交换技术:反向访问列表在实际中的应用(转)

最新推荐文章于 2018-12-02 21:02:00 发布
最新推荐文章于 2018-12-02 21:02:00 发布
阅读量115 收藏
点赞数
交换技术:反向访问列表在实际中的应用(转)[@more@]

  反向访问列表

  有5个VLAN,分别为 管理(63)、办公(48)、业务(49)、财务(50)、家庭(51)。

  要求: 管理可以访问其它,而其它不能访问管理,并且其它VLAN之间不能互相访问!

  其它的应用不受影响,例如通过上连进行INTERNET的访问

  方法一: 只在管理VLAN的接口上配置,其它VLAN接口不用配置。

在入方向放置reflect

ip access-list extended infilter

permit ip any any reflect cciepass

!

在出方向放置evaluate

ip access-list extended outfilter

evaluate cciepass

deny ip 10.54.48.0 0.0.0.255 any

deny ip 10.54.49.0.0.0.0.255 any

deny ip 10.54.50.0 0.0.0.255 any

deny ip 10.54.51.0 0.0.0.255 any

permit ip any any

!应用到管理接口

int vlan 63

ip access-group infilter in

ip access-group outfilter out

  方法二:在管理VLAN接口上不放置任何访问列表,而是在其它VLAN接口都放。

  以办公VLAN为例:

在出方向放置reflect

ip access-list extended outfilter

permit ip any any reflect cciepass

!

在入方向放置evaluate

ip access-list extended infilter

deny ip 10.54.48.0 0.0.0.255 10.54.49.0 0.0.0.255

deny ip 10.54.48.0 0.0.0.255 10.54.50.0 0.0.0.255

deny ip 10.54.48.0 0.0.0.255 10.54.51.0 0.0.0.255

deny ip 10.54.48.0 0.0.0.255 10.54.63.0 0.0.0.255

evaluate cciepass

permit ip any any

!

  应用到办公VLAN接口:

int vlan 48

ip access-group infilter in

ip access-group outfilter out

  总结:

  1) Reflect放置在允许的方向上(可进可出)

  2) 放在管理VLAN上配置简单,但是不如放在所有其它VLAN上直接。

  3) 如果在内网口上放置: 在入上设置Reflect

  如果在外网口上放置: 在出口上放置Reflect

  LAN WAN

  -

  inbound outbound

  4)reflect不对本地路由器上的数据包跟踪,所以对待进入的数据包时注意,要允许一些数据流进入。

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/10752019/viewspace-955331/,如需转载,请注明出处,否则将追究法律责任。

