全網以互聯互通!如有什麼疑問去看上一篇文章(拓撲圖)!
下面我們來配置 阻止VLAN 4的PC 拒絕訪問 我們VLAN2 裏的 PC
因爲是控制流量 所有我們就用標準的控制列表(列表號1-99 1300-1999)
標準ACL(訪問控制列表) 我們做在離 被訪問 越近越好! 這裏我們就應該放在 虛擬VLAN2 接口
接下來配置
Multilayer Switch2
Switch>enable
Switch#configure terminal
Switch(config)#access-list 1 deny 192.168.4.0 0.0.0.255 (配置標準ACL 列表號1 拒絕 192.168.4.0網段)
Switch(config)#access-list 1 permit any (允許其他所有)
Switch(config)#interface vlan 2
Switch(config-if)#ip access-group 1 out (把控制列表放在VLAN2 接口 出的方向)
結果!
PC>ping 192.168.2.2
Pinging 192.168.2.2 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 192.168.2.2:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
不通!
成功!!(拒絕其他VLAN訪問另外一個VLAN 只需稍稍改動)
下面配置擴展訪問控制列表(由於功能配置相似,所以放在一個章節 便於區分他們的不同)
擴展訪問控制列表 只是對應用服務的訪問限制(例如:阻止一個網段不允許訪問我WWW服務或FTP服務)!
由於實驗要用到應用服務 我們把VLAN2 一臺主機換成服務器 下面是TP!
配置都是一模一樣!
接下來先看一下 用VLAN 5 訪問VLAN2中的server2的HTTP 服務!
發現是可以訪問的! 現在我們來限制VLAN 5 訪問 server2中的WEB服務!
下面是標準和擴展一個不一樣的地方!而且這點也很重要
擴展ACL(訪問控制列表) 我們做在離 訪問方 越近越好! 這裏我們就應該放在 虛擬VLAN 5 口
接下來配置
Multilayer Switch1
Switch>enable
Switch#configure terminal
Switch(config)#access-list 100 deny tcp 192.168.5.0 0.0.0.255 host 192.168.2.2 eq www
(拒絕192.168.5.0網段訪問PC 192.168.2.2的WWW服務(這裏也可以寫80或HTTP))
Switch(config)#access-list 100 permit ip any any (拒絕了 要允許所有)
Switch(config)#interface vlan 5
Switch(config-if)#ip access-group 100 in
接下來發現
不通!
成功
原創:胡斌
我會從簡單到難的發表一些我學過的知識,希望能給一些想入門的朋友幫助,也希望找一些志同道合的朋友、老師 給我些指教。 QQ 276200261!