全网以互联互通!如有什么疑问去看上一篇文章(拓扑图)!
下面我们来配置 阻止VLAN 4的PC 拒绝访问 我们VLAN2 里的 PC
因为是控制流量 所有我们就用标准的控制列表(列表号1-99 1300-1999)
标准ACL(访问控制列表) 我们做在离 被访问 越近越好! 这里我们就应该放在 虚拟VLAN2 接口
接下来配置
Multilayer Switch2
Switch>enable
Switch#configure terminal
Switch(config)#access-list 1 deny 192.168.4.0 0.0.0.255 (配置标准ACL 列表号1 拒绝 192.168.4.0网段)
Switch(config)#access-list 1 permit any (允许其他所有)
Switch(config)#interface vlan 2
Switch(config-if)#ip access-group 1 out (把控制列表放在VLAN2 接口 出的方向)
结果!
PC>ping 192.168.2.2
Pinging 192.168.2.2 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 192.168.2.2:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
不通!
成功!!(拒绝其他VLAN访问另外一个VLAN 只需稍稍改动)
下面配置扩展访问控制列表(由于功能配置相似,所以放在一个章节 便于区分他们的不同)
扩展访问控制列表 只是对应用服务的访问限制(例如:阻止一个网段不允许访问我WWW服务或FTP服务)!
由于实验要用到应用服务 我们把VLAN2 一台主机换成服务器 下面是TP!
配置都是一模一样!
接下来先看一下 用VLAN 5 访问VLAN2中的server2的HTTP 服务!
发现是可以访问的! 现在我们来限制VLAN 5 访问 server2中的WEB服务!
下面是标准和扩展一个不一样的地方!而且这点也很重要
扩展ACL(访问控制列表) 我们做在离 访问方 越近越好! 这里我们就应该放在 虚拟VLAN 5 口
接下来配置
Multilayer Switch1
Switch>enable
Switch#configure terminal
Switch(config)#access-list 100 deny tcp 192.168.5.0 0.0.0.255 host 192.168.2.2 eq www
(拒绝192.168.5.0网段访问PC 192.168.2.2的WWW服务(这里也可以写80或HTTP))
Switch(config)#access-list 100 permit ip any any (拒绝了 要允许所有)
Switch(config)#interface vlan 5
Switch(config-if)#ip access-group 100 in
接下来发现
不通!
成功
原创:胡斌
我会从简单到难的发表一些我学过的知识,希望能给一些想入门的朋友帮助,也希望找一些志同道合的朋友、老师 给我些指教。 QQ 276200261!