【菜鸟求教：关于ACL】

少受三五斗 · 发表于 2019-7-22 21:34:32

如图所示，三层交换机上有10.163.97.0/24，10.163.98.0/24，10.163.99.0/24，10.164.148.0/24 这几个VLAN。
10.163.97.23只可以访问10.163.97---99三个VLAN，其他97段机器不受任何限制。
而97 vlan的几台机器是虚拟机，通过宿主机上3条物理线路（端口聚合）通讯。
ACL应该怎么样写？求大神指点。
本人逻辑思维很差，试了n多种方案，累死大量脑细胞，无果。。。。。。

王赜 · 发表于 2019-7-22 21:52:53

97网段的网关接口下vlanif，acl写上deny 主机23 目的148网段，其他permit，in方向调用

少受三五斗 · 发表于 2019-7-23 23:20:40

王赜发表于 2019-7-22 21:52
97网段的网关接口下vlanif，acl写上deny 主机23 目的148网段，其他permit，in方向调用

不生效。

配置如下：
ip access-list extended block_9723
deny ip host 10.163.97.23 10.164.148.0 0.0.0.255
permit ip any any

interface vlan 97
ip access-group block_9723 in

少受三五斗 · 发表于 2019-8-25 23:19:09

考完300-135，受vlan filter启发，终于搞定这个ACL问题。
思路：
第一步创建2条扩展ACL
扩展ACL 100 允许10.163.97.0/98/0/99.0 访问10.163.97.23
扩展ACL 110 允许0.0.0.0 访问10.163.97.23
第二步创建vlan access-map test1
access-map test1 10
匹配ACL 100，action foward
access-map test1 20
匹配ALC 110, action drop
access-map test1 30
匹配空，action foward
第三步应用access-map test1 到vlan 97

huyihao9090 · 发表于 2019-8-26 09:48:21

permit 97.23  97.0
permit 97.23  98.0
permit 97.23  99.0
deny 97.23 any
permit any any

在97.23接口调用

账号		自动登录	找回密码
密码			论坛注册

【菜鸟求教：关于ACL】

浏览过的版块

客服中心

投诉建议