vlan map 配置

记录一下今天做VACL的实验过程 。

 现在手头上有几台C3560设备，终于有机会配配VACL了。

拓扑就一台交换机，连接三台PC。

pc1  192.168.1.1  ========  vlan 1  ip  192.168.1.100

pc2  192.168.2.1  ========  vlan 2  ip  192.168.2.100

pc3  192.168.3.1  -=======  vlan 3  ip  192.168.3.100

 

先作一些基本的配置

1. sw1: 
2. ip routig  
3.  
4. vlan 1  
5. vlan 2  
6. vlan 3  
7.  
8. interface vlan 1  
9. ip add 192.168.1.100 255.255.255.0  
10. exit 
11.  
12.  
13. interface vlan 2  
14. ip add 192.168.2.100 255.255.255.0  
15. no sh  
16. exit 
17.  
18. interface vlan 3  
19. ip address 192.168.3.100 255.255.255.0  
20. exit 
21.  
22.  
23. interface f0/1 
24. switchport mode access 
25. swtichport access vlan 1  
26. spanning portface 
27.  
28. interface f0/2  
29. switchport mode access  
30. switchport access vlan 2  
31. spannig portfast 
32.  
33. interface f0/3 
34. switchport mode access 
35. switchport access vlan 3  
36. spanning portfast  

 

这样基本是可以在PC间互相ping通了。

接着，配置VACL，禁止PC1访问PC3

 

1. ip access-list extended deny-pc1-to-pc3 
2. permit ip host 192.168.1.1 host 192.168.3.1  
3.  
4. vlan access-map vlan-map 10  
5. match ip address deny-pc1-to-pc3 
6. action drop 
7.  
8. vlan access-map vlan-map 20  
9. action forward  
10.  
11. vlan filter vlan-map vlan-list 1,2,3
12. 
     

这样就可以了

转载于:https://blog.51cto.com/yeelone/509674