一台cisco三层交换机配置vlan10、20、30、40、50,需要vlan10不能访问任意vlan,vlan20只能访问vlan10
答案:4 悬赏:20 手机版
解决时间 2021-02-11 02:48
- 提问者网友:低吟詩仙的傷
- 2021-02-10 09:47
vlan30、40可以访问任意vlan,vlan50不能访问vlan10、20,请问acl如何配置、如何应用端口
最佳答案
- 五星知识达人网友:三千妖杀
- 2021-02-10 11:04
你控制单向访问可以使用扩展访问列表要用tcp syn的参数.
比如: access-list 101 permit tcp any(源ip) 1.1.1.1 0.0.0.255 syn .
1. vlan10不能访问任意vlan:在int vlan 10接口上用in方向访问列表:access-list 101 deny tcp any any syn,access-list 101 permit ip any any;
2. vlan20只能访问vlan10:在int vlan 20 接口上用in方向访问列表:access-list 102 permit tcp any vlan10网段 syn;
3.vlan30、40可以访问任意vlan :不用额外配置;
4.vlan50不能访问vlan10、20:在 int vlan 50接口上用in方向访问列表:access-list 105 deny tcp any vlan10网段 syn,access-list 105 deny tcp any vlan20网段 syn, access-list 105 permit ip any any.
比如: access-list 101 permit tcp any(源ip) 1.1.1.1 0.0.0.255 syn .
1. vlan10不能访问任意vlan:在int vlan 10接口上用in方向访问列表:access-list 101 deny tcp any any syn,access-list 101 permit ip any any;
2. vlan20只能访问vlan10:在int vlan 20 接口上用in方向访问列表:access-list 102 permit tcp any vlan10网段 syn;
3.vlan30、40可以访问任意vlan :不用额外配置;
4.vlan50不能访问vlan10、20:在 int vlan 50接口上用in方向访问列表:access-list 105 deny tcp any vlan10网段 syn,access-list 105 deny tcp any vlan20网段 syn, access-list 105 permit ip any any.
全部回答
- 1楼网友:第四晚心情
- 2021-02-10 14:54
vlan10不能访问任意vlan,vlan20只能访问vlan10 那么10能访问20、、、矛盾了。。
再看看别人怎么说的。
- 2楼网友:不想翻身的咸鱼
- 2021-02-10 13:21
需要对VLAN设置IP地址段,然后使用ACL做访问控制。最后把这个ACL添加到指定的interface vlan中。vlan30、vlan40接口不添加ACL策略,vlan10、vlan20添加策略
- 3楼网友:低血压的长颈鹿
- 2021-02-10 11:56
S5750#conf ----进入全局配置模式
S5750(config)#vlan 10 ----创建VLAN10
S5750(config-vlan)#exit ----退出VLAN配置模式
S5750(config)#vlan 20 ----创建VLAN20
S5750(config-vlan)#exit ----退出VLAN配置模式
S5750(config)#vlan 30 ----创建VLAN30
S5750(config-vlan)#exit ----退出VLAN配置模式
步骤二:将端口加入各自vlan
S5750(config)# interface range gigabitEthernet 0/1-5
----进入gigabitEthernet 0/1-5号端口
S5750(config-if-range)#switchport access vlan 10
----将端口加划分进vlan10
S5750(config-if-range)#exit ----退出端口配置模式
S5750(config)# interface range gigabitEthernet 0/6-10
----进入gigabitEthernet 0/6-10号端口
S5750(config-if-range)#switchport access vlan 20
----将端口加划分进vlan20
S5750(config-if-range)#exit ----退出端口配置模式
S5750(config)# interface range gigabitEthernet 0/11-15
----进入gigabitEthernet 0/11-15号端口
S5750(config-if-range)#switchport access vlan 30
----将端口加划分进vlan30
S5750(config-if-range)#exit ----退出端口配置模式
步骤三:配置vlan10、vlan20、vlan30的网关IP地址
S5750(config)#interface vlan 10 ----创建vlan10的SVI接口
S5750(config-if)#ip address 192.168.10.1 255.255.255.0
----配置VLAN10的网关
S5750(config-if)#exit ----退出端口配置模式
S5750(config)#interface vlan 20 ----创建vlan10的SVI接口
S5750(config-if)#ip address 192.168.20.1 255.255.255.0
----配置VLAN10的网关
S5750(config-if)#exit ----退出端口配置模式
S5750(config)#interface vlan 30 ----创建vlan10的SVI接口
S5750(config-if)#ip address 192.168.30.1 255.255.255.0
----配置VLAN10的网关
S5750(config-if)#exit ----退出端口配置模式
步骤四:创建ACL,使vlan20能访问vlan10,而vlan30不能访问vlan10
S5750(config)#ip access-list extended deny30 ----定义扩展ACL
S5750(config-ext-nacl)#deny ip 192.168.30.0 .255 192.168.10.0 0.0.0.255
----拒绝vlan30的用户访问vlan10资源
S5750(config-ext-nacl)#permit ip any any
----允许vlan30的用户访问其他任何资源
S5750(config-ext-nacl)#exit ----退出扩展ACL配置模式
步骤五:将ACL应用到vlan30的SVI口in方向
S5750(config)#interface vlan 30 ----创建vlan30的SVI接口
S5750(config-if)#ip access-group deny
----将扩展ACL应用到vlan30的SVI接口下
我要举报
如以上回答内容为低俗、色情、不良、暴力、侵权、涉及违法等信息,可以点下面链接进行举报!
点此我要举报以上问答信息
大家都在看
推荐资讯