1,試驗拓撲:
兩台7609做核心交換,配置上N個vlan,其中vlan199的HSRP active在7609-A上,vlan208的HSRP active在7609-B上。
通路控制的需求:
1..其他網段可以通路vlan208的任何端口
2..vlan208不能通路 250 254等管理網段的任何端口
3..vlan208可以通路其他服務網段的服務端口 如80 8080 443 7001 5200 1521
4..vlan208 可以通路vlan201 的 TCP/UDP 32768--65535 udp/tcp 111 udp/tcp 2049 這些端口組成了nfs的服務
2,配置如下:
ip access-list extended tov208
permit tcp any 192.168.208.0 0.0.0.255 reflect remain timeout 120
permit udp any 192.168.208.0 0.0.0.255 reflect remain
permit ip any any
ip access-list extended fromv208
permit icmp any any
evaluate remain
deny tcp any 192.168.250.0 0.0.0.255
deny udp any 192.168.250.0 0.0.0.255
deny tcp any 192.168.254.0 0.0.0.255
deny udp any 192.168.254.0 0.0.0.255
permit tcp any any eq www
permit tcp any any eq 8080
permit tcp any any eq 443
permit tcp any any eq 7001
permit tcp any any eq 5200
permit tcp any any eq 1521
permit tcp any 192.168.201.0 0.0.0.255 eq 111
permit udp any 192.168.201.0 0.0.0.255 eq 111
permit tcp any 192.168.201.0 0.0.0.255 eq 2049
permit udp any 192.168.201.0 0.0.0.255 eq 2049
permit tcp any 192.168.201.0 0.0.0.255 gt 32767
permit udp any 192.168.201.0 0.0.0.255 gt 32767
permit ip any host 224.0.0.2
int vlan 208
ip access-group fromv208 in
ip access-group tov208 out
no ip unreachables
3,結果分析
測試成功。但是同時出現了新問題:
vlan199通路不了vlan208(在vlan199端裝置上telnet 192.168.208.4 8080)
分析原因:
在7609-A上vlan199為active,vlan208為standby,是以在7609-A上,資料從vlan199到vlan208的資料比對tov208後産生一條自反acl。但是這條acl不會同步到7609-B上去,是以回來的資料流到達vlan208後比對不到acl,是以也就丢棄了。請注意路由器嚴格按照路由表來執行路由查找工作。
其實,像這樣的需求可以直接用擴充ACL的established特性來解決。
permit tcp any any eq 80 8080 443 7001 5200 1521
permit tcp any 192.168.201.0 0.0.0.255 eq 111 2049
permit udp any 192.168.201.0 0.0.0.255 eq 111 2049
permit tcp any any established
deny ip any 192.168.250.0 0.0.0.255
deny ip any 192.168.254.0 0.0.0.255
!
interface Vlan208
end
注釋:establishted特性通過檢查TCP段頭内的ACK和RST标記,如果這兩個标記都沒有被設定,表明源點正在向目标建立TCP連接配接,那麼比對不會發生。
本文轉自 chris_lee 51CTO部落格,原文連結:http://blog.51cto.com/ipneter/68067,如需轉載請自行聯系原作者