让vlan 20 可以访问vlan 30,但是vlan 10 不能访问vlan 30
步骤一:创建一个访问控制规则
步骤二:调用这个规则
下面是本实验的网络拓扑图
基础配置:
PC1:
PC2:
PC3:
S1的四个接口类型和三个vlan配置好
S1的接口类型和三个vlan配置好
三层交换配置好三个vlan
使得PC1,PC2,PC3之间能互相通信,部分测试如下:
现在开始配置ACL是在S2上进行配置的,最上面的交换机,三层交换机上进行配置,因为信息流通最终是数据包经过g0/0/1接口
[S1]acl name test advance //(高级)可以针对目标来平衡,因为我们针对192.168.30.1做一个限制
[S1]rule deny ip source 192.168.10.0 0.0.0.255 destination 192.168.30.0 0.0.0.255 //10访问30的报文拒绝掉,注意,它这里的掩码是反着写的
[s1]rule permit ip source any destination any
[S1]display this
可以查看到有两条规则,第一条是拒绝10访问30,第二条是放行其他的
[S1]q
[S1]int g0/0/1 进入10访问30的必经接口
[S1-g0/0/1]traffic-filter inbound acl name test 在这个接口对进来的包进行过滤,按照acl,名字为test的规则去过滤
我们来进行测试时,我们可以看到,PC1 ping不通PC3,可以ping通PC1,PC2可以ping通PC1,PC3等,只有PC1 与PC3不能互通。
PC1 ping pc2和PC3:
PC2可以ping通PC1和PC3
PC3 ping PC1:
实验完成!