单向访问控制

前在很多厂家的交换机产品上已经开始提供基于三层的访问控制。但是在交换机上可以实现一种路由器上实现不了的功能，那就是单项访问控制。

举个例子来说明一下：

在某单位领导可以访问其他部门的任何主机，而其他部门的主机又不能访问领导的主机，在这样的情况下我们就得需要建立单项访问控制列表了。具体情况如图：

要求如图中所示。

具体配置如下：

Vlan 1

vlan 1

!

Vlan 2

vlan 2

!

Vlan 3

vlan 3

ip access-list extended lll

deny tcp 192.168.5.0 0.0.0.255 10.1.157.0 0.0.0.255 syn ack

!

!

firewall enable //注意默认动作应为允许//

!

!

Interface Ethernet0/0/1

!

Interface Ethernet0/0/2

switchport access vlan 2

!

Interface Ethernet0/0/3

switchport access vlan 2

!

Interface Ethernet0/0/4

switchport access vlan 3

!

Interface Ethernet0/0/5

switchport access vlan 3

!

Interface Ethernet0/0/6

!

Interface Ethernet0/0/7

!

Interface Ethernet0/0/8

!

Interface Ethernet0/0/9

!

Interface Ethernet0/0/10

!

Interface Ethernet0/0/11

!

Interface Ethernet0/0/12

!

Interface Ethernet0/0/13

!

Interface Ethernet0/0/14

!

Interface Ethernet0/0/15

!

Interface Ethernet0/0/16

!

Interface Ethernet0/0/17

!

Interface Ethernet0/0/18

!

Interface Ethernet0/0/19

!

Interface Ethernet0/0/20

!

Interface Ethernet0/0/21

!

Interface Ethernet0/0/22

!

Interface Ethernet0/0/23

!

Interface Ethernet0/0/24

!

!

interface Vlan2

interface vlan 2

ip address 192.168.5.1 255.255.255.0

!

!

interface Vlan3

interface vlan 3

ip address 10.1.157.1 255.255.255.0

以下是我们常说的TCP的三次握手的过程：

TCP A  TCP B

1.  CLOSED  LISTEN

2.  SYN-SENT  --&gt; <SEQ=100><CTL=SYN>  --&gt; SYN-RECEIVED

3.  ESTABLISHED <-- &lt;SEQ=300><ACK=101><CTL=SYN,ACK>  <-- SYN-RECEIVED

4.  ESTABLISHED --> <SEQ=101><ACK=301><CTL=ACK>   --&gt; ESTABLISHED

5.  ESTABLISHED --&gt; <SEQ=101><ACK=301><CTL=ACK><DATA>  --&gt; ESTABLISHED

在B发给A的确认中含有SYN和ACK，其值全部为1。

需要注意的问题：

1、在配置的时候一定要注意数据流的方向。因为A/B在不同的数据流中的方向是不一样的额。

2、如果需要匹配全部主机时，看看访问控制列表中的掩码是正码还是反码。如果是正码，那么就应该是255.255.255.255，如果是反码应该是0.0.0.0。

3、一般在配置访问控制列表的时候，不推荐在核心交换机上做访问控制，

4、如果要配置时间段，则应该在配置完成之后检查时间段的设置。

5、在所有的访问控制列表最后，有一条隐含规则--拒绝所有。

6、访问控制列表在定义网段地址时要用反掩码（通配符）

7、越精确的控制条目越要放在访问控制列表的前列。

8、越常用的访问控制列表条目越要防在访问控制列表的前列。

9、访问控制列表规则，一旦匹配，立刻执行，不在向下继续匹配。

10、标准访问控制列表尽量放在靠近目标地址的端口上。

11、扩展访问控制列表尽量放在靠近源地址的端口上。

12、在编号访问控制列表里要特别注意，删除其中的一个条目，其他的条目也一并删除。

13、访问控制列表制定完成后，要在接口下调用。

14、如果需要在交换机上或者路由器上开启全局访问控制，则在配置完成之后看看全局访问控制是否开启。

14、一条访问控制列表可以匹配多条规则。

转载于:https://blog.51cto.com/yuntaoliu/566170