一台cisco三层交换机配置vlan10、20、30、40、50，需要vlan10不能访问任意vlan，vlan20只能访问vlan10

vlan30、40可以访问任意vlan，vlan50不能访问vlan10、20，请问acl如何配置、如何应用端口

推荐答案 2013-05-24

S5750#conf ----进入全局配置模式
S5750(config)#vlan 10 ----创建VLAN10
S5750(config-vlan)#exit ----退出VLAN配置模式
S5750(config)#vlan 20 ----创建VLAN20
S5750(config-vlan)#exit ----退出VLAN配置模式
S5750(config)#vlan 30 ----创建VLAN30
S5750(config-vlan)#exit ----退出VLAN配置模式
步骤二：将端口加入各自vlan
S5750(config)# interface range gigabitEthernet 0/1-5
----进入gigabitEthernet 0/1-5号端口
S5750(config-if-range)#switchport access vlan 10
----将端口加划分进vlan10
S5750(config-if-range)#exit ----退出端口配置模式
S5750(config)# interface range gigabitEthernet 0/6-10
----进入gigabitEthernet 0/6-10号端口
S5750(config-if-range)#switchport access vlan 20
----将端口加划分进vlan20
S5750(config-if-range)#exit ----退出端口配置模式
S5750(config)# interface range gigabitEthernet 0/11-15
----进入gigabitEthernet 0/11-15号端口
S5750(config-if-range)#switchport access vlan 30
----将端口加划分进vlan30
S5750(config-if-range)#exit ----退出端口配置模式
步骤三：配置vlan10、vlan20、vlan30的网关IP地址
S5750(config)#interface vlan 10 ----创建vlan10的SVI接口
S5750(config-if)#ip address 192.168.10.1 255.255.255.0
----配置VLAN10的网关
S5750(config-if)#exit ----退出端口配置模式
S5750(config)#interface vlan 20 ----创建vlan10的SVI接口
S5750(config-if)#ip address 192.168.20.1 255.255.255.0
----配置VLAN10的网关
S5750(config-if)#exit ----退出端口配置模式
S5750(config)#interface vlan 30 ----创建vlan10的SVI接口
S5750(config-if)#ip address 192.168.30.1 255.255.255.0
----配置VLAN10的网关
S5750(config-if)#exit ----退出端口配置模式
步骤四：创建ACL，使vlan20能访问vlan10，而vlan30不能访问vlan10
S5750(config)#ip access-list extended deny30 ----定义扩展ACL
S5750(config-ext-nacl)#deny ip 192.168.30.0 .255 192.168.10.0 0.0.0.255
----拒绝vlan30的用户访问vlan10资源
S5750(config-ext-nacl)#permit ip any any
----允许vlan30的用户访问其他任何资源
S5750(config-ext-nacl)#exit ----退出扩展ACL配置模式
步骤五：将ACL应用到vlan30的SVI口in方向
S5750(config)#interface vlan 30 ----创建vlan30的SVI接口
S5750(config-if)#ip access-group deny
----将扩展ACL应用到vlan30的SVI接口下追问

单个acl没问题，把所有加上去就出问题

追答

使用access-list

追问

单个应用的单个vlan没问题，就是如果5个vlan应用acl的话有的会失效
能写个5组列表分别，应用在5个vlan上，达到要求么？

追答

应该可以的，你可以试试。

追问

理论可以，问题这个我已经测试三天了，仍然补行，总会有几个无法匹配，我现在怀疑，我的逻辑信出问题，所以要大家把完整命令写出来，我对比测试

温馨提示：答案为网友推荐，仅供参考

当前网址：http://66.wendadaohang.com/zd/sspUUDx2D.html

其他回答

第1个回答推荐于2016-01-20

你控制单向访问可以使用扩展访问列表要用tcp syn的参数.

比如: access-list 101 permit tcp any(源ip) 1.1.1.1 0.0.0.255 syn .

vlan10不能访问任意vlan:在int vlan 10接口上用in方向访问列表:access-list 101 deny tcp any any syn,access-list 101 permit ip any any;

vlan20只能访问vlan10:在int vlan 20 接口上用in方向访问列表:access-list 102 permit tcp any vlan10网段 syn;

3.vlan30、40可以访问任意vlan :不用额外配置;

4.vlan50不能访问vlan10、20:在 int vlan 50接口上用in方向访问列表:access-list 105 deny tcp any vlan10网段 syn,access-list 105 deny tcp any vlan20网段 syn, access-list 105 permit ip any any.

追问

后面加的syn什么意思啊？命令里面好像没有

追答

主动发起连接时第一个包会带有syn标准,你可以搜一下 tcp syn ack 之类的资料看看.