转载于:http://blog.itpub.net/10752019/viewspace-955331/

ciya3282
关注
AI人工智能 Agent:在网络安全应用
AI天才研究院
07-06 1033
AI人工智能 Agent:在网络安全应用 作者:禅与计算机程序设计艺术 / Zen and the Art of Computer Programming 关键词:AI安全代理,网络安全威胁检测,智能防御系统,零日攻击预测,实时响应机制 1. 背景介绍
传统架构和k8s架构:如何在实际应用进行选择和搭配?
漠效的博客
04-17 2622
在如今的互联网时代,传统的架构和部署方式可能已经无法满足不断发展和创新的业务需求。为了更好地提高系统的可靠性、灵活性和可维护性,许多企业开始采用k8s这样的容器编排工具来进行应用程序的部署和管理。但是传统架构真的不可取吗?k8s的优势是哪些?在这篇文章,我们会深入探讨传统架构和 k8s 架构之间的区别以及如何在实际应用合理选择,帮助您更好的应对具体的需求。选了几个标题名,都很好,不忍舍弃,按照小说简介的写法,因此该文章别名又叫:探讨传统架构和 k8s 架构的优劣与取舍。
Reflexive_ACL
weixin_34061042的博客
11-24 169
Case Study:FundamentalReflexive ACL于Cisco IOS Release 11.3引入,且只支持扩展的命名IP ACL.Reflexive ACL用于在router上基于IP上层协议-"session"进行网络流量过滤。它是普通的带established后缀的ACL的一种扩展。用extablished参数只能实现对TCP会话的过滤。它只是简单...
Invalid <url-pattern> /*.action in filter mapping错误以及(Servlet和Filter的url匹配url-p)
今晚打老虎
11-17 634
Servlet和filter是J2EE开发常用的技术,使用方便,配置简单,老少皆宜。   估计大多数朋友都是直接配置用,也没有关心过具体的细节,今天遇到一个问题,上网查了servlet的规范才发现,servlet和filter的url-pattern还是有一些文章在里面的,总结了一些东西,放出来供大家参考,以免遇到问题又要浪费时间。   一、servlet容器对url的匹配过程:   ...
Java IO流之FilterInputStream和FilterOutputStream分析
梦悠哉的博客
08-26 1万+
简介 FilterInputStream和FilteOutputStream分别是过滤输入流和过滤输出流,他们的作用是为基础流提供一些额外的功能.拿FilterInputStream来说,常见的子类有DataInputStream,BufferedInputStream以及PushBackInputStream等.其子类总结为: DataInputStream.数据输入流,以机器无关的方式读取...
卷积神经网络的filter是怎么工作的
终结大笨狗的博客
10-12 3万+
首先,写这个文档的原因是因为我载了一篇文章,不会编辑。擦。。。。 首先收输入层是毛东西?     就是输入的图像,有可能是三通道的有可能是单通道的。    比如28*28*1或者28*28*3 分别代表的是大小为28*28,通道数分别为单通道和三通道的图片 其次,什么是filter呢    filter的最大的特点是其深度与输入层的深度是一致的。输入层是单通道,filter也是
单片机与DSP的DMA在实时图像处理应用
12-10
实际应用,设计者需要根据系统需求精心配置DMA控制器的各个寄存器,以实现最佳性能。例如,主控寄存器用于设定传输类型和状态,副控寄存器用于启用断和监控通道状态,而传输计数寄存器则记录传输的数量。通过...
表示层:数据换与加密技术的应用
# 1. 表示层数据换技术 ...数据换技术能够实现不同系统之间的数据交换和共享,提高数据的可访问性和可用性。同时,也能保护数据的安全性和完整性,确保数据在传输和存储过程不被篡改或泄露。
【Python树结构扩展】:多叉树在JSON数据的巧妙应用
![python 树生成json数据结构...# 1. 多叉树数据结构概述 多叉树是一种非线性数据结构,与二叉树类似,但是每个节点可以有无限数量的子节点。它被广泛应用于计算机科学,用于表示具有层次结构的数据。多叉树的每个节
【Makefile】filter & filter-out
公众号『机器感知』
06-16 1410
机器感知 一个专注于SLAM、机器视觉、Linux 等相关技术文章分享的公众号 $(filter pattern…,text) Returns all whitespace-separated words in text that do match any of the pattern words, removing any words that do not match. The ...
filter和拦截器的区别和执行顺序
ListenUp
06-13 438
1.Filter过滤器只过滤jsp文件不过滤action请求解决方案解决办法:在web.xml将filter的配置放在struts2配置的前面。2.拦截器与Filter的区别 Spring的拦截器与Servlet的Filter有相似之处,比如二者都是AOP编程思想的体现,都能实现权限检查、日志记录等。不同的是:使用范围不同:Filter是Servlet规范规定的,只能用于Web程序。而拦截器既...
Spring Security Web 5.1.2 源码解析 -- LogoutFilter
Details Inside Spring
12-02 916
概述 在进行安全配置时,不管是明确指定还是使用缺省配置,最终安全配置都会包含以下退出登录配置信息: 怎样的请求是一个退出登录请求 这里包含两部分信息: url, http method 成功退出登录过程需要做哪些事情 也就是各种配置的LogoutHandler 核心LogoutHandler:SecurityContextLogoutHandler–销毁session和Security...
Dubbo源码分析(TimeoutFilter、ExceptionFilter、TokenFilter)
09-01 3325
上篇博客来分析了一下日志Filter,这篇来看一下以下几个Filter TimeOutFilter:如果执行timeout,则log记录下,不干涉服务的运行 ExceptionFilter:对执行的异常进行分类统计 具体代码就不贴了,就是用try...catch...来执行,得到result后,来分析result的异常信息 TokenFilter:随机token令牌,需要做一下配置  Token
Cisco访问控制列表详解(ACL)
weixin_33843409的博客
08-20 644
Cisco访问控制列表详解(ACL)2007-01-20 23:51CISCO路由器的access-list(访问列表)最基本的有两种,分别是标准访问列表和扩展访问列表,二者的区别主要是前者是基于目标地址的数据包过滤,而后者是基于目标地址、源地址和网络协议及其端口的数据包过滤。 (1)标准型IP访问列表的格式      ---- 标准型IP访问列表的格式如下:      ...
SpringBootfilter的使用详解及原理
热门推荐
u014627099的博客
11-27 4万+
        首先还是老生常谈,我先把SpringBootfilter的使用示例写出来,然后再解释下代码、说一下运行的顺序,最后讲一下filter的原理(其实就是责任链设计模式,从马士兵老师那里偷来的。。。)。         要想使用filter,需要写一个方法继承Filter类,我们写如下两个自己的Filter类,首先是FirstFilter类,其@Order里边的数字越小代表越先被该...
numexpr-2.8.3-cp38-cp38-win_amd64.whl
10-14
numexpr-2.8.3-cp38-cp38-win_amd64.whl
ujson-5.3.0-cp311-cp311-win_amd64.whl
10-14
ujson-5.3.0-cp311-cp311-win_amd64.whl
基于MATLAB车牌识别程序技术实现面板GUI.zip
最新发布
10-14
vos3000
Caffe的Blob:数据存储与交换关键技术
“Blob的存储与交换-ansysmeshing高级网格划分技术” 在Caffe深度学习框架,Blob是一个核心概念,用于存储和传递实际数据,它是一个C风格的N维数组,能够进行CPU与GPU之间的同步处理。Blob的存储方式是按行为主...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值