基于三层交换实现VLAN间的ACL控制.docVIP

基于三层交换实现VLAN间的ACL控制 实验环境：Packet Tracer 5.0 实验要求：三层交换机上划分三个VLAN，分别VLAN10,VLAN20,VLAN30，具体如图所示。 通过ACL的控制，实现（1）VLAN10设置为一个内网，不能访问其他子网，但可以访问VLAN20下面的Web服务器；（2）VLAN30可以访问VLAN20，但是不能访问VLAN20下面的Web服务器。 实验步骤： 1、各个VLAN终端和服务器的IP配置（略） 2、配置三层交换，实验VLAN间连通 Switchena Switch#conf t Switch(config)#hostname MultiSw MultiSw(config)#vlan 10 MultiSw(config-vlan)#vlan 20 MultiSw(config-vlan)#vlan 30 /*划分三个VLAN，不建议使用VLAN database模式*/ MultiSw(config-vlan)#int vlan 10 MultiSw(config-if)#ip add 192.168.1.1 255.255.255.0 MultiSw(config-if)#int vlan 20 MultiSw(config-if)#ip add 192.168.2.1 255.255.255.0 MultiSw(config-if)#int vlan 30 MultiSw(config-if)#ip add 192.168.3.1 255.255.255.0 /*给各VLAN配置IP，即各子网的网关*/ MultiSw(config-if)#exit MultiSw(config)#int f0/1 /*进入F0/1接口*/ MultiSw(config-if)#sw mode acc /*接口默认为acc模式，此句可以省略，新手建议加上*/ MultiSw(config-if)#sw acc vlan 10 /*接口配置给VLAN*/ Sw(config-if)#int f0/2 MultiSw(config-if)#sw acc vlan 20 Sw(config-if)#int f0/3 MultiSw(config-if)#sw acc vlan 30 Sw(config-if)#end MultiSw#show ip rou /*查看路由表，三条直连路由产生，三个VLAN连通，主机间互相ping通*/ C 192.168.1.0/24 is directly connected, Vlan10 C 192.168.2.0/24 is directly connected, Vlan20 C 192.168.3.0/24 is directly connected, Vlan30 MultiSw(config)#ip access-list extended 100 /*用扩展ACL来做，序号100起*/ MultiSw(config-ext-nacl)#permit ip 192.168.1.0 0.0.0.255 192.168.2.100 0.0.0.0 /*注意反码，0.0.0.0表示主机*/ MultiSw(config-ext-nacl)#exit MultiSw(config)#int vlan 10 MultiSw(config-if)#ip access-group 100 in /*将规则配置到VLAN10上，方向in*/ MultiSw(config-if)#exit MultiSw(config)#ip acc ex 101 /*扩展ACL，序号101*/ MultiSw(config-ext-nacl)#deny ip 192.168.3.0 0.0.0.255 host 192.168.2.100 /*主机的另外一种表示方法host*/ MultiSw(config-ext-nacl)#permit ip any any /*deny其实的语句后面别忘了跟per ip any any，否则$#^$%#*/ MultiSw(config-ext-nacl)#exit MultiSw(config)#int vlan 30 MultiSw(config-if)#ip acc 101 in /*将规则配置到VLAN 30上，方向in*/ MultiSw(config-if)#end MultiSw#wr /*最后别忘了保存*/ 2楼的既然用了虚拟交换接口（SVI），怎么又将端口分到了各个VLAN中啊，既然配了虚拟交换