继续上个礼拜的活计,
换了个ACL,貌似好点了
ip access-list extended guest
permit udp any any eq bootps
permit udp any any eq bootpc
permit udp any any eq domain
deny ip 172.16.5.0 0.0.0.255 172.16.1.0 0.0.0.255
deny ip 172.16.5.0 0.0.0.255 172.16.2.0 0.0.0.255
deny ip 172.16.5.0 0.0.0.255 172.16.3.0 0.0.0.255
deny ip 172.16.5.0 0.0.0.255 172.16.4.0 0.0.0.255
deny ip 172.16.5.0 0.0.0.255 172.16.6.0 0.0.0.255
permit icmp any any
permit ip any any
permit udp any any eq bootps
permit udp any any eq bootpc
permit udp any any eq domain
deny ip 172.16.5.0 0.0.0.255 172.16.1.0 0.0.0.255
deny ip 172.16.5.0 0.0.0.255 172.16.2.0 0.0.0.255
deny ip 172.16.5.0 0.0.0.255 172.16.3.0 0.0.0.255
deny ip 172.16.5.0 0.0.0.255 172.16.4.0 0.0.0.255
deny ip 172.16.5.0 0.0.0.255 172.16.6.0 0.0.0.255
permit icmp any any
permit ip any any
这个就是麻烦在,如果有新的VLAN出来,你不得不去增加deny行进去
转载于:https://blog.51cto.com/mmcat/669053