1樓:匿名使用者
操作如下:
訪問控制要求vlan10和 vlan20之間不能訪問,但都能訪問vlan30
通過vlan之間的acl方式實現:
1、配置vlan。
switch(config)# vlan 10 // 建立vlan 10
switch(config-vlan)# vlan 20
switch(config-vlan)# vlan 30
switch(config-vlan)# int vlan 10
switch(config-if)# ip address 192.168.10.1 255.255.255.0 // 配置vlan10虛埠ip
switch(config-if)# int vlan 20
switch(config-if)# ip address 192.168.20.1 255.255.255.0
switch(config-if)# int vlan 30
switch(config-if)# ip address 192.168.30.1 255.255.255.0
2、配置acl 。
switch(config)# access-list 101 permit ip 192.168.10.0
switch(config)# access-list 102 permit ip 192.168.20.0
3、應用acl至vlan埠。
switch(config)# int vlan 10
switch(config-if)# ip access-group 101 in
switch(config)# int vlan 20
switch(config-if)# ip access-group 102 in
vlan(virtual local area ***work)的中文名為"虛擬區域網"。虛擬區域網(vlan)是一組邏輯上的裝置和使用者,這些裝置和使用者並不受物理位置的限制,可以根據功能、部門及應用等因素將它們組織起來,相互之間的通訊就好像它們在同一個網段中一樣,由此得名虛擬區域網。vlan是一種比較新的技術,工作在osi參考模型的第2層和第3層,一個vlan就是一個廣播域,vlan之間的通訊是通過第3層的路由器來完成的。
2樓:匿名使用者
我們假設個環境3個vlan:vlan10 vlan20 和vlan30 vlan蓄力埠ip分別為192.168.
10.1/24,192.168.
20.1/24,和192。168.
30.1/24.
訪問控制要求vlan10和 vlan20之間不能訪問,但都能訪問vlan30
通過vlan之間的acl方式實現
******** 配置vlan ********
switch(config)# vlan 10 // 建立vlan 10
switch(config-vlan)# vlan 20
switch(config-vlan)# vlan 30
switch(config-vlan)# int vlan 10
switch(config-if)# ip address 192.168.10.1 255.255.255.0 // 配置vlan10虛埠ip
switch(config-if)# int vlan 20
switch(config-if)# ip address 192.168.20.1 255.255.255.0
switch(config-if)# int vlan 30
switch(config-if)# ip address 192.168.30.1 255.255.255.0
******** 配置acl ********
switch(config)# access-list 101 permit ip 192.168.10.
0 0.0.0.
255 192.168.30.
0 0.0.0.
255switch(config)# access-list 102 permit ip 192.168.20.
0 0.0.0.
255 192.168.30.
0 0.0.0.
255******** 應用acl至vlan埠 ********
switch(config)# int vlan 10
switch(config-if)# ip access-group 101 in
switch(config)# int vlan 20
switch(config-if)# ip access-group 102 in
******** 完畢 ********
(二) 通過vacl方式實現
******** 配置vlan ********
(同上)
******** 配置acl ********
switch(config)# access-list 101 permit ip 192.168.10.
0 0.0.0.
255 192.168.30.
0 0.0.0.
255switch(config)# access-list 101 permit ip 192.168.30.
0 0.0.0.
255 192.168.10.
0 0.0.0.
255(不同之處:因為vacl對資料流沒有inbound和outbound之分,所以要把允許通過某vlan的ip資料流都permit才行。vlan10允許與vlan30通訊,而資料流又是雙向的,所以要在acl中增加vlan30的網段)
switch(config)# access-list 102 permit ip 192.168.20.
0 0.0.0.
255 192.168.30.
0 0.0.0.
255switch(config)# access-list 102 permit ip 192.168.30.
0 0.0.0.
255 192.168.20.
0 0.0.0.
255******** 配置vacl ********
第一步:配置vlan access map
switch(config)# vlan access-map test1 //定義一個vlan access map,取名為test1
switch(config-vlan-access)# match ip address 101 // 設定匹配規則為acl 101
switch(config-vlan-access)# action forward // 匹配後,設定資料流**(forward)
switch(config)# vlan access-map test2 //定義一個vlan access map,取名為test2
switch(config-vlan-access)# match ip address 102 // 設定匹配規則為acl 102
switch(config-vlan-access)# action forward // 匹配後,設定資料流**(forward)
第二步:應用vacl
switch(config)# vlan filter test1 vlan-list 10 //將上面配置的test1應用到vlan10中
switch(config)# vlan filter test2 vlan-list 20 //將上面配置的test1應用到vlan20中
******** 完畢 ********
在思科三層交換機上怎麼用訪問控制列表限制一個vlan訪問另一個vlan(具體命令最好給出)
3樓:匿名使用者
哈哈你問對人了我來告訴你吧
我們假設個環境3個vlan:vlan10 vlan20 和vlan30 vlan蓄力埠ip分別為192.168.
