菜鸟来求助了

hui_amy · 发表于 2009-10-27 15:41:39

本帖最后由 hui_amy 于 2009-10-27 15:42 编辑

一道作业：
校长室属于vlan 1
财务室属于vlan 2
其他的属于vlan 3
要求：vlan 1能够访问vlan 2和vlan 3，vlan 2和vlan 3不能互相访问

albin · 发表于 2009-10-27 16:21:58

在三次交换机上配置扩展ACL，应用在单臂路由的子接口下，即可实现~~

kkingkill · 发表于 2009-10-27 16:30:23

本帖最后由 kkingkill 于 2009-10-27 16:34 编辑

给你一个例子作参考
步骤一：创建vlan10、vlan20、vlan30
S5750#conf                                                                         ----进入全局配置模式
S5750(config)#vlan 10                                                          ----创建VLAN10
S5750(config-vlan)#exit                                                       ----退出VLAN配置模式
S5750(config)#vlan 20                                                          ----创建VLAN20
S5750(config-vlan)#exit                                                       ----退出VLAN配置模式
S5750(config)#vlan 30                                                          ----创建VLAN30
S5750(config-vlan)#exit                                                       ----退出VLAN配置模式

步骤二：将端口加入各自vlan
S5750(config)# interface range gigabitEthernet 0/1-5       ----进入gigabitEthernet 0/1-5号端口
S5750(config-if-range)#switchport access vlan 10             ----将端口加划分进vlan10
S5750(config-if-range)#exit                                                 ----退出端口配置模式
S5750(config)# interface range gigabitEthernet 0/6-10       ----进入gigabitEthernet 0/6-10号端口
S5750(config-if-range)#switchport access vlan 20             ----将端口加划分进vlan20
S5750(config-if-range)#exit                                                 ----退出端口配置模式
S5750(config)# interface range gigabitEthernet 0/11-15    ----进入gigabitEthernet 0/11-15号端口
S5750(config-if-range)#switchport access vlan 30             ----将端口加划分进vlan30
S5750(config-if-range)#exit                                                 ----退出端口配置模式

步骤三：配置vlan10、vlan20、vlan30的网关IP地址
S5750(config)#interface vlan 10                                           ----创建vlan10的SVI接口
S5750(config-if)#ip address 192.168.10.1 255.255.255.0    ----配置VLAN10的网关
S5750(config-if)#exit                                                             ----退出端口配置模式
S5750(config)#interface vlan 20                                           ----创建vlan10的SVI接口
S5750(config-if)#ip address 192.168.20.1 255.255.255.0    ----配置VLAN10的网关
S5750(config-if)#exit                                                             ----退出端口配置模式
S5750(config)#interface vlan 30                                           ----创建vlan10的SVI接口
S5750(config-if)#ip address 192.168.30.1 255.255.255.0    ----配置VLAN10的网关
S5750(config-if)#exit                                                             ----退出端口配置模式

步骤四：创建ACL，使vlan20能访问vlan10，而vlan30不能访问vlan10
S5750(config)#ip access-list extended deny30                   ----定义扩展ACL
S5750(config-ext-nacl)#deny ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255    ----拒绝vlan30的用户访问vlan10资源
S5750(config-ext-nacl)#permit ip any any                            ----允许vlan30的用户访问其他任何资源
S5750(config-ext-nacl)#exit                                                 ----退出扩展ACL配置模式

步骤五：将ACL应用到vlan30的SVI口in方向
S5750(config)#interface vlan 30                                           ----创建vlan30的SVI接口
S5750(config-if)#ip access-group deny30 in                         ----将扩展ACL应用到vlan30的SVI接口下

账号		自动登录	找回密码
密码			立即注册

[讨论/求助] 菜鸟来求助了

本帖子中包含更多资源