1樓:匿名使用者
就是使用訪
bai問列du表實現。先zhi做訪問
列表,再在dao介面上應內用就可以:
容access-list 100 deny ip 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255
access-list 100 permit ip any anyint vlan 10
ip access-group 100 in
2樓:匿名使用者
vlan10是
制10.1.1.1 255.255.255.0vlan20是 10.1.2.1 255.255.255.0定義acl
accesslist 101
deny ip 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255
permit ip any any
使用acl
int vlan 10
access-group 101 in
int vlan 20
access-group 101 in
3樓:熊霸天
用acl。。或者不要給vlan10何vlan20配置ip地址。
三層交換機上不同vlan間禁止通訊
4樓:匿名使用者
使用acl訪問控制列表
5樓:靈風
vlan間的通訊要跨路由,路由協議,單臂路由,路由模式等都可以使不同vlan間通訊
在思科三層交換機上怎麼用訪問控制列表限制一個vlan訪問另一個vlan?
6樓:匿名使用者
操作如下:
訪問控制要求vlan10和 vlan20之間不能訪問,但都能訪問vlan30
通過vlan之間的acl方式實現:
1、配置vlan。
switch(config)# vlan 10 // 建立vlan 10
switch(config-vlan)# vlan 20
switch(config-vlan)# vlan 30
switch(config-vlan)# int vlan 10
switch(config-if)# ip address 192.168.10.1 255.255.255.0 // 配置vlan10虛埠ip
switch(config-if)# int vlan 20
switch(config-if)# ip address 192.168.20.1 255.255.255.0
switch(config-if)# int vlan 30
switch(config-if)# ip address 192.168.30.1 255.255.255.0
2、配置acl 。
switch(config)# access-list 101 permit ip 192.168.10.0
switch(config)# access-list 102 permit ip 192.168.20.0
3、應用acl至vlan埠。
switch(config)# int vlan 10
switch(config-if)# ip access-group 101 in
switch(config)# int vlan 20
switch(config-if)# ip access-group 102 in
vlan(virtual local area ***work)的中文名為"虛擬區域網"。虛擬區域網(vlan)是一組邏輯上的裝置和使用者,這些裝置和使用者並不受物理位置的限制,可以根據功能、部門及應用等因素將它們組織起來,相互之間的通訊就好像它們在同一個網段中一樣,由此得名虛擬區域網。vlan是一種比較新的技術,工作在osi參考模型的第2層和第3層,一個vlan就是一個廣播域,vlan之間的通訊是通過第3層的路由器來完成的。
7樓:匿名使用者
我們假設個環境3個vlan:vlan10 vlan20 和vlan30 vlan蓄力埠ip分別為192.168.
10.1/24,192.168.
20.1/24,和192。168.
30.1/24.
訪問控制要求vlan10和 vlan20之間不能訪問,但都能訪問vlan30
通過vlan之間的acl方式實現
******** 配置vlan ********
switch(config)# vlan 10 // 建立vlan 10
switch(config-vlan)# vlan 20
switch(config-vlan)# vlan 30
switch(config-vlan)# int vlan 10
switch(config-if)# ip address 192.168.10.1 255.255.255.0 // 配置vlan10虛埠ip
switch(config-if)# int vlan 20
switch(config-if)# ip address 192.168.20.1 255.255.255.0
switch(config-if)# int vlan 30
switch(config-if)# ip address 192.168.30.1 255.255.255.0
******** 配置acl ********
switch(config)# access-list 101 permit ip 192.168.10.
0 0.0.0.
255 192.168.30.
0 0.0.0.
255switch(config)# access-list 102 permit ip 192.168.20.
0 0.0.0.
255 192.168.30.
0 0.0.0.
255******** 應用acl至vlan埠 ********
switch(config)# int vlan 10
switch(config-if)# ip access-group 101 in
switch(config)# int vlan 20
switch(config-if)# ip access-group 102 in
******** 完畢 ********
(二) 通過vacl方式實現
******** 配置vlan ********
(同上)
******** 配置acl ********
switch(config)# access-list 101 permit ip 192.168.10.
0 0.0.0.
255 192.168.30.
0 0.0.0.
255switch(config)# access-list 101 permit ip 192.168.30.
0 0.0.0.
255 192.168.10.
0 0.0.0.
255(不同之處:因為vacl對資料流沒有inbound和outbound之分,所以要把允許通過某vlan的ip資料流都permit才行。vlan10允許與vlan30通訊,而資料流又是雙向的,所以要在acl中增加vlan30的網段)
switch(config)# access-list 102 permit ip 192.168.20.
0 0.0.0.
255 192.168.30.
0 0.0.0.
255switch(config)# access-list 102 permit ip 192.168.30.
0 0.0.0.
255 192.168.20.
0 0.0.0.
255******** 配置vacl ********
第一步:配置vlan access map
switch(config)# vlan access-map test1 //定義一個vlan access map,取名為test1
switch(config-vlan-access)# match ip address 101 // 設定匹配規則為acl 101
switch(config-vlan-access)# action forward // 匹配後,設定資料流**(forward)
switch(config)# vlan access-map test2 //定義一個vlan access map,取名為test2
switch(config-vlan-access)# match ip address 102 // 設定匹配規則為acl 102
switch(config-vlan-access)# action forward // 匹配後,設定資料流**(forward)
第二步:應用vacl
switch(config)# vlan filter test1 vlan-list 10 //將上面配置的test1應用到vlan10中
switch(config)# vlan filter test2 vlan-list 20 //將上面配置的test1應用到vlan20中
******** 完畢 ********
三層交換機做匯聚,各vlan的閘道器在這臺交換機上,怎麼讓各vlan不能互通?
8樓:匿名使用者
使用訪問列表acl實現。先做訪問列表,再在介面上應用.
例子:vlan10和vlan20得ip地址,掩碼vlan10是10.1.
1.1 255.255.
255.0vlan20是 10.1.
2.1 255.255.
255.0access-list 100 deny ip 10.1.
1.0 0.0.
0.255 10.1.
2.0 0.0.
0.255
access-list 100 permit ip any anyint vlan 10
ip access-group 100 in
9樓:time小嚴嚴
做acl。。。。。。。。。。
在三層交換機上劃分vlan,並配置vlan地址,為什麼pc機上的閘道器要和vlan的地址一樣
一般都這樣用,如果不一樣的那你電腦就是通過別的ip 裝置 將資料發到不同的子網也是可以的。vlan如果被賦予地址,那麼這個vlan代表著一個三層介面,不過是個邏輯上的虛介面,這個虛介面代表著三層交換機上的一個路由介面,至少關聯著一個物理的介面才能有實際作用,三層交換機的三層指的就是至少具有簡單路由的...
多個交換機不同VLAN如何通過三層交換機相互ping通 麻煩
樓上的說法有些勉強,不算錯,但絕對不完善。二層交換機之間通過trunk互聯,與三層交換機的介面全部起trunk,在三層上對vlan進行終結,即跨越網段訪問都在三層裝置上實現,路由器可以採用單臂路由等方式,三層交換機則直接在vlan的三層虛介面中配置地址就行,例如 int vlan 10 ip add...
三層交換機預設VLAN以及交換機管理IP的疑問
預設的vlan1 不要動!比如你需要2個vlan 那麼你在 建立2個vlan 你想遠端管理交換機!你可以 給任何一個vlan 設一個ip 比如 vlan 1 設定192.168.1.1 那麼你就可以通過web視窗 輸入192.168.1.1 就能管理交換機了!就是你在設定個vlan 2 在給vlan...