1樓:匿名使用者
你好!62616964757a686964616fe78988e69d8331333332626133
需要配置自反acl
我已經做過實驗了。如下命令可行:
ip access-list extended finance_in
permit ip 192.168.40.0 0.0.0.255 host 192.168.10.2
permit ip 192.168.40.0 0.0.0.255 host 192.168.20.2
permit ip 192.168.40.0 0.0.0.255 any reflect f_permit
ip access-list extended finance_out
permit ip host 192.168.10.2 192.168.40.0 0.0.0.255
permit ip host 192.168.20.2 192.168.40.0 0.0.0.255
evaluate f_permit
exit
int vlan 40
ip access-group finance_in in
ip access-group finance_out out
實現你如上所有效果,另外財務部可以訪問任意網段,但是任意網段不可能訪問財務部,除了主機192.168.10.2 和192.168.20.2可訪問財務部。
2樓:禚牧商斯雅
intvlan2ip
add192.168.0.1
255.255.255.0
intvlan3ip
add192.168.3.1
255.255.255.0
intvlan4ip
add192.168.4.1
255.255.255.0
intvlan5ip
add192.168.5.1
255.255.255.0
access-list
1permit
ip192.168.3.188
0.0.0.0
192.168.0.6
0.0.0.0
intvlan1ip
access-group
1out
這樣bai
就192.168.3.188就可以du訪問zhi192.168.0.6了但是其他dao
的就不能版訪問了權
三層交換機 思科3560 怎麼配置acl單向訪問
3樓:經傳大俠
switcha # configure terminal
switcha(config)# vlan 2
switcha(config-vlan)# name vlan2
switcha(config-vlan)#exit
switcha(config)# vlan 3
switcha(config-vlan)# name vlan 3
switcha(config-vlan)#exit
switcha(config)# inte***ce vlan 2
switcha(config-if)#ip address 192.168.10.254 255.255.255.0
switcha(config-if)#no shutdown
switcha(config-if)#exit
switcha(config)# int vlan 3
switcha(config-if)#ip address 192.168.20.254 255.255.255.0
switcha(config-if)#no shutdown
ping下測試一下
思科模擬器中三層交換機怎麼配置acl
4樓:匿名使用者
sw1,2不能訪問sw3則sw3也不能訪問sw1,2
擴充套件acl訪問控制列表
目的地址
+源地址-|-指定tcp/ip特定協議及埠號
配置access-list access-list-number permit/deny protocol(填寫控制協議,例如http-tcp;qq-udp;ping-icmp;所有流量-ip) source source-wildcard(源地址,萬用字元驗碼) [operator port(埠號,選填)] destination destination-wildcard opertor port [......]
access-list 101 deny 17.16.4.
0 0.0.0.
255 172.16.3.
0 0.0.0.
255 eq(=) 21(21埠為ftp)
access-list 101 permit ip any any
用訪問列表初步管理ip流量(acl,access control list)
·標準(編號1-99)
--檢查源地址
--通常允許、拒絕的是完整的協議
·擴充套件(編號100-199)
--檢查源地址和目的地址
--通常允許、拒絕的是某個特定的協議
permit過/deny丟
標準模式步驟:
控制#access-list 列表編號 permit/deny test conditions(=ip+掩碼)
access-list access-list-number permit/deny any
埠#ip access-group access-list-number in/out
access-list-number :控制列表編號
permit/deny :控制方式
test conditions :路由選擇(ip+掩碼)
在思科三層交換機上怎麼用訪問控制列表限制一個vlan訪問另一個vlan?
5樓:匿名使用者
操作如下:
訪問控制要求vlan10和 vlan20之間不能訪問,但都能訪問vlan30
通過vlan之間的acl方式實現:
1、配置vlan。
switch(config)# vlan 10 // 建立vlan 10
switch(config-vlan)# vlan 20
switch(config-vlan)# vlan 30
switch(config-vlan)# int vlan 10
switch(config-if)# ip address 192.168.10.1 255.255.255.0 // 配置vlan10虛埠ip
switch(config-if)# int vlan 20
switch(config-if)# ip address 192.168.20.1 255.255.255.0
switch(config-if)# int vlan 30
switch(config-if)# ip address 192.168.30.1 255.255.255.0
2、配置acl 。
switch(config)# access-list 101 permit ip 192.168.10.0
switch(config)# access-list 102 permit ip 192.168.20.0
3、應用acl至vlan埠。
switch(config)# int vlan 10
switch(config-if)# ip access-group 101 in
switch(config)# int vlan 20
switch(config-if)# ip access-group 102 in
vlan(virtual local area network)的中文名為"虛擬區域網"。虛擬區域網(vlan)是一組邏輯上的裝置和使用者,這些裝置和使用者並不受物理位置的限制,可以根據功能、部門及應用等因素將它們組織起來,相互之間的通訊就好像它們在同一個網段中一樣,由此得名虛擬區域網。vlan是一種比較新的技術,工作在osi參考模型的第2層和第3層,一個vlan就是一個廣播域,vlan之間的通訊是通過第3層的路由器來完成的。
6樓:匿名使用者
我們假設個環境3個vlan:vlan10 vlan20 和vlan30 vlan蓄力埠ip分別為192.168.
