正在初始化报价器思科交换机acl配置方法哪位知道？3个回答笨笨EXlk8思科交换机acl配置方法
rule 1 deny ip soure 10.1.2.0 0.0.0.255 destination 10.1.10.0 0.0.0.255
(规则1，禁止10.1.2.0/24以任何IP协议的方式访问10.1.10.0/24)
在交换机的端口视图下
interface Ethernet0/24
port access vlan 1002
packet-filter inbound ip-group 3000 rule 1
7_7091router#conf t
router(config)#ip access-list extend V1
router(config-acl)#permit ip any host 192.167.0.2
router(config-acl)#permit ip any host 192.167.0.3
router(config-acl)#deny ip any any
router(config-acl)#ip access-list extend V3
router(config-acl)#permit ip host 192.167.0.2 192.168.1.0 0.0.0.255
router(config-acl)#permit ip host 192.167.0.2 192.168.1.0 0.0.0.255
router(config-acl)#deny ip any 192.168.1.0 0.0.0.255
router(config-acl)#permit ip any any
router(config-acl)#interface vlan1
router(config-inf)#ip access-group V1 in
router(config-inf)#interface vlan3
router(config-inf)#ip access-group V3 in
以上配置效果:VLAN1只能访问192.167.0.2和.3这两个地址，其他地址均无法访问;VLAN3能访问除192.168.1.0/24这个网段外所有地址(0.2和0.3两个地址可以访问192.168.1.0/24这个网段)。
如果要使VLAN1能够访问其他地址V1就这样定义:
router(config)#ip access-list extend V1
router(config-acl)#permit ip any host 192.167.0.2
router(config-acl)#permit ip any host 192.167.0.3
router(config-acl)#deny ip any 192.168.1.0 0.0.0.255
router(config-acl)#permit ip any any
希望我的回答能帮助到你
JF梦永39思科本地配置方式 本地配置我们首先要遇到的是它的物理连接方式，然后还需要面对软件配置，在软件配置方面我们主要以最常见的思科的“Catalyst 1900”交换机为例来讲述。 因为要进行交换机的本地配置就要涉及到硬、软件的连接了，所以下面我们分这两步来说明配置的基本连接过程。 1．物理连接 因为笔记本电脑的便携性能，所以配置交换机通常是采用笔记本电脑进行，在实在无笔记本的情况下，当然也可以采用台式机，但移动起来麻烦些。交换机的本地配置方式是通过计算机与交换机的“Console”端口直接连接的方式进行通信的。
其他回答热门问答1234567891011121314151617181920查看更多21222324252627282930相关问答1个回答枫默小威a49另一台交换机开启TELNET或者SSH，配上密码和SVI地址，然后用华三交换机使用TELNET SVI地址既可以连接到对端交换机进行配置2个回答热血传奇魔剑交换能力不一样，差别很大。。。尤其是背板带宽。。3个回答qqxwwCISCO有自己的3层层次模型 1，接入层 2，汇聚层 3，核心层
汇聚层，是多台接入层交换机的汇聚点，它必须能够处理来自接入层设备的所有通信量，并提供到核心层的上行链路，因...1个回答广饰汇另一台交换机开启TELNET或者SSH，配上密码和SVI地址，然后用华三交换机使用TELNET SVI地址既可以连接到对端交换机进行配置1个回答Kyoya六WK6SMB交换机是指中小企业交换机，small and midium-sized business。这种交换机是相对于一些大型、高端的交换机而言的。SMB交换机支持常用的二层协议，但是...1个回答一个字1取消端口直接得隔离就可以 undo isolate port 端口号3个回答hunduanwlPOE (Power Over Ethernet)指的是在现有的以太网Cat.5布线基础架构不作任何改动的情况下，在为一些基于IP的终端(如IP电话机、无线局域网接入点AP、网络摄...4个回答北京兴典装饰工程有限公司三层和二层交换机都支持划Vlan，只是三层比二层交换机多了转发功能，也就是路由功能，通过VLna之间的路由可以做到不同网段中的pc可以互相访问的目的4个回答74xcv当然是思科的，就是贵，考虑资金问题的话，用二手的也是不错的选择3个回答黑格子破衬衫本地交换机自动检测用户的摘机动作，给用户的电话机回送拨号音，接收话机的产生的脉冲信号或双音多频(DTMF)信号，然后完成从主叫到被叫号码的接续(被叫号码可能在同一个交换机也可能在不...查看:8048|回复：24
