【交换篇】14. 限制 VLAN 之间互相访问 ❀ C3750-E ❀ CISCO 交换机

已于 2022-08-05 16:48:51 修改
阅读量1w 收藏 32
点赞数 8
分类专栏: Cisco 思科交换机 文章标签: 交换机 思科 3750 VLAN 限制互访
于 2017-03-08 11:04:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/meigang2012/article/details/60866637
版权

        【简介】前面我们为了所有VLAN都可以上网,开启了交换机的路由功能,但现实情况是需要限制某些VLAN之间的互相访问,这就需要用到ACL(访问控制列表)功能了。

  什么是ACL

        ACL就是一些访问规则的有序集合,在配置ACL的端口上,收、发通信都会与所配置的ACL规则一一比较,一旦有匹配的规则项,则立即应用,后面的规则将被忽略。ACL能够控制交换机、路由器或防火墙接口上允许或禁止路由包通过,以此来实现网络通信的过滤。

        从应用位置来看,Cisco设备支持RACL(路由器ACL)、PACL(端口ACL)和VACL(虚拟局域网ACL)。这里我们重点了解一下VACL。

        VACL就是基于VLAN的ACL,是ACL的一种扩展应用,将一个已经建好的ACL应用到一个VLAN中。VACL的关键技术就是VLAN映射(VLAN Map),实际上是一种VLAN访问映射表,将指定VLAN中的所有二层和三层通信都映射到指定的ACL中。它不是用来控制不同VLAN间的通信,而是控制一个VLAN内部的通信通过。

  访问需求

       根据前面所做的规划,我们将不同部门和应用都划分了VLAN,每个部门所需要访问的内容不同。首先我们看看规划表。

VLAN号中文名称英文名称端口IP地址网关
VLAN11行政部Administrationgi1/0/1172.16.1.0172.16.1.254
VLAN12财务部Financegi/1/0/2172.16.2.0172.16.2.254
VLAN13业务部Salesgi/1/0/3172.16.3.0172.16.3.254
VLAN14采购部Purchasegi/1/0/4172.16.4.0172.16.4.254
VLAN15生产部Productiongi/1/0/5172.16.5.0172.16.5.254
VLAN16售后部Servicesgi1/0/6172.16.6.0172.16.6.254
VLAN21服务器Servergi1/0/7-10172.18.1.0172.18.1.254
VLAN22打印机Printergi1/0/11-14172.18.2.0172.18.2.254
VLAN23无线Wifigi1/0/15-18172.18.3.0172.18.3.254
VLAN24视频会议VoIPgi1/0/19-20172.18.4.0172.18.4.254
VLAN25监控Monitorgi/1/0/21172.18.5.0172.18.5.254
VLAN26门禁考勤Checkgi/1/0/22-23172.18.6.0172.18.6.254
VLAN30互联网Wangi/1/0/24172.20.1.0172.20.1.254

        ① 各部门VLAN:一个对于安全比较严格的企业,各部门之间应该是要禁止互相访问的,禁止互相共享文件夹,所有的文件交流都是通过服务器来完成。

        ② 各应用VLAN:所有部门都会用到服务器与打印机,但只有行政部可以管理视频会议、监控和门禁考勤。

        ③ 无线VLAN:可以利用无线AP设备将访问分为内部访问和访客访问,内部访问需要通过验证,然后可以访问服务器和打印机,访客访问只能上网,并有流量限制。

        ④ 其它部门VLAN:部门之间不能互相访问,都可以访问服务器和打印机。

  访问设置

       根据访问需求,我们来设置第一个行政部访问控制。

        ① 配置行政部访问控制:

        (1) configure terminal命令进入全局配置模式。

        (2) access-list命令设置访问列表,后面跟着列表号,不要直接用VLAN号,后面会搞混来,这里用VLAN号加1进行区分。

        (3) deny表示禁止通过,permit表示允许通过。

        (4) IP地址后面的掩码与常用子网掩码不同,称为反掩码,反掩码=255.255.255.255-子网掩码

        (5) permit ip any any命令表示允许任意访问。因为前面命令已经将各VLAN之间的是否互访定义完成,如果不加这段命令,VLAN的DHCP功能将失效,并且也不能上网。

