收藏
下载资源 加入VIP免费专享

VLAN之间的ACL配置.docx

上传人:罗晋 文档编号:6169490 上传时间:2020-09-16 格式:DOCX 页数:4 大小:70.24KB
返回 下载 相关 举报
VLAN之间的ACL配置.docx_第1页
第1页 / 共4页
VLAN之间的ACL配置.docx_第2页
第2页 / 共4页
VLAN之间的ACL配置.docx_第3页
第3页 / 共4页
VLAN之间的ACL配置.docx_第4页
第4页 / 共4页
亲,该文档总共4页,全部预览完了,如果喜欢就下载吧!
资源描述

《VLAN之间的ACL配置.docx》由会员分享,可在线阅读,更多相关《VLAN之间的ACL配置.docx(4页珍藏版)》请在三一文库上搜索。

1、.VLAN之间的 ACL配置实现多 vlan 间双 vlan 不通:创建 ACL,使 vlan20 能访问 vlan10,而 vlan30 不能访问vlan10Switch(config)#ip access-list extended deny30设置访问控制列表名称,( deny30): ACL名称Switch(config-ext-nacl)#deny ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255 -拒绝 vlan30 访问 vlan10Switch(config-ext-nacl)#permit ip any any - 允许 vla

2、n30 的用户访问其他任何资源Switch(config-ext-nacl)#exit - 退出扩展ACL配置模式将 ACL应用到 vlan30 的 SVI 口 in 方向Switch(config)#interface vlan 30 - 创建 vlan30 的 SVI 接口Switch(config-if)#ip access-group deny30 in - 将 ACLdeny30 应用到的SVI 接口下查看 ACL配置策略: Switch#show access-lists删除ACL 策略列表的其中一条策略:Switch(config)#ipaccess-list extendedd

3、eny30进入ACL 策略列表Switch(config-ext-nacl)#no 10删除单条策略删除 ACL配置策略列表:Switch(config)#ip access-list extended deny30进入 ACL策略列表Switch(config-ext-nacl)#no ip access-list extended deny30删除整个ACL策略表实现多 vlan 间双 vlan 单通:允许 vlan3 能访问 vlan2,但 vlan2 不能访问 vlan3Switch(config)#ip access-list extended 101设置访问控制列表ACL名称Swi

4、tch(config-ext-nacl)#permit ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255允许 vlan30 只能访问 vlan20Switch(config-ext-nacl)#deny ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255Switch(config-ext-nacl)#deny ip 192.168.3.0 0.0.0.255 192.168.4.0 0.0.0.255Switch(config-ext-nacl)#permit ip any any允许所有 IP 协议通过 ,

5、可以访问外网Switch(config)#int vlan 30进入 vlan30的 SVI 口Switch(config-if)#ip access-group 101 in把 ACL100调用到流量入方向2 个 VLAN 之间如何单向访问方案一:ip access-list extended vlan10(设置访问控制列表名称)permit icmp any any(允许 ICMp 协议)permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 reflect vlan-int (当 10.0 网段去访问 20.0 网段的时候就给打个标

6、记 vlan10-infilter )permit ip any any (允许访问所有IP)exitip access-list extended vlan20 (设置访问控制列表名称).permit icmp any any (允许 ICMp 协议)evaluate vlan10-int (如果是打了标记vlan10-infilter的就放行否则匹配下一条)deny ip any 192.168.10.0 0.0.0.255 (拒绝所有IP 到 10.0 网段)permit ip any any(允许访问所有IP)exitint vlan10ip grou vlan10 in (将策略vl

7、an10 应用到接口)exitint vlan20ip grouvlan20 in (将策略vlan20 应用到接口)方案二:只允许 VLAN101 访问 VLAN102,不允许 VLAN102 访问 VLAN101 acl 分别作用在两个 vlan 上ip access-list extended permit_1t2准备作用在vlan102 上permit ip 10.0.1.0 0.0.0.255 any reflect ref_1t2 timeout 100允许 vlan101 对于 vlan102 的访问permit ip any any(其实 deny 也可以)ip access-

8、list extended limit101准备作用在vlan101 上,evaluate ref_1t2调用反向ACLdeny ip any 10.0.1.0 0.0.0.255对于任何进入vlan101 的访问进行限制,但是对于vlan101 主动对外访问的返回信息予以通过permit ip any anyinterface Vlan101ip address 10.0.1.254 255.255.255.0ip access-group permit_1t2 ininterface Vlan102ip address 10.0.2.254 255.255.255.0ip access-g

9、roup limit101 invlan10 192.168.1.0vlan20 192.168.2.0至允许 vlan10 到 vlan20acl 全部作用在被限定的Vlan20 上.ip access-list extend traffic-inpermit ip 192.168.1.1 255.255.255.0 192.168.2.1 255.255.255.0 reflect con1ip access-list extend traffic-outevaulte con1deny ip 192.168.2.1 255.255.255.0 192.168.1.1 255.255.255.0 permit ip any anyint vlan 20ip access-group traffic-in inip access-group traffic-out out.

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 科普知识


经营许可证编号:宁ICP备18001539号-1