10.1/24,192.168.
20.1/24,和192。168.
30.1/24.
訪問控制要求vlan10和 vlan20之間不能訪問,但都能訪問vlan30
通過vlan之間的acl方式實現
******** 配置vlan ********
switch(config)# vlan 10 // 建立vlan 10
switch(config-vlan)# vlan 20
switch(config-vlan)# vlan 30
switch(config-vlan)# int vlan 10
switch(config-if)# ip address 192.168.10.1 255.255.255.0 // 配置vlan10虛埠ip
switch(config-if)# int vlan 20
switch(config-if)# ip address 192.168.20.1 255.255.255.0
switch(config-if)# int vlan 30
switch(config-if)# ip address 192.168.30.1 255.255.255.0
******** 配置acl ********
switch(config)# access-list 101 permit ip 192.168.10.
0 0.0.0.
255 192.168.30.
0 0.0.0.
255switch(config)# access-list 102 permit ip 192.168.20.
0 0.0.0.
255 192.168.30.
0 0.0.0.
255******** 應用acl至vlan埠 ********
switch(config)# int vlan 10
switch(config-if)# ip access-group 101 in
switch(config)# int vlan 20
switch(config-if)# ip access-group 102 in
******** 完畢 ********
(二) 通過vacl方式實現
******** 配置vlan ********
(同上)
******** 配置acl ********
switch(config)# access-list 101 permit ip 192.168.10.
0 0.0.0.
255 192.168.30.
0 0.0.0.
255switch(config)# access-list 101 permit ip 192.168.30.
0 0.0.0.
255 192.168.10.
0 0.0.0.
255(不同之處:因為vacl對資料流沒有inbound和outbound之分,所以要把允許通過某vlan的ip資料流都permit才行。vlan10允許與vlan30通訊,而資料流又是雙向的,所以要在acl中增加vlan30的網段)
switch(config)# access-list 102 permit ip 192.168.20.
0 0.0.0.
255 192.168.30.
0 0.0.0.
255switch(config)# access-list 102 permit ip 192.168.30.
0 0.0.0.
255 192.168.20.
0 0.0.0.
255******** 配置vacl ********
第一步:配置vlan access map
switch(config)# vlan access-map test1 //定義一個vlan access map,取名為test1
switch(config-vlan-access)# match ip address 101 // 設定匹配規則為acl 101
switch(config-vlan-access)# action forward // 匹配後,設定資料流**(forward)
switch(config)# vlan access-map test2 //定義一個vlan access map,取名為test2
switch(config-vlan-access)# match ip address 102 // 設定匹配規則為acl 102
switch(config-vlan-access)# action forward // 匹配後,設定資料流**(forward)
第二步:應用vacl
switch(config)# vlan filter test1 vlan-list 10 //將上面配置的test1應用到vlan10中
switch(config)# vlan filter test2 vlan-list 20 //將上面配置的test1應用到vlan20中
******** 完畢 ********
如何讓配置三層交換機,如何配置三層交換機的呀
三層交換機就是有路由功能呀。你用三層交換機的目的就是免受廣播風暴的影響,而他的作用就是為ip設定的,分成很多小的不同的ip網段,使大型局網裡面的機器不能隨意訪問,減輕荷載達到目的。應該不要用別的路由器了吧。補充 本身有路由功能,不過再加路由的話可以減輕他的工作量。昏 交換機怎麼配置?還是問怎麼接線?...
思科三層交換機要想實現三層交換機充當路由器,並且不是使用路由介面配置,應該怎樣寫配置命令
將埠由二層轉變為三層,並配置ip地址 switch config ip routingswitch config int fa0 1switch config if no switchportswitch config if ip address 192.168.1.1 255.255.255.0s...
用三層交換機配置單臂路由,用三層交換機配置單臂路由
單播路由是路由器用子介面與二層交換機各vlan對應,如果有三層交換機就不做單臂路由了。你好 假設 vlan 1 192.168.1.0 24,gw 192.168.1.1 vlan 2 192.168.2.0 24,gw 192.168.2.1 vlan 3 192.168.3.0 24,gw 19...