        (6) interface vlan命令进入VLAN设置。

        (7) ip access-group in命令在VLAN接口入方向上应用ACL。

        ② 配置财务部访问控制,因为VACL不区分inbound和outbound,前面已经配置了行政部与财务部的访部规则,所以这里不用再次定义。

        ③ 经过测试,财务部可以访问服务器,不能访问无线,同样无线也不能访问财务部。定义的规则有效。

  查看、取消访问控制

        当对访问控制有疑问或需要取消时,就要用到下面操作了。

        ① show access-list命令可以查看访问控制列表。

        ② no ip access-group in命令取消VLAN接口的ACL应用。

        ③ no access-list命令删除指定的访问控制列表。

飞塔老梅子
关注
  • 8
    点赞
  • 32
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
配置流策略实现不同网段间限制互访
qq_20751851的博客
04-18 376
三层交换机QoS配置,限制不同网段通信
vlan 间策略配置禁止互访
_Dong的博客
11-13 4897
实验目的: 实现vlan 10 和vlan 20无法互通,vlan 10 和vlan 30之间访问正常. # vlan batch 10 20 30 acl number 3000 rule 5 deny ip source 10.0.0.0 0.0.0.255 destination 20.0.0.0 0.0.0.255 traffic classifier c0 operator and if-match acl 3000 traffic behavior b0 deny traffic.
基于VLAN的ACL
潇峰的博客
07-11 2018
此时 :traffic-filter vlan 10 inbound acl 3000 配置失效 vlan10 和vlan 30 可以相互访问
华为ensp---ACL实验2---三层交换机限制VLAN互访
qq_33754943的博客
03-23 1万+
场景:三层交换机,多个VLAN 需求:ACL限制VLAN间的互访 VLANVLANIF配置省略 PC3可以PING通PC4 [Huawei]traffic classifier tc1 [Huawei-classifier-tc1]if-match acl 3000 [Huawei-classifier-tc1]q [Huawei]traffic behavior tb1 [Huawei-behavior-tb1]deny [Huawei-behavior-tb1]q [Huawei]traffic
h3C交换机禁止VLAN互访方法
qq_23930765的博客
10-21 8373
1.2 配置需求公司将交换机做为核心交换机,现在在核心交换机上划分2个VLAN网段,VLAN 10和VLAN 20。PC1属于VLAN 10,PC2属于VLAN20,要求VLAN 10和VLAN 20之间不能互相访问。2 组网图配置步骤 3 配置步骤3.1接口配置及vlan划分system-view //进入系统视图System View: return to User View with Ctrl+Z.[H3C]vlan 10 //创建vlan 10[H3C]quit //退出当
R&S,数通HCIP|ACL实现Vlan访问控制实验
朔方鸟的博客
01-15 2883
​使用了DHCP-VLAN间通信-OSPF综合实验的拓扑,尽可能使用多种ACL实现只允许Vlan10访问Vlan40。
vlan间互访
m0_64563100的博客
02-04 1219
super-VLAN不能包含物理接口,sub-vlan不能建立三层VLAN接口,配置了super vlan交换机与上行交换机互通时不能配置trunk口放行super vlan,因此不要将super VLAN设置在allow-pass列表中。用多个VLAN(称为Sub-VLAN)隔离广播域,并将这些Sub-VLAN聚合成一个逻辑的VLAN(称为Super-VLAN)三种类型的VLAN。主VLAN(Subordinate VLAN)、隔离性VLAN(Separate VLAN)、互通性VLANVLAN
如何禁止VLAN互相访问
supersyd的专栏
11-05 1万+
VLAN之间的ACL配置   步骤一:创建vlan10、vlan20、vlan30   S5750#conf                                               ----进入全局配置模式   S5750(config)#vlan 10                                          ----创建VLAN10  
通过acl限制vlan间通信
吴业亮的专栏
