- 论坛徽章:
- 0
|
我们这里有3个VLAN,分别为VLAN1,VLAN2,VLAN3,都在CISCO3550上(3层)划分,我们要求VLAN2,VLAN3都可以访问VLAN1,但是VLAN2和VLAN3之间不可以互相访问,VLAN1都可以访问VLAN2,VLAN3。VLAN1,VLAN2,VLAN3的网关地址分别为10.1.1.254/24,10.1.2.254/24,10.1.3.254/24,VLAN2,VLAN3对应接口分别为fa0/2,fa0/3,我做的ACL如下:
switch(config)#access-list 102 permit ip 10.1.2.0 0.0.0.255 10.1.1.0 0.0.0.255
switch(config)#access-list 102 deny ip any any
switch(config)#access-list 103 permit ip 10.1.3.0 0.0.0.255 10.1.1.0 0.0.0.255
switch(config)#access-list 103 deny ip any any
switch(config)#int fa0/2
switch(config-if)#ip access-group 102 in
switch(config)#int fa0/3
switch(config-if)#ip access-group 103 in
这样做了以后能够实现我们的需求,但是有个问题就是每个VLAN2,VLAN3内的机器不能PING通它的网关地址,例如VLAN2内的机器不能PING通10.1.2.254/24.
我弄不明白这是怎么回事,请各位工程师指教! |
|