设为首页收藏本站language→→ 语言切换
开启辅助访问 切换到宽版

鸿鹄论坛

 找回密码
 论坛注册

QQ登录

先注册再绑定QQ

鸿鹄论坛»鸿鹄论坛 ≡□≡思科认证≡□≡ CCNP求助答疑 求助三层交换机上VLAN配置ACL的问题
返回列表 发新帖
查看: 3061|回复: 11
收起左侧

[求助] 求助三层交换机上VLAN配置ACL的问题

[复制链接]
5916991
发表于 2017-5-11 22:51:42 | 显示全部楼层 |阅读模式
3鸿鹄币

RT

RT

如图,我是这样理解的
1. 10.1.1.2 ping 10.1.2.1 ,流量通过vlan10到达vlan20
2. vlan20返还应答到vlan10
3.因为写了acl到vlan10 out,所以应答的流量要匹配控制列表,匹配的上就通过vlan10,匹配不了就丢弃
4.问题是我想不通为啥10.1.1.3 ping 10.1.2.1也可以ping通。 难道我对 in和out的理解有问题?  
求帮助。。。。


最佳答案

hisuser

查看完整内容

我按照你的要求在GNS3上实验 PC0和PC1 在vlan10 PC3在vlan20 按照你的要求配置后PC0和PC3何以互相ping通 PC1和PC3无法ping通。所以你的问题可能配置有问题检查下配置第二个就是模拟器的问题!
回复

使用道具 举报

hisuser
发表于 2017-5-11 22:51:43 | 显示全部楼层
5916991 发表于 2017-5-12 14:10
加一台pc3连在3560上边   pc3  10.1.3.2          vlan30  10.1.3.1   
vlan10 access-group 100 out  ...

我按照你的要求在GNS3上实验 PC0和PC1 在vlan10  PC3在vlan20  按照你的要求配置后PC0和PC3何以互相ping通  PC1和PC3无法ping通。所以你的问题可能配置有问题检查下配置第二个就是模拟器的问题!
沙发 2017-5-11 22:51:43 回复 收起回复
回复

使用道具 举报

一叶孤舟、
发表于 2017-5-12 08:53:16 | 显示全部楼层
我不知道你使用的掩码是不是24位,但在同一个交换机上的不通VLAN,不需要用到ACL来匹配。要是都24位掩码,10.1.1.2能ping通的IP,换成10.1.1.3一样能ping通。
板凳 2017-5-12 08:53:16 回复 收起回复
回复

使用道具 举报

hisuser
发表于 2017-5-12 09:00:08 | 显示全部楼层
ACL过滤只对通过流量起作用。对于自身产生的流量不起作用。
地板 2017-5-12 09:00:08 回复 收起回复
回复

使用道具 举报

5916991
 楼主| 发表于 2017-5-12 11:14:57 | 显示全部楼层
hisuser 发表于 2017-5-12 09:00
ACL过滤只对通过流量起作用。对于自身产生的流量不起作用。

加一台pc3连在3560上边   pc3  10.1.3.2          vlan30  10.1.3.1   
vlan10 access-group 100 out
access-list 100 permit ip host 10.1.3.2 host 10.1.1.2

结果是pc0和pc2还是都可以ping通10.1.3.1,根据我的理解,ping 返回的包 原地址应该是10.1.3.2  目的地址是10.1.1.2     应该是有pc0的ping返回的包才能通过啊  pc2也能通 无法理解

从pc3 倒只能ping通 10.1.1.2
5# 2017-5-12 11:14:57 回复 收起回复
回复

使用道具 举报

Rockyw
发表于 2017-5-12 11:29:04 | 显示全部楼层
本帖最后由 Rockyw 于 2017-5-12 12:12 编辑

你那个目标地址是网关地址,其流量是三层交换机内部的流量,ACL是不起作用的。如果把目标地址换成其他设备的地址的话,才会起作用。
6# 2017-5-12 11:29:04 回复 收起回复
回复

使用道具 举报

hisuser
发表于 2017-5-12 11:42:49 | 显示全部楼层
5916991 发表于 2017-5-12 11:14
加一台pc3连在3560上边   pc3  10.1.3.2          vlan30  10.1.3.1   
vlan10 access-group 100 out
...

从你3560下接的PC去ping3560上的虚接口做ping回应的都是3560本身做的回应。
你PC0和PC1去ping10.1.3.1是vlan30的网关也是在3650上的虚接口回应也是3650回应。
你怎么说回包的源地址是10.1.3.2?你mingmingping的是10.1.3.1
你PC3ping只能ping同10.1.1.2很正常因为你这个ping的流量是从PC3产生的所以ACL100起作用!
7# 2017-5-12 11:42:49 回复 收起回复
回复

使用道具 举报

5916991
 楼主| 发表于 2017-5-12 14:09:52 | 显示全部楼层
加一台pc3连在3560上边   pc3  10.1.3.2          vlan30  10.1.3.1   
vlan10 access-group 100 out
access-list 100 permit ip host 10.1.3.2 host 10.1.1.2

结果是pc0和pc2还是都可以ping通10.1.3.1,根据我的理解,ping 返回的包 原地址应该是10.1.3.2  目的地址是10.1.1.2     应该是有pc0的ping返回的包才能通过啊  pc2也能通 无法理解

从pc3 倒只能ping通 10.1.1.2


标红那里写错了 应该是Ping 10.1.3.2
8# 2017-5-12 14:09:52 回复 收起回复
回复

使用道具 举报

5916991
 楼主| 发表于 2017-5-12 14:10:52 | 显示全部楼层
hisuser 发表于 2017-5-12 11:42
从你3560下接的PC去ping3560上的虚接口做ping回应的都是3560本身做的回应。
你PC0和PC1去ping10.1.3.1是 ...


加一台pc3连在3560上边   pc3  10.1.3.2          vlan30  10.1.3.1   
vlan10 access-group 100 out
access-list 100 permit ip host 10.1.3.2 host 10.1.1.2

结果是pc0和pc2还是都可以ping通10.1.3.1,根据我的理解,ping 返回的包 原地址应该是10.1.3.2  目的地址是10.1.1.2     应该是有pc0的ping返回的包才能通过啊  pc2也能通 无法理解

从pc3 倒只能ping通 10.1.1.2


标红那里写错了 应该是Ping 10.1.3.2
9# 2017-5-12 14:10:52 回复 收起回复
回复

使用道具 举报

5916991
 楼主| 发表于 2017-5-12 16:07:41 | 显示全部楼层
谢谢了! 主要还是我自己对在虚拟接口VLAN上配置ACL IN和OUT方向有疑问。相同了,IN就是acl只匹配从这个VLAN发出来的流量,OUT就是指匹配进入该VLAN的流量
10# 2017-5-12 16:07:41 回复 收起回复
回复

使用道具 举报

李壑彝
发表于 2017-5-22 08:36:02 | 显示全部楼层
11# 2017-5-22 08:36:02 回复 收起回复
回复

使用道具 举报

李壑彝
发表于 2017-5-22 08:36:41 | 显示全部楼层
就是后面你in和out 的问题哈
12# 2017-5-22 08:36:41 回复 收起回复
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 论坛注册

本版积分规则

QQ|Archiver|手机版|小黑屋|sitemap|鸿鹄论坛 ( 京ICP备14027439号 )  

GMT+8, 2024-4-25 19:13 , Processed in 0.076989 second(s), 11 queries , Redis On.  

  Powered by Discuz!

  © 2001-2024 HH010.COM

快速回复 返回顶部 返回列表