CCNA 640-801考试大纲及分数线	·CCNP考点分析、考试时间及分数线
·思科认证：MCSE与CCNA比较	·思科认证网络专业人员考试认证概述
·CCNA 642-811 BCMSN考试分数线	·CCNA 642-821 BCRAN考试分数线
·CCNA 642-831 CIT考试及格分数线	·CCNP认证教材资料及考试大纲简介

◇ 重点栏目导航

教育江湖	英语培训	多语种	职业认证
计算机	企业管理	商学院	考研新闻
在职研修	高考新闻	出国留学	远程学习

◇ 精英服务承诺

教育顾问：010-51660910
QQ交流：138660910