是否需要雙向配置 Cisco ACL 以允許流量？

我不確定 Cisco ACL 如何在 SF300 託管交換機上工作。

我的交換機處於 L3 模式並配置了不同的 VLAN。

每個 VLAN 都有幾個處於訪問模式的埠分配給它。

對於每個 VLAN，我想應用一些 ACL 規則。例如，一個 VLAN 應該只能上網瀏覽網站，所以允許 80 和 443 埠。

我嘗試的 ACE 規則如下所示：

permit tcp 10.0.100.0 0.0.0.255 any any www ace-priority 100335
permit tcp 10.0.100.0 0.0.0.255 any any 443 ace-priority 100355

但僅此一項不會讓客戶訪問網路。為此，我還必須允許相反方向的流量：

permit  tcp any www 10.0.100.0 0.0.0.255 any ace-priority 100375
permit  tcp any 443 10.0.100.0 0.0.0.255 any ace-priority 100395

這是我不喜歡的，因為我只想允許 VLAN 中客戶端請求的連接。我不想允許來自外部的不請自來的連接。

所以我的問題是，是否有一種方法可以允許 Web 訪問，而不必在此 Cisco 託管交換機上使用兩組規則。

我唯一的猜測是，我試圖實現的不是交換機的工作，而是防火牆的工作，而 SF300 不是。或者我錯過了一些關鍵字，例如“建立”，我在一些手冊中找到了它，但它似乎不適用於 SF300 交換機，因為沒有這樣的關鍵字。

正如您所發現的，SF300 的 ACL 功能有限。它只允許介面上“入站”方向的 ACL。因此，完成您想要的唯一方法是將 ACL 放在面向 Internet 的 VLAN 介面上。這相當於“建立”關鍵字。

permit  tcp any match +ack 10.0.100.0 0.0.0.255 any
deny tcp any 10.0.100.0 0.0.0.255 any
permit ip any any

正式 - 是的，當然。但行業標準方法是僅使用入站 ACL，並允許所有內容傳出。因此，如果您決定使用這種方法，您將只需要access-group為傳入流量定義。

引用自：https://serverfault.com/questions/982480