现有财务部和其他几个部门，其中财务部为vlan 10 其他部门分别是vlan 20 、vlan 30 、vlan 40 、vlan 50，现在要求 其他部门不能访问财务部，而财务部却可以访问其它部门，请问这样的配置在思科的三层交换机上怎么实现，知道的麻烦帮小弟指点迷津。。。
思科技术狂热分子
楼主可以参考下这个帖子的配置案例实验下：
财务部vlan10:192.168.5.0/24
总经理室vlan20:192.168.1.0/24
人力资源部vlan30:192.168.2.0/24
网络中心vlan40:192.168.3.0/24
研发中心vlan50:192.168.4.0/24
&&ip access-list extended CCIE-out
&&evaluate cisco
&&ip access-list extended CCIE-in
&&permit icmp 192.168.5.0 0.0.0.255 any reflect cisco timeout 50
&&permit tcp 192.168.5.0 0.0.0.255 any reflect cisco timeout 50
&&permit ip any any
&&int vlan 10
ip access-group CCIE-out out
ip access-group CCIE-in in
第二种方法
ip access-list extended cisco
permit tcp any 192.168.5.0 0.0.0.255 established
permit icmp any 192.168.5.0 0.0.0.255 echo-reply
int&&vlan 10
ip acce-list cisco out
第三种方法
ip acce-list extended cisco
ip inspect name CCIE tcp&&audit-t&&on timeout 50
ip inspect name CCIE udp&&audit-t&&on timeout 50
ip inspect name CCIE icmp audit-t&&on timeout 50
int vlan 10
ip acce-group cisco out
ip inspect CCIE&&in
今天正好有时间，跟你说了3种方法，达到的目的都是财务部可以访问其他部门并且也可以ping ，其他部门无法访问财务部也不能对财务部进行ping操作
个人认为第三种方法最好
第二种方法最后写太快了， 是 ip acce-group cisco out& & :lol
中级工程师
也可以通过vlan实现，加ACL
太感谢你了，又知道了不同的实现方法了:lol
提示: 作者被禁止或删除 内容自动屏蔽
关键是在进接口还是出接口设置访问控制。最好是在其他部门路由上设置。 这样可以避免，链路中数据的拥堵。
助理工程师
:hug: 包子大哥的强项是ACL！
中级工程师
太强大了,又学习了新知识,学无止境啊
初级工程师
引用:原帖由 popo_vcvc 于
14:56 发表
让我膜拜的高手！ 高手就是高手
引用:原帖由 xiaobaozi998877 于
09:22 发表
第二种方法
ip access-list extended cisco
permit tcp any 192.168.5.0 0.0.0.255 established
permit icmp any 192.168.5.0 0.0.0.255 echo-reply
int&&vlan 10
ip acce-list cisco out 我也有同样的问题，试了这种方法，结果是：
财务能PING通其它部门，其它部门不能PING通财务，但财务外网网页打不开，好像开个QQ没问题:lol:lol，是不是还要加条件啊？
外网打不开 QQ能上 应该是DNS配置问题吧
不会吧，我把那个ACL删了之后就能正常上网啊
你还有加一条permit ip any any& &最后有一句默认隐藏的， 不加的话其他的数据全部被丢弃了
嗯，这下没问题了，谢谢谢谢！！
助理工程师
斑竹的 第一种方法是自反ACl，第三种是CBAC,第二是用了tcp的established和icmp的echo-reply，但对UDP流量不起作用吧查看: 957|回复: 11
求助三层交换机上VLAN配置ACL的问题
在线时间 小时
阅读权限30
捕获.PNG (29.09 KB, 下载次数: 0)
22:48 上传
如图，我是这样理解的
1. 10.1.1.2 ping 10.1.2.1 ，流量通过vlan10到达vlan20
2. vlan20返还应答到vlan10
3.因为写了acl到vlan10 out，所以应答的流量要匹配控制列表，匹配的上就通过vlan10，匹配不了就丢弃
4.问题是我想不通为啥10.1.1.3 ping 10.1.2.1也可以ping通。 难道我对 in和out的理解有问题？&&
求帮助。。。。
我按照你的要求在GNS3上实验 PC0和PC1 在vlan10
PC3在vlan20
按照你的要求配置后PC0和PC3何以互相ping通
PC1和PC3无法ping通。所以你的问题可能配置有问题检查下配置第二个就是模拟器的问题！
在线时间 小时
阅读权限50
加一台pc3连在3560上边& &pc3&&10.1.3.2& && && & vlan30&&10.1.3.1& &
vlan10 access-group 100 out&&...
