UC知道acl 控制VLAN间的访问
来源:百度知道 编辑:UC知道 时间:2024/04/30 11:24:54
单臂路由R1 f0/0.100:192.168.10.254
f0/0.200:192.168.20.254
f0/0.300:192.168.30.254
R1 f0/0 和sw f0/24 trunk相联。
sw vlan100 f0/0-5
vlan200 f0/6-10
vlan300 f0/11-15
Router 2620
switch 2950
问怎么实现Vlan100能够访问200 300
而200 300不能访问100
这是我全部的分了。。。希望高手解答!
f0/0.200:192.168.20.254
f0/0.300:192.168.30.254
R1 f0/0 和sw f0/24 trunk相联。
sw vlan100 f0/0-5
vlan200 f0/6-10
vlan300 f0/11-15
Router 2620
switch 2950
问怎么实现Vlan100能够访问200 300
而200 300不能访问100
这是我全部的分了。。。希望高手解答!
你的意思可能是200和300不能主动发起到100的连接是吧?你这样的情况因为100要访问200和300,同时200和300也要能访问100,否则100访问200和300的流量没法返回的话100也没法访问200和300,所以不能用vacl来做。当然也不能用pvlan来做。
你这样的要求只能在路由器上做acl了,如果只是tcp的访问你可以用acl里面的established参数来控制。如果不仅仅是tcp的话,你就用cbac特性吧,2620上应该是支持的。不过要带防火墙功能的ios才支持cbac的。
有问题的话你这里发短信给我就是了。
access-list 101 deny ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 101 permit ip 192.168.20.0 0.0.0.255 any
在子接口200上使用以上acl
access-list 102 deny ip 192.168.30.0 0.0.0.255
192.168.10.0 0.0.0.255
access-list 102 permit ip 192.168.30.0 0.0.0.255
any
在子接口300上使用这个acl
不知道行不行~~