12-26 8782
作者:【吴业亮】云计算开发工程师 博客:http://blog.csdn.net/wylfengyujiancheng 拓扑: 目标: 1、pc1和pc2互信通信 2、pc2和pc3互信通信 3、pc1和pc3无法通信创建aclacl 3000 rule 1 deny ip source 172.16.10.0 0.0.0.255 destination 172.16.30.0 0.0
华为S5720交换机通过ACL限制VLAN之间访问
热门推荐
womendouhenqiang的博客
05-23 5万+
华为S5720上实际配置过 不过iP是10.0.151.0 0.0.0.255不能访问其他vlan通过traffic-filter调用<Huawei>sys[Huawei]acl 3000               //创建高级ACL(3000~3999)[Huawei-acl-adv-3000][Huawei-acl-adv-3000]rule permit ip source19...
思科三层交换机实现不同VLAN互相访问配置.pdf
11-09
3. 配置 VLAN之间的路由:思科三层交换机的路由模块和交换模块直接通过思科交换机的背板总线连接,因此只需要在三层交换机的路由模块上定义与VLAN数量相当的逻辑接口,并和VLAN对应,然后为这些接口分配IP地址即可。...
2.2.2-跨交换机VLAN.zip
最新发布
06-18
然而,当需要在多个交换机之间通信时,我们就需要了解如何实现跨交换机VLAN配置。以下是对"2.2.2-跨交换机VLAN"这一主题的详细解析。 1. VLAN基本概念: VLAN是将一个物理网络分割成多个逻辑网络,每个逻辑...
实验报告11-三层交换机实现不同vlan间通信-白露露(常用版).doc
12-01
实验中使用了三层交换机 SwitchA、一台二层交换机 SwitchB 和四台 PC,通过配置 vlan 和路由实现不同 vlan 之间的通信。 知识点一:三层交换机的路由功能 * 三层交换机可以和二层交换机一样,具备二层设备的交换...
c3750-ipbasek9-mz.150-2.SE11.bin
08-18
标题 "c3750-ipbasek9-mz.150-2.SE11.bin" 指向的是Cisco Catalyst 3750系列交换机的固件更新文件,这是Cisco网络设备操作系统(IOS)的一个版本。这个特定的文件是用于安装或升级设备的软件映像,它包含了运行...
Cisco交换技术:二层交换机的远程管理之VLAN和SVI区别
10-01
主要为大家介绍了二层交换机VLAN和SVI区别,SVI的实质是一个接口,只是是软件虚拟的,不是物理的,它和VLAN是对应的,一个VLAN可以对应一个逻辑的VLAN接口,也就是这里的SVI,但他们是不同的对象
cisco交换网络VACL隔离技术
yangzhong881的专栏
03-03 978
近期遇到客户需求,需要将三层交换机里的各VLAN进行隔离,并要求特殊主机能够实现相应VLAN间互通。 为了达到功能要求,在网上找了很多博文都讲解得不完善,找了cisco官方配置文档讲解,对特殊需求的讲解也不完善,但是对策略的运行过程有了完整的理解,这里为了备忘,特别做一博文,希望能帮到同道中人。 一、配置概览 首先定义ACL,用于指定各vlan和设备间的访问规则。 定义vlan access-map,用于指定满足ACL后的动作是转发还是丢弃。 最后将VLAN access-map应用于VLAN,实
思科VLAN下调用ACL怎么使用IN和OUT
qq_24328629的博客
07-23 3711
思科VLAN下调用ACL情况下IN和OUT的问题
acl访问控制列表
g564231的博客
08-28 2259
文章目录一.acl技术二.设置简单的acl命令标准访问控制列表三.总结 一.acl技术        ACL——访问控制列表 作用:读取三层、四层头部信息,根据预先定义好的规则对流量进行筛选、过滤。 三层头部信息 四层头部信息 源、目IP 源、目端口号TCP/UDP协议 访问控制列表的调用的方向: 入 出 流量将要进入本地路由器,将被本地路由器处理 已经被本地路由器处理过了,流量将离开本地路由器 策
线性表的创建,创建的线性表位字符数组 string arrayA = {"a","b","c","d"}c#
09-25
要创建线性表,可以使用字符数组来表示。在C#中,可以使用以下语句创建一个字符数组的线性表: string[] arrayA = {"a", "b", "c", "d"}; 这将创建一个包含四个元素的字符数组,每个元素分别是字符串"a"、"b"、"c"和"d"。这个字符数组可以被视为一个线性表,顺序存储了这些字符串元素。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

飞塔老梅子

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值