贵求高手指导想了琢磨了一下午了

894546367

要求VLAN10内地计算机不能访问VLAN20的计算机，但VLAN20的可访问VLAN10的计算机 我也知道

topo

用ACL可是要怎么设呢

mickjin02

您好:
ACL表做好之後，去L3交換機，進入相對應的VLAN，然後套用ACL表 進或出，過濾就可以了。

lincc

是ACL嗎? 還是Private VLAN?

894546367

lincc 发表于 2015-12-29 18:46
是ACL嗎? 還是Private VLAN?

求指导 只要达到要求就可以了 acl试了很多次了...................

894546367

mickjin02 发表于 2015-12-29 19:05
您好:
ACL表做好之後，去L3交換機，進入相對應的VLAN，然後套用ACL表 進或出，過濾就可以了。

可是我在某一个vlan阻截 数据就过得去回不来了呀..........

xingxu

可以看下闫辉的CCNA视频 里面讲了一种自反ACL应该可以实现 本人新学 不是很懂

li286507137

我也是新手不太懂 说的不好见谅。可以在起个ACL 抓取来自192.168.1.0网段 的流量 ，然后在出方向上做：拒绝来自192.168.1.0 网段的流量到网段192.168.2.0去

lzq8663457

无法实现。因为ping通，是要求去和回的链路都要通。而你要求去的链路不通，回来的链接通，已经自相矛盾，无法实现！

mickjin02

894546367 发表于 2015-12-29 19:42
可是我在某一个vlan阻截 数据就过得去回不来了呀..........

你數據的進跟出 有搞對嗎??

Rockyw

路过了解一下

dongwenzhuo

配置自反ACL可以做到这种效果  参考配置链接：http://www.linuxidc.com/Linux/2012-08/67843.htm  注意 CISCO模拟器里不能配置自反ACL的  GNS3可以。

dongwenzhuo

自反ACL可以做到这种效果  A可以访问B  但B不能访问A  
思科模拟器不支持命令  GNS3可以。

dongwenzhuo

Router(config)#ip access-list extended to_out //创建内网访问外网的名称访问控制列表to_out

Router(config-ext-nacl)#permit ip 192.168.1.0 0.0.0.255 any reflect REF//允许内网访问任何网络，创建 自反列表，名字为REF

Router(config-ext-nacl)#exit

Router(config)#ip access-list extended to_in//创建外网访问内网的名称访问控制列表to_in

Router(config-ext-nacl)#evaluate REF //计算并生成自反列表（对第一步定义的名字为REF的条目进行自反计算并生成相应的条目）

Router(config-ext-nacl)#deny ip any any //拒绝所有包通过

Router(config-ext-nacl)#exit

Router(config)#int s 0/0 //路由器的内网接口

Router(config-if)#ip access-group to_out in//将to_out应用在该接口上，in方向[或者应用到ser 0/1的out方向上也行]

Router(config-if)#ex

Router(config)#int ser 0/1//路由器的外网接口

Router(config-if)#ip access-group to_in in//将to_in应用在该接口上，in方向

yan6996

虽然没懂楼上的这些命令，不过回去研究一下，看一下结果

1826484675

自反ACL可以，不过这个好像是属于NP的知识了