我按照你的要求在GNS3上实验 PC0和PC1 在vlan10&&PC3在vlan20&&按照你的要求配置后PC0和PC3何以互相ping通&&PC1和PC3无法ping通。所以你的问题可能配置有问题检查下配置第二个就是模拟器的问题！
在线时间 小时
阅读权限20
我不知道你使用的掩码是不是24位，但在同一个交换机上的不通VLAN，不需要用到ACL来匹配。要是都24位掩码，10.1.1.2能ping通的IP，换成10.1.1.3一样能ping通。
在线时间 小时
阅读权限50
ACL过滤只对通过流量起作用。对于自身产生的流量不起作用。
在线时间 小时
阅读权限30
ACL过滤只对通过流量起作用。对于自身产生的流量不起作用。
加一台pc3连在3560上边& &pc3&&10.1.3.2& && && & vlan30&&10.1.3.1& &
vlan10 access-group 100 out
access-list 100 permit ip host 10.1.3.2 host 10.1.1.2
结果是pc0和pc2还是都可以ping通10.1.3.1，根据我的理解，ping 返回的包 原地址应该是10.1.3.2&&目的地址是10.1.1.2& &&&应该是有pc0的ping返回的包才能通过啊&&pc2也能通 无法理解
从pc3 倒只能ping通 10.1.1.2
在线时间 小时
阅读权限91
本帖最后由 Rockyw 于
12:12 编辑
你那个目标地址是网关地址，其流量是三层交换机内部的流量，ACL是不起作用的。如果把目标地址换成其他设备的地址的话，才会起作用。
在线时间 小时
阅读权限50
加一台pc3连在3560上边& &pc3&&10.1.3.2& && && & vlan30&&10.1.3.1& &
vlan10 access-group 100 out
从你3560下接的PC去ping3560上的虚接口做ping回应的都是3560本身做的回应。
你PC0和PC1去ping10.1.3.1是vlan30的网关也是在3650上的虚接口回应也是3650回应。
你怎么说回包的源地址是10.1.3.2？你mingmingping的是10.1.3.1
你PC3ping只能ping同10.1.1.2很正常因为你这个ping的流量是从PC3产生的所以ACL100起作用！
在线时间 小时
阅读权限30
加一台pc3连在3560上边& &pc3&&10.1.3.2& && && & vlan30&&10.1.3.1& &
vlan10 access-group 100 out
access-list 100 permit ip host 10.1.3.2 host 10.1.1.2
结果是pc0和pc2还是都可以ping通10.1.3.1，根据我的理解，ping 返回的包 原地址应该是10.1.3.2&&目的地址是10.1.1.2& &&&应该是有pc0的ping返回的包才能通过啊&&pc2也能通 无法理解
从pc3 倒只能ping通 10.1.1.2
标红那里写错了 应该是Ping 10.1.3.2
在线时间 小时
阅读权限30
从你3560下接的PC去ping3560上的虚接口做ping回应的都是3560本身做的回应。
你PC0和PC1去ping10.1.3.1是 ...
加一台pc3连在3560上边& &pc3&&10.1.3.2& && && & vlan30&&10.1.3.1& &
vlan10 access-group 100 out
access-list 100 permit ip host 10.1.3.2 host 10.1.1.2
结果是pc0和pc2还是都可以ping通10.1.3.1，根据我的理解，ping 返回的包 原地址应该是10.1.3.2&&目的地址是10.1.1.2& &&&应该是有pc0的ping返回的包才能通过啊&&pc2也能通 无法理解
从pc3 倒只能ping通 10.1.1.2
标红那里写错了 应该是Ping 10.1.3.2
在线时间 小时
阅读权限30
谢谢了！ 主要还是我自己对在虚拟接口VLAN上配置ACL IN和OUT方向有疑问。相同了，IN就是acl只匹配从这个VLAN发出来的流量，OUT就是指匹配进入该VLAN的流量
在线时间 小时
阅读权限90
在线时间 小时
阅读权限90
就是后面你in和out 的问题哈
Powered by技术解决方案
提供从规划到建设、运维，全周期的服务产品。
客户成功案例
查看锐捷网络解决方案在各行业的成功应用，了解客户对锐捷的评价。
销售与订单
售后及服务
营销资料平台
【交换机】交换机配置ACL，接口下是否包含一个隐含的拒绝所有数据的ACL
1）对于S3250，S3750，S3760系列产品，应用到硬件的访问列表末尾不隐含&拒绝所有数据流&语句，而隐含&通过所有数据流&语句。
2）对于其他型号交换机末尾都有隐含拒绝所有数据流的语句
营销资料平台
售前咨询热线
售后咨询热线
睿易产品咨询热线已解决问题
用思科的三层交换机怎么配置acl,使vlan之间能访问
浏览次数：1258
用手机阿里扫一扫
最满意答案
三层只要开启了虚拟借口&不用设置acl&就可以互访的。方法是&在3层上创建vlan&然后把借口分配给vlan&&&然后在交换机上&给各个vlan&的网关配置上就可以了&&即&int&&vlan&X&&&&&&&&&&&&&&&&&ip&address&XX.XX.XX.XX&子网掩码
答案创立者
以企业身份回答&
正在进行的活动
生意经不允许发广告，违者直接删除
复制问题或回答，一经发现，拉黑7天
快速解决你的电商难题
店铺优化排查提升2倍流量
擅长&nbsp 店铺优化
您可能有同感的问题
扫一扫用手机阿里看生意经
问题排行榜
当前问题的答案已经被保护，只有知县（三级）以上的用户可以编辑！写下您的建议，管理员会及时与您联络！
server is ok}