论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2009-06-19 17:30 |只看该作者 |倒序浏览

cisco catalyst 3550
F0/1 VLAN101 192.168.231.1/29
连接PC1 192.168.231.2
F0/2 VLAN102 192.168.231.9/29
连接PC2 192.168.231.10
F0/3 VLAN103 192.168.231.17/29
连接PC3 192.168.231.18

F0/24 VLAN10 192.168.0.1/29
连接到cisco 2801 E0/0 192.168.0.2/29

现在想禁止vlan101、vlan102、vlan103之间访问，允许vlan10与vlan101、vlan102、vlan103互访
如何写ACL？？？

[ 本帖最后由 xy-coordinate 于 2009-8-5 08:43 编辑 ]

VLAN, 思科, VLAN, 思科

文库|博客

ssffzz1

广告杀手

论坛徽章:: 5

2楼 [报告]

发表于 2009-06-19 18:42 |只看该作者

该允许的允许，该丢弃的丢弃。用扩展ACL，注意下发的端口就OK了。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

xy-coordinate

小富即安

论坛徽章:: 0

3楼 [报告]

发表于 2009-06-20 21:47 |只看该作者

原帖由 ssffzz1 于 2009-6-19 18:42 发表
该允许的允许，该丢弃的丢弃。用扩展ACL，注意下发的端口就OK了。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

xy-coordinate

小富即安

论坛徽章:: 0

4楼 [报告]

发表于 2009-06-20 21:53 |只看该作者

本帖最后由 xy-coordinate 于 2010-04-08 12:17 编辑

上网搜索半天，参考后写了一点：

ip access-list extended acl101
permit ip 192.168.231.0 0.0.0.7 192.168.12.0 0.0.0.255
permit ip 192.168.231.0 0.0.0.7 host 192.19.8.20
deny ip any any

ip access-list extended acl102
permit ip 192.168.231.8 0.0.0.7 192.168.12.0 0.0.0.255
permit ip 192.168.231.8 0.0.0.7 host 192.19.11.30
permit ip 192.168.231.8 0.0.0.7 host 192.19.14.43
permit ip 192.168.231.8 0.0.0.7 host 192.19.14.64
permit ip 192.168.231.8 0.0.0.7 host 192.19.13.70
deny ip any any

ip access-list extended acl103
permit ip 192.168.231.16 0.0.0.7 192.168.12.0 0.0.0.255
permit ip 192.168.231.16 0.0.0.7 host 192.19.11.30
permit ip 192.168.231.16 0.0.0.7 host 192.19.14.43
permit ip 192.168.231.16 0.0.0.7 host 192.19.14.64
permit ip 192.168.231.16 0.0.0.7 host 192.19.13.70
permit ip 192.168.231.16 0.0.0.7 host 192.19.8.60
deny ip any any