追问

access-list 101 deny tcp any any syn，可是这条命令在语法上就不对啊？any后面参数没有syn

追答

(config)#access-list 101 deny tcp any any ?
ack Match on the ACK bit
.......
rst Match on the RST bit
syn Match on the SYN bit
time-range Specify a time-range
tos Match packets with given TOS value
urg Match on the URG bit

(config)#access-list 101 deny tcp any any
我的交换机上都有...

追问

你这命令进去后，测试了两个网段，10网段还能访问30网段，20网段不能访问10，和我的要求相差很多啊

追答

你是如何测试的呢?如果是用ping就不行,这个访问列表没有考虑阻挡ping的包.你要用tcp连接测试,比如访问共享文件.

追问

我直接使用ping的，要求10不能访问所有，结果可以ping通30，命令还是有问题，单向acl可能会阻止一些端口，是否可以自反acl实现，我的交换机是cisco3750v2的

追答

好像是路由器才支持自反acl的.你一定要ping,可以在访问列表中加ping的协议就可以,主动ping是 echo.比如:access-list 101 deny tcp any any syn;access-list 101 deny icmp any any echo;access-list 101 permit ip any any;

追问

问题是用上面命令vlan10可以ping通vlan30

追答

应该不会呀,这一行access-list 101 deny icmp any any echo就不让vlan 10ping其他网段.你access-list 101 语句的顺序是否对呢?

追问

顺序没错啊，你在重新写下，完全的给我，我重新测试下啊

追答

1.vlan10不能访问任意vlan:在int vlan 10接口上用in方向访问列表:access-list 101 deny tcp any any syn,access-list 101 deny icmp any any echo;access-list 101 permit ip any any;
2.vlan20只能访问vlan10:在int vlan 20 接口上用in方向访问列表:access-list 102 permit tcp any vlan10网段 syn;access-list 102 permit icmp any vlan10网段 echo;
3.vlan30、40可以访问任意vlan :不用额外配置;
4.vlan50不能访问vlan10、20:在 int vlan 50接口上用in方向访问列表:access-list 105 deny tcp any vlan10网段 syn,access-list 105 deny tcp any vlan20网段 syn;access-list 105 deny icmp any vlan10网段 echo;access-list 105 deny icmp any vlan20网段 echo;access-list 105 permit ip any any.
在接口上in方向应用访问列表:
int vlan 10
access-group 101 in
每设一个access-list即时测试.

本回答被提问者和网友采纳

第2个回答 2013-05-24

需要对VLAN设置IP地址段，然后使用ACL做访问控制。最后把这个ACL添加到指定的interface vlan中。vlan30、vlan40接口不添加ACL策略，vlan10、vlan20添加策略

第3个回答 2013-05-24

vlan10不能访问任意vlan，vlan20只能访问vlan10 那么10能访问20、、、矛盾了。。追问

那里矛盾？

相似回答

怎么让vlan10不能访问vlan20但是能访问vlan30答：给你提供个思路，使用PAT，Vlan20 的主机要访问Vlan10 通过地址转换，均转换为路由器出口的IP，这样Vlan20能主动访问Vlan10 。Vlan10 不能主动访问Vlan20

如果实现vlan10、vlan20、vlan30、vlan40、vlan50、vlan70、vlan80相互...答：将其他网段都设为vlan60的子网，vlan10、20、30……之间都设为不同网段，子网掩码配置的时候注意点就好了。

...核心交换机中,怎样限制vlan10 访问vlan20 ,vlan20可以访问vlan10_百 ...答：不是限制vlan 而是限制 valn里的ip段，用访问控制列表吧vlan10 和vlan20 vlan30的ip限制就行了

思科3560三层交换机同一交换机上怎么设置VLAN访问策略答：首先开路由，使三个vlan能互访，(config)# ip routing 然后配置acl Switch(config)#access-list 100 deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 Switch(config)#access-list 100 permit ip any any Switch(config)#int vlan 10 Switch(config-if)#ip access-group 100 in...

在一个三层交换机上,如何禁止vlan互访答：vlan10是10.1.1.1 255.255.255.0 vlan20是 10.1.2.1 255.255.255.0 定义ACL accesslist 101 deny ip 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 permit ip any any 使用ACL int vlan 10 access-group 101 in int vlan 20 access-group 101 in ...

怎么让vlan10不能访问vlan20 但是vlan20能访问vlan10答：可以添加ACL控制IP包单向通过不过没什么用，网络是双向的，Vlan20 Ping Vlan10，IP通过了路由器，但回来的时候被丢弃，看到的现象是Vlan20 不能 Ping通Vlan10

大家正在搜

cisco怎么配置三层交换机思科三层交换机vlan配置三层交换机vlan上网配置三层交换机配置vlan命令中兴三层交换机配置vlan 华三交换机配置vlan h3c交换机配置vlan 三层交换机划分vlan及ip 三层交换机的ip配置