CISCO ACL 问题求解

191801737 · 发表于 2014-7-27 08:04:52

本帖最后由 191801737 于 2014-7-28 11:08 编辑

vlan 1 192.168.1.0 /24

vlan 2 192.168.2.0 /24

想限制 vlan 1 访问vlan 2 vlan 3 命令如下

ip access-list extended acl-vlan
deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

permit ip any any

int vlan 1

ip access-group acl-vlan out

这样写，貌似有问题限制不了麻烦大家给看看

牛头人晓勇 · 发表于 2014-7-27 08:04:53

定义标准ACL
ip access-list 1 permit 192.168.2.0 0.0.0.255
ip access-list 1 permit 192.168.3.0 0.0.0.255

定义VLAN ACL
vlan access-map tod 10
match ip address 1
action forword
vlan access-map tod 20
action drop
这个的意思是。VLAN2 ，3里面只匹配自己本网段的流量。其它的流量一概干掉。所以VLAN1的流量就被干掉了。具体很多种写法。我这样写只是其中一种。

vlan filter tod vlan list 2 ，3
挂在VLAN2,3里面。进行过滤。

牛头人晓勇 · 发表于 2014-7-27 08:51:09

用VACL试试。

Rockyw · 发表于 2014-7-27 09:50:14

路过了解一下

191801737 · 发表于 2014-7-27 09:51:38

牛头人晓勇发表于 2014-7-27 08:51
用VACL试试。

命令该怎么写，麻烦指点迷津

huangheng17 · 发表于 2014-7-27 11:47:48

实验成功

191801737 · 发表于 2014-7-27 20:59:42

huangheng17 发表于 2014-7-27 11:47
实验成功

你用的什么方法

84983251 · 发表于 2014-7-28 09:09:21

191801737 发表于 2014-7-27 20:59
你用的什么方法

放行反了···是IN方向

lin08 · 发表于 2014-7-28 10:18:24

84983251 发表于 2014-7-28 09:09
放行反了···是IN方向

按你做的方法不行，你的拓扑是什么样子的

191801737 · 发表于 2014-7-28 11:09:43

lin08 发表于 2014-7-28 10:18
按你做的方法不行，你的拓扑是什么样子的

拓扑和配置文件已经上传了

191801737 · 发表于 2014-7-28 11:20:24

84983251 发表于 2014-7-28 09:09
放行反了···是IN方向

关于这个 In out 我理解的一些不知道是不是正确的方便加我QQ 191801737　请教你一下么

caoer1988 · 发表于 2014-7-30 11:13:47

能说一下你的目的吗？如果只是单纯的想限制他们之间不能访问，不添加路由就可以了啊。。。。

191801737 · 发表于 2014-7-30 11:34:33

caoer1988 发表于 2014-7-30 11:13
能说一下你的目的吗？如果只是单纯的想限制他们之间不能访问，不添加路由就可以了啊。。。。

我想弄一个vlan出来给访客用的

caoer1988 · 发表于 2014-7-30 14:25:07

你把扩展的acl应用到vlan2的out方向或者vlan1的in方向，这样可以实现你的目的。使用in还是out你可以参考这篇文章，希望可以帮到你
http://blog.sina.com.cn/s/blog_98f1ebba0101alkh.html

191801737 · 发表于 2014-7-31 09:40:05

caoer1988 发表于 2014-7-30 14:25
你把扩展的acl应用到vlan2的out方向或者vlan1的in方向，这样可以实现你的目的。使用in还是out你可以参考这 ...

文章看了确实达到效果了，只是关于in 还是out 还是有点不理解方便加你QQ 请教一下么

账号		自动登录	找回密码
密码			论坛注册

[求助] CISCO ACL 问题求解

最佳答案

客服中心

投诉建议