VLAN之间的ACL配置[计算机类].doc

《VLAN之间的ACL配置[计算机类].doc》由会员分享，可在线阅读，更多相关《VLAN之间的ACL配置[计算机类].doc（3页珍藏版）》请在三一文库上搜索。

1、VLAN之间的ACL配置实现多vlan间双vlan不通：创建ACL，使vlan20能访问vlan10，而vlan30不能访问vlan10Switch(config)#ip access-list extended deny30 设置访问控制列表名称，（deny30）：ACL名称Switch(config-ext-nacl)#deny ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255 -拒绝vlan30访问vlan10Switch(config-ext-nacl)#permit ip any any -允许vlan30的用户访问其他任何资源Swit

2、ch(config-ext-nacl)#exit -退出扩展ACL配置模式将ACL应用到vlan30的SVI口in方向Switch(config)#interface vlan 30 -创建vlan30的SVI接口Switch(config-if)#ip access-group deny30 in -将ACLdeny30应用到的SVI接口下查看ACL配置策略：Switch#show access-lists删除ACL策略列表的其中一条策略：Switch(config)#ip access-list extended deny30 进入ACL策略列表 Switch(config-ext-nac

3、l)#no 10 删除单条策略删除ACL配置策略列表：Switch(config)#ip access-list extended deny30 进入ACL策略列表 Switch(config-ext-nacl)#no ip access-list extended deny30 删除整个ACL策略表 实现多vlan间双vlan单通：允许vlan3能访问vlan2，但vlan2不能访问vlan3Switch(config)#ip access-list extended 101 设置访问控制列表ACL名称Switch(config-ext-nacl)#permit ip 192.168.3.0

4、 0.0.0.255 192.168.2.0 0.0.0.255 允许vlan30只能访问vlan20Switch(config-ext-nacl)#deny ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255Switch(config-ext-nacl)#deny ip 192.168.3.0 0.0.0.255 192.168.4.0 0.0.0.255Switch(config-ext-nacl)#permit ip any any 允许所有IP协议通过,可以访问外网Switch(config)#int vlan 30 进入vlan30的SVI口

5、Switch(config-if)#ip access-group 101 in 把ACL100调用到流量入方向2个VLAN之间如何单向访问方案一：ip access-list extended vlan10 （设置访问控制列表名称）permit icmp any any （允许ICMp协议）permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 reflect vlan-int（当10.0网段去访问 20.0网段的时候就给打个标记vlan10-infilter）permit ip any any（允许访问所有IP）exitip acce

6、ss-list extended vlan20（设置访问控制列表名称）permit icmp any any（允许ICMp协议）evaluate vlan10-int（如果是打了标记vlan10-infilter的就放行 否则匹配下一条）deny ip any 192.168.10.0 0.0.0.255（拒绝所有IP到10.0网段）permit ip any any （允许访问所有IP）exitint vlan10ip grou vlan10 in（将策略vlan10应用到接口）exitint vlan20ip grou vlan20 in（将策略vlan20应用到接口）方案二：只允许VLA

7、N101访问VLAN102,不允许VLAN102访问VLAN101acl分别作用在两个vlan上ip access-list extended permit_1t2准备作用在vlan102上permit ip 10.0.1.0 0.0.0.255 any reflect ref_1t2 timeout 100允许vlan101对于vlan102的访问permit ip any any （其实deny也可以）ip access-list extended limit101准备作用在vlan101上，evaluate ref_1t2 调用反向ACLdeny ip any 10.0.1.0 0.0.

8、0.255 对于任何进入vlan101的访问进行限制，但是对于vlan101主动对外访问的返回信息予以通过permit ip any anyinterface Vlan101ip address 10.0.1.254 255.255.255.0 ip access-group permit_1t2 ininterface Vlan102ip address 10.0.2.254 255.255.255.0 ip access-group limit101 invlan10 192.168.1.0 vlan20 192.168.2.0至允许vlan10到vlan20acl全部作用在被限定的Vla

9、n20上ip access-list extend traffic-inpermit ip 192.168.1.1 255.255.255.0 192.168.2.1 255.255.255.0 reflect con1ip access-list extend traffic-outevaulte con1deny ip 192.168.2.1 255.255.255.0 192.168.1.1 255.255.255.0 permit ip any anyint vlan 20ip access-group traffic-in inip access-group traffic-out out3网络软硬件