好文档 - 专业文书写作范文服务资料分享网站

VLAN之间的ACL配置

天下 分享 时间: 加入收藏 我要投稿 点赞

VLAN之间的ACL配置

实现多vlan间双vlan不通:

创建ACL,使vlan20能访问vlan10,而vlan30不能访问vlan10?

Switch(config)#ip access-list extended deny30 设置访问控制列表名称,(deny30):ACL名称 Switch(config-ext-nacl)#deny ip ----拒绝vlan30访问vlan10?

Switch(config-ext-nacl)#permit ip any any ----允许vlan30的用户访问其他任何资源? Switch(config-ext-nacl)#exit ----退出扩展ACL配置模式 将ACL应用到vlan30的SVI口in方向?

Switch(config)#interface vlan 30 ----创建vlan30的SVI接口?

Switch(config-if)#ip access-group deny30 in ----将ACLdeny30应用到的SVI接口下

查看ACL配置策略:Switch#show access-lists

删除ACL策略列表的其中一条策略:Switch(config)#ip access-list extended deny30 进入ACL策略列表 Switch(config-ext-nacl)#no 10 删除单条策略

删除ACL配置策略列表:Switch(config)#ip access-list extended deny30 进入ACL策略列表

Switch(config-ext-nacl)#no ip access-list extended deny30 删除整个ACL策略表

实现多vlan间双vlan单通:

允许vlan3能访问vlan2,但vlan2不能访问vlan3

Switch(config)#ip access-list extended 101 设置访问控制列表ACL名称 Switch(config-ext-nacl)#permit ip 允许vlan30只能访问vlan20 Switch(config-ext-nacl)#deny ip Switch(config-ext-nacl)#deny ip

Switch(config-ext-nacl)#permit ip any any 允许所有IP协议通过,可以访问外网

Switch(config)#int vlan 30 进入vlan30的SVI口

Switch(config-if)#ip access-group 101 in 把ACL100调用到流量入方向

2个VLAN之间如何单向访问

方案一:

ip access-list extended vlan10 (设置访问控制列表名称) permit icmp any any (允许ICMp协议)

permit ip reflect vlan-int(当网段去访问 网段的时候就给打个标 记vlan10-infilter)

permit ip any any(允许访问所有IP) exit

ip access-list extended vlan20(设置访问控制列表名称)

permit icmp any any(允许ICMp协议)

evaluate vlan10-int(如果是打了标记vlan10-infilter的就放行 否则匹配下一条) deny ip any (拒绝所有IP到网段) permit ip any any (允许访问所有IP) exit

int vlan10

ip grou vlan10 in(将策略vlan10应用到接口) exit

int vlan20

ip grou vlan20 in(将策略vlan20应用到接口)

方案二:

只允许VLAN101访问VLAN102,不允许VLAN102访问VLAN101 acl分别作用在两个vlan上

ip access-list extended permit_1t2 准备作用在vlan102上

permit ip any reflect ref_1t2 timeout 100 允许vlan101对于vlan102的访问 permit ip any any (其实deny也可以)

ip access-list extended limit101 准备作用在vlan101上, evaluate ref_1t2 调用反向ACL deny ip any

对于任何进入vlan101的访问进行限制,但是对于vlan101主动对外访问的返回信息予以通过 permit ip any any

interface Vlan101 ip address

ip access-group permit_1t2 in

interface Vlan102 ip address

ip access-group limit101 in

vlan10 vlan20

至允许vlan10到vlan20

acl全部作用在被限定的Vlan20上

ip access-list extend traffic-in permit ip reflect con1

ip access-list extend traffic-out evaulte con1 deny ip

permit ip any any int vlan 20

ip access-group traffic-in in ip access-group traffic-out out

精心搜集整理,只为你的需要

VLAN之间的ACL配置

VLAN之间的ACL配置实现多vlan间双vlan不通:创建ACL,使vlan20能访问vlan10,而vlan30不能访问vlan10?Switch(config)#ipaccess-listextendeddeny30设置访问控制列表名称,(deny30):ACL名称Switch(config-ext-nacl
推荐度:
点击下载文档文档为doc格式
2j4aa8r8rb3pit886asl2xn8u9whjn0045w
领取福利

微信扫码领取福利

微信扫码分享