交换机配置vlan 访问控制列表

比如说先的场景:

Vlan 1: 10.99.11.0/255.255.255.0

Vlan 99: 10.99.99.0/255.255.255.0

需求是 让 vlan 99的用户不能访问 vlan1中的某一个IP :

以前用了下面所有的代码:

=========================================

ip access-list extended Deny-Wireless-Guest
   5 permit tcp any any eq domain
    10 permit udp any any eq domain
    15 deny ip 10.99.99.0 0.0.0.255 10.99.10.0 0.0.0.255
    18 deny ip 10.99.99.0 0.0.0.255 10.99.11.0 0.0.0.255
    20 permit IP any any
    
ip access-list extended Deny-Wireless-Guest
   no deny ip 10.99.99.0 0.0.0.255 10.99.11.0 0.0.0.255
    18 deny ip 10.99.99.0 0.0.0.255 host 10.99.11.11
    20 permit IP any any

下面代码无效的,因为不用应用到要被禁止的vlan上:
interface vlan 10
no ip access-group Deny-Wireless-Guest in
interface vlan 11
no ip access-group Deny-Wireless-Guest in

ip access-list extended Deny-Wireless-Guest
    18 deny ip 10.99.99.0 0.0.0.255 10.99.11.0 0.0.0.255
interface vlan 11
ip access-group Deny-Wireless-Guest in

sw01:
interface range gi 0/25 - 28
ip access-group Deny-Wireless-Guest in

sw02:
interface range gi 0/25 - 28
no ip access-group Deny-Wireless-Guest in

其实真正的是:

interface vlan 99
ip access-group Deny-Wireless-Guest in

也就是说要在源的那个vlan上设置访问控制列表,这个和router上设置不太一样的

如果要放置到目的端的话本case中的vlan10中的话,要源和目的是反过来写的;因为物理接口上的进方向也就是vlan10的出方向。

最终总结:

交换机的访问控制列表最好是放置在源的vlan上。

interface vlan 99
ip access-group Deny-Wireless-Guest in

vlan 99就是源的数据包被deny掉到vlan10的就可以了

时间: 2024-10-08 10:05:10

交换机配置vlan 访问控制列表的相关文章

使用packet tracer为交换机配置VLAN实验

利用packet tracer为交换机配置vlan: 技术原理: vlan Tag Vlan :是基于交换机端口的另外一种类型,主要用于跨交换机的相同VLAN内主机之间的直接访问,同时对于不同VLAN中的主机进行隔离. 实验步骤: 新建packet tracer 拓扑图 划分VLAN 将端口划分到对应的vlan中 设置Tag Vlan Trunk属性 进行测试 实验操作: 两台2960交换机,四台pc机,使用直连线进行连接:分别用两台交换机上的Pc机连接到交换机上相应端口,两台交换机使用24号端

核心交换机配置Vlan划分、互访、ACL管控、链路聚合等

# !Software Version V200R001C00SPC300 sysname IT_ServerRoom  #交换机名称# # vlan batch 10 20 30 40 50 60 70 80 90 99 to 100  #设置Vlan# vlan batch 110 # lacp priority 100  #链路聚合优先级设定# # undo http server enable # undo nap slave enable # dhcp enable #打开DHCP功能

配置ACL访问控制列表

ACL访问控制列表理论部分:在学习过程中我们知道了网络的联通和通信,但是在实际环境中网络管理员经常会面临为难的局面,如必须拒绝那些不希望访问的连接,同时又要允许正常的访问.那么这时就诞生了ACL(访问控制列表)下面我们先看看ACL 的原理.1.ACL是使用包过滤技术,在路由器上读取第三层和四层包头的信息,根据预定好的规则进行过滤,达到访问控制的目的2.ACL的三种模式:?标准ACL (根据数据包的源IP地址来允许或者拒绝数据包,表号是1~99)?扩展ACL (根据数据包的源IP地址,目的IP地址

extreme (思路讯)交换机 配置vlan

今日某网友,协助配置美国 一个牌子的extreme (思路讯)交换机.接口加入VLAN,之前接触过,赶紧去找手册,后来找到了.....为方便大家,我小结一下: config vlan default del port all (删除所有端口属于default的vlan) create vlan v2001(vlan名字)              ####config vlan v2001 tag 2001                ###属于v2001的 tag标记,正如我们所说的 vla

三层交换机+二层交换机配置VLAN相互访问

使用思科模拟软件Cisco Packet Tracer Student,软件功能有限,只能架设简单的网络架构,适合初学者使用.

ACL访问控制列表(标准、拓展、命名控制列表)的配置实例

实例一:标准访问控制列表的配置 拓扑图如下: 通过配置标准访问列表,禁止PC1主机访问PC3主机. (1)进行sw的配置如下: SW#configure terminal //进入全局模式 Enter configuration commands, one per line. End with CNTL/Z. SW(config)#no ip routing //关闭路由功能 SW(config)#int f1/0 //进入接口模式 SW(config-if)#speed 100 //设置速率为

ACL访问控制列表配置实例(二)

命名访问控制列表 需求 允许vlan10中PC2主机可以访问PC1 拒绝vlan10中其他主机访问PC1 允许其他网段中的主机访问PC1 1.在GNS 3中构建拓扑实验,并在拓扑区域标出主机接口.IP地址.需求.网关等信息,如图所示: 2.开启全部设备,并先在交换设中配置vlan信息 sw#conf t //进入接口模式 Enter configuration commands, one per line. End with CNTL/Z. sw(config)#vlan 10,20 //添加v

标准访问控制列表配置(51cto: 实验 34)

1. 实验线路连接图使用 Cisco Packet Tracer5.3 构建拓扑结构图. 先配置rip协议使主机1.主机0.http服务器能够互通 RA Router>enable Router#configure terminal Router(config)#interface FastEthernet0/0 Router(config-if)#ip address 210.31.10.1 255.255.255.0 Router(config-if)#no shutdown Router(

ACL访问控制列表配置实例 (一)

标准访问控制列表 在GNS 3中拓扑实验,配置一台路由设备,一台交换设备,分别连接三台PC机,三台PC机分别配置IP地址,并在路由设备中配置网关,如下图所示,配置完成后配置标准访问控制列表,禁止PC1与PC3通信,PC2与PC3正常通信. 1.首先进入交换设备进行配置 sw#conf t //进入全局模式 Enter configuration commands, one per line. End with CNTL/Z. sw(config)#no ip routing //进入交换设备,关