VLAN之间的ACL配置
实现多vlan间双vlan不通:
创建ACL,使vlan20能访问vlan10,而vlan30不能访问vlan10?
Switch(config)#ip access-list extended deny30 设置访问控制列表名称,(deny30):ACL名称 Switch(config-ext-nacl)#deny ip ----拒绝vlan30访问vlan10?
Switch(config-ext-nacl)#permit ip any any ----允许vlan30的用户访问其他任何资源? Switch(config-ext-nacl)#exit ----退出扩展ACL配置模式 将ACL应用到vlan30的SVI口in方向?
Switch(config)#interface vlan 30 ----创建vlan30的SVI接口?
Switch(config-if)#ip access-group deny30 in ----将ACLdeny30应用到的SVI接口下
查看ACL配置策略:Switch#show access-lists
删除ACL策略列表的其中一条策略:Switch(config)#ip access-list extended deny30 进入ACL策略列表 Switch(config-ext-nacl)#no 10 删除单条策略
删除ACL配置策略列表:Switch(config)#ip access-list extended deny30 进入ACL策略列表
Switch(config-ext-nacl)#no ip access-list extended deny30 删除整个ACL策略表
实现多vlan间双vlan单通:
允许vlan3能访问vlan2,但vlan2不能访问vlan3
Switch(config)#ip access-list extended 101 设置访问控制列表ACL名称 Switch(config-ext-nacl)#permit ip 允许vlan30只能访问vlan20 Switch(config-ext-nacl)#deny ip Switch(config-ext-nacl)#deny ip
Switch(config-ext-nacl)#permit ip any any 允许所有IP协议通过,可以访问外网
Switch(config)#int vlan 30 进入vlan30的SVI口
Switch(config-if)#ip access-group 101 in 把ACL100调用到流量入方向
2个VLAN之间如何单向访问
方案一:
ip access-list extended vlan10 (设置访问控制列表名称) permit icmp any any (允许ICMp协议)
permit ip reflect vlan-int(当网段去访问 网段的时候就给打个标 记vlan10-infilter)
permit ip any any(允许访问所有IP) exit
ip access-list extended vlan20(设置访问控制列表名称)
permit icmp any any(允许ICMp协议)
evaluate vlan10-int(如果是打了标记vlan10-infilter的就放行 否则匹配下一条) deny ip any (拒绝所有IP到网段) permit ip any any (允许访问所有IP) exit
int vlan10
ip grou vlan10 in(将策略vlan10应用到接口) exit
int vlan20
ip grou vlan20 in(将策略vlan20应用到接口)
方案二:
只允许VLAN101访问VLAN102,不允许VLAN102访问VLAN101 acl分别作用在两个vlan上
ip access-list extended permit_1t2 准备作用在vlan102上
permit ip any reflect ref_1t2 timeout 100 允许vlan101对于vlan102的访问 permit ip any any (其实deny也可以)
ip access-list extended limit101 准备作用在vlan101上, evaluate ref_1t2 调用反向ACL deny ip any
对于任何进入vlan101的访问进行限制,但是对于vlan101主动对外访问的返回信息予以通过 permit ip any any
interface Vlan101 ip address
ip access-group permit_1t2 in
interface Vlan102 ip address
ip access-group limit101 in
vlan10 vlan20
至允许vlan10到vlan20
acl全部作用在被限定的Vlan20上
ip access-list extend traffic-in permit ip reflect con1
ip access-list extend traffic-out evaulte con1 deny ip
permit ip any any int vlan 20
ip access-group traffic-in in ip access-group traffic-out out
精心搜集整理,只为你的需要