在思科三层交换机上怎麽用访问控制列表限制一个VLAN访问另一个VLAN（具体命令最好给出）

发布网友发布时间：2022-04-12 12:43

共2个回答

懂视网时间：2022-04-12 17:05

一、ACL在应用时遵循的规则： 1.按顺序比较列表的每一行 2.按顺序比较ACL的各行，直到找到匹配的一行，一旦数据包匹配上ACL的某一行,将遵照规定行事,不在进行后续比较（意味著列表应按使用频率来排列） 3. 在每个ACL的最后一行隐含了“deny”语句。 4.

一、ACL在应用时遵循的规则：

1.按顺序比较列表的每一行

2.按顺序比较ACL的各行，直到找到匹配的一行，一旦数据包匹配上ACL的某一　　
　　　行,将遵照规定行事,不在进行后续比较（意味著列表应按使用频率来排列）

3. 在每个ACL的最后一行隐含了“deny”语句。

4.把ACL应用到端口的命令：

A.R1#ip access-group 10 in

B.R1#access-list 10 in(在vty模式下的acl应用默认就只针对telnet)

二、ACL的两大类型：

1.standard ACL：只使用源IP地址作为条件（放在离目的的最近的接口out）

R1#access-list 10 deny 192.168.0.128 0.0.0.127

注：每个块的大小必须从0或一个快大小的倍数开始

2.extend ACL：条件可以是3层的协议、4层的端口号以及源、目标IP地址(放在
离源地址最近的接口in)

3.domain ACL：以上两种的不同表示，但功能是一样的

注：每接口、每协议、每方向只能分配一个ACL

只有domain ACL可以从列表中删除一行或者在列表中插入一行

三、ACL的各种应用：

1、交换机端口ACL：只支持第2层物理层接口，并且只能把它们应用在接口的
入口列表上，只能使用命名访问控制列表

2、ACL可用于虚拟局域网的流量控制，这需要ACL应用到中继端口

3、对于基于IP和MAC的ACL，单独的接口上，只能应用其中的一个，后者会覆
盖前者

eg：S1#mac access-list extended Blocksales

S1#deny any host 000d.29bd.4b85

S1#permit any any

S1#interface fa 0/1

S1#mac access-group Blocksales in

4、锁和钥匙（动态ACL）？

5、自反ACL?

6、基于时间的ACL：

eg：R1#time-range worktime

R1#periodic weekend 09:00 to 18:00

R1#exit

R1#time-range freetime

R1#periodic weekend 18:00 to 22:00

R1#exit

R1#ip access-list extended time

R1#deny tcp any any eq www time-range worktime

R1#permit tcp any any time-range freetime

R1#interface fa0/0

R1#ip access-group time in

R1#exit

注释：R1#ip access-list extended time

R1#remark leash the action of internet on worktime

R1#deny tcp any any eq www time-range worktime

午夜游

热心网友时间：2022-04-12 14:13

哈哈你问对人了我来告诉你吧
我们假设个环境3个vlan:vlan10 vlan20 和vlan30 vlan蓄力端口ip分别为192.168.10.1/24，192.168.20.1/24,和192。168.30.1/24.
访问控制要求vlan10和 vlan20之间不能访问，但都能访问vlan30
通过vlan之间的acl方式实现

******** 配置VLAN ********
Switch(config)# vlan 10 // 创建vlan 10
Switch(config-vlan)# vlan 20
Switch(config-vlan)# vlan 30
Switch(config-vlan)# int vlan 10
Switch(config-if)# ip address 192.168.10.1 255.255.255.0 // 配置vlan10虚端口IP
Switch(config-if)# int vlan 20
Switch(config-if)# ip address 192.168.20.1 255.255.255.0
Switch(config-if)# int vlan 30
Switch(config-if)# ip address 192.168.30.1 255.255.255.0

******** 配置ACL ********
Switch(config)# access-list 101 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255
Switch(config)# access-list 102 permit ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255

******** 应用ACL至VLAN端口 ********
Switch(config)# int vlan 10
Switch(config-if)# ip access-group 101 in
Switch(config)# int vlan 20
Switch(config-if)# ip access-group 102 in

******** 完毕 ********

（二）通过VACL方式实现

******** 配置VLAN ********

（同上）

******** 配置ACL ********
Switch(config)# access-list 101 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255
Switch(config)# access-list 101 permit ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255
（不同之处：因为VACL对数据流没有inbound和outbound之分，所以要把允许通过某vlan的IP数据流都permit才行。VLAN10允许与VLAN30通讯，而数据流又是双向的，所以要在ACL中增加VLAN30的网段）
Switch(config)# access-list 102 permit ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255
Switch(config)# access-list 102 permit ip 192.168.30.0 0.0.0.255 192.168.20.0 0.0.0.255

******** 配置VACL ********

第一步：配置vlan access map
Switch(config)# vlan access-map test1 //定义一个vlan access map，取名为test1
Switch(config-vlan-access)# match ip address 101 // 设置匹配规则为acl 101
Switch(config-vlan-access)# action forward // 匹配后，设置数据流转发（forward）
Switch(config)# vlan access-map test2 //定义一个vlan access map，取名为test2
Switch(config-vlan-access)# match ip address 102 // 设置匹配规则为acl 102
Switch(config-vlan-access)# action forward // 匹配后，设置数据流转发（forward）

第二步：应用VACL
Switch(config)# vlan filter test1 vlan-list 10 //将上面配置的test1应用到vlan10中
Switch(config)# vlan filter test2 vlan-list 20 //将上面配置的test1应用到vlan20中

******** 完毕 ********