组策略助跨vlan共享互访

《组策略助跨vlan共享互访》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、组策略助跨vlan共享互访曾为一公司进行网络改造，其已是域环境主要是为各部门划分vlano但vlan划分好后其内部的打印机及部分人员间文件共享都无法访问。可能大家都会想到是ACL或防火墙问题。但ACL只针对某两部门，现在就剩下机器上防火墙了。将其中一vlan中一机器防火墙关闭，顺利访问。确定就是防火墙上了，可其网管也不想将防火墙关闭。要是只儿台打印服务器的话也还好办！打卬服务器・控制面板・Windows防火墙■例外■文件和打印机共享・编辑，把所有的端口范围全部改成“内部VLAN地址”。口J几百台机器。。。弄不死也差不多！还是到组策略上找找！没用会找到。实现如门客户端看一下，己实现。

2、但问题又岀现，还是只能其于IP访问，以前可以基于机器名访问。架一wins服务器解决(在此就略了)共享VLAN互相访问问题反向访问列表有5个VLAN,分别为管理(63)、办公(48)、业务(49)、财务(50)、家庭(51)。要求：管理可以访问其它,而其它不能访问管理，并H其它VLAN之间不能互相访问！其它的应用不受影响，例如通过上连进行INTERNET的访问方法一：只在管理VLAN的接口上配置，其它VLAN接口不用配置。在入方向放置reflectipaccess-listextendedinfilterpermitipanyanyreflectcciepass!在出方向放置eval

3、uateipaccess-listextendedoutfilterevaluatecciepassdenyip10.54.4&00.0.0.255anydenyip10.54.49.0.0.0.0.255anydenyip10.54.50.00.0.0.255anydenyip10.54.51.00.0.0.255anypermitipanyany!应用到管理接口intvlan63ipaccess-groupinfilterinipaccess-groupoutfilterout方法二：在管理VLAN接口上不放置任何访问列表，而是在其它VLAN接口都放。以办公VLAN为例：在出方

4、向放置reflectipaccess-listextendedoutfilterpermitipanyanyreflectcciepass!在入方向放置evaluateipaccess-listextendedinfilterdenyip10.54.48.00.0.0.25510.54.49.00.0.0.255denyip10.54.48.00.0.0.25510.54.50.00.0.0.255denyip10.54.48.00.0.0.25510.54.51.00.0.0.255denyip10.54.48.00.0.0.25510.54.63.00.0.0.255evalu

5、atecciepasspermitipanyany!应用到办公VLAN接口：intvlan48ipaccess-groupinfilterinipaccess-groupoutfilterout总结：1）Reflect放置在允许的方向上（可进口J出）2）放在管理VLAN上配置简单，但是不如放在所有其它VLAN上直接。3）如果在内网口上放置：在入上设置Reflect如果在外网口上放置：在出口上放置ReflectLANWANinboundoutbound4）reflect不对本地路由器上的数据包跟踪，所以对待进入的数据包时注意,耍允许一些数据流进入