10.1/24,192.168.
20.1/24,和192。168.
30.1/24.
訪問控制要求vlan10和 vlan20之間不能訪問,但都能訪問vlan30
通過vlan之間的acl方式實現
******** 配置vlan ********
switch(config)# vlan 10 // 建立vlan 10
switch(config-vlan)# vlan 20
switch(config-vlan)# vlan 30
switch(config-vlan)# int vlan 10
switch(config-if)# ip address 192.168.10.1 255.255.255.0 // 配置vlan10虛埠ip
switch(config-if)# int vlan 20
switch(config-if)# ip address 192.168.20.1 255.255.255.0
switch(config-if)# int vlan 30
switch(config-if)# ip address 192.168.30.1 255.255.255.0
******** 配置acl ********
switch(config)# access-list 101 permit ip 192.168.10.
0 0.0.0.
255 192.168.30.
0 0.0.0.
255switch(config)# access-list 102 permit ip 192.168.20.
0 0.0.0.
255 192.168.30.
0 0.0.0.
255******** 應用acl至vlan埠 ********
switch(config)# int vlan 10
switch(config-if)# ip access-group 101 in
switch(config)# int vlan 20
switch(config-if)# ip access-group 102 in
******** 完畢 ********
(二) 通過vacl方式實現
******** 配置vlan ********
(同上)
******** 配置acl ********
switch(config)# access-list 101 permit ip 192.168.10.
0 0.0.0.
255 192.168.30.
0 0.0.0.
255switch(config)# access-list 101 permit ip 192.168.30.
0 0.0.0.
255 192.168.10.
0 0.0.0.
255(不同之處:因為vacl對資料流沒有inbound和outbound之分,所以要把允許通過某vlan的ip資料流都permit才行。vlan10允許與vlan30通訊,而資料流又是雙向的,所以要在acl中增加vlan30的網段)
switch(config)# access-list 102 permit ip 192.168.20.
0 0.0.0.
255 192.168.30.
0 0.0.0.
255switch(config)# access-list 102 permit ip 192.168.30.
0 0.0.0.
255 192.168.20.
0 0.0.0.
255******** 配置vacl ********
第一步:配置vlan access map
switch(config)# vlan access-map test1 //定義一個vlan access map,取名為test1
switch(config-vlan-access)# match ip address 101 // 設定匹配規則為acl 101
switch(config-vlan-access)# action forward // 匹配後,設定資料流**(forward)
switch(config)# vlan access-map test2 //定義一個vlan access map,取名為test2
switch(config-vlan-access)# match ip address 102 // 設定匹配規則為acl 102
switch(config-vlan-access)# action forward // 匹配後,設定資料流**(forward)
第二步:應用vacl
switch(config)# vlan filter test1 vlan-list 10 //將上面配置的test1應用到vlan10中
switch(config)# vlan filter test2 vlan-list 20 //將上面配置的test1應用到vlan20中
******** 完畢 ********
思科三層交換機問題,思科三層交換機的問題
首先,你三層交換fa0 4口配sw mode acc這條命令是肯定不會通的,因為要實現兩臺裝置之間的vlan通訊,這兩臺裝置之間一定要有一條中繼鏈路,也就是二層的fa0 1 三層的fa0 4都要工作在trunk模式 而去掉sw mode acc就能連通,原因就在於埠的自適應,這個比較隱蔽,就是你的二...
思科三層交換機的配置思科三層交換機的配置
還是說一下你的需求吧。先給你幾 個基本的 上面說到的 我就不說了 既然是三層交換機 肯定內埠可以容2層3層轉化 轉換模式的時候 用到這個命令 在想要修改的埠下輸入 no switchport 開啟三層埠 要想恢復回來輸入 switchport 就可以了 預設三層交換機埠都為2層 一般用交換機要配置v...
配置思科三層交換機思科三層交換機的詳細配置命令是什麼?
2950是二層交換機,要配置路由得在三層交換機上配置。命令 ip route 0.0.0.0 0.0.0.0 fx x fx x是出口介面 在a核心交換機上劃分兩個vlan就行了,b c與a相連的埠封裝成trunk,b和c傻瓜式。在a上配置預設路由指向網際網路出口防火牆即可。你把防火牆看成一個路由器...