vlan的ACL疑惑。。头已经很大了，请前辈指教！

小小虫 · 发表于 2010-10-28 21:35:12

拓扑图很简单，三个vlan，一个管理vlan
管理vlan：vlan1 192.168.1.0/24
vlan10 192.168.10.0/24
vlan20 192.168.20.0/24
vlan30 192.168.30.0/24

要求：vlan20和vlan30不能访问vlan10，三个vlan都能访问英特网
vlan的ACL疑惑.PNG

我是这么做的，
access-list 100 deny ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 100 deny ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 100 permit ip any any
然后应用到vlan 10
ip access-list 100 in

问题来了，vlan20和vlan30不能访问vlan10，能访问英特网，但是vlan10也访问不了英特网了。。。很疑惑，前辈能指教吧，小弟感激不尽!!!
Orz,叩谢！

小小虫 · 发表于 2010-10-30 19:00:10

没人回答吗？

qingqing123 · 发表于 2010-10-30 23:18:39

外网没有路由到内网，你做个NAT就行了

小小虫 · 发表于 2010-10-31 15:47:00

回复 qingqing123 的帖子

现在连 192.168.100.2/24 都ping不通。。。

qingqing123 · 发表于 2010-10-31 20:54:10

ip routing 启用了没

猫猫超人 · 发表于 2010-11-7 23:50:03

ip access-list 100 in
换成out试试看

小小虫 · 发表于 2010-11-8 22:06:42

回复 qingqing123 的帖子

启用了

qingqing123 · 发表于 2010-11-11 22:44:52

回复小小虫的帖子

不知道你NAT是怎么写的，可能是外网没到NAT转换后地址的路由在外网直接写个静态就可以了

fengnjupt · 发表于 2010-11-17 03:31:01

看看。

fulltimes · 发表于 2010-11-17 08:56:00

在TRUNK链路上做VLAN间访问限制比较简单

小小虫 · 发表于 2010-12-24 20:49:46

回复 fulltimes 的帖子

您能详细解答一下吗

见习工程师 · 发表于 2011-8-16 16:43:50

我怎么看这图有点问题呢 VLAN 间本来就是不能互访啊

伏兵 · 发表于 2011-7-29 09:02:24

小小虫 · 发表于 2011-8-17 19:49:08

见习工程师发表于 2011-8-16 16:43

登录/注册后可看大图

我怎么看这图有点问题呢 VLAN 间本来就是不能互访啊

上面那台是3560

mychong888 · 发表于 2011-8-19 10:35:26

没有试用过用标准ACL做？

账号		自动登录	找回密码
密码			论坛注册

[注意] vlan的ACL疑惑。。头已经很大了，请前辈指教！

浏览过的版块

客服中心

投诉建议