vlan 问题，请大大帮忙，谢谢-CCNA求助答疑 - Powered by Discuz! Archiver

鸿鹄论坛 › CCNA求助答疑 › vlan 问题，请大大帮忙，谢谢

lwk 发表于 2016-6-17 09:49:14

vlan 问题，请大大帮忙，谢谢

请问，三层交换vlan怎样配置acl？请大大帮忙
我有3个lan，vlan10,vlan20,vlan30
vlan10可以ping vlan20，vlan20可以ping vlan30，我不要vlan30 ping通 vlan10，要怎样配，才能这样接？

10908105 发表于 2016-6-17 09:49:15

本帖最后由 10908105 于 2016-6-17 10:00 编辑

比如，vlan10 IP段为192.168.1.0/24；vlan20为 192.168.2.0
ACL
ip access-list ex v10tov20
per icmp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
deny ip any any

inter vlan 10
ip access-group v10tov20 in

lwk 发表于 2016-6-17 10:19:41

ping不通
大大怎么办？

lwk 发表于 2016-6-17 10:20:45

cisco3560 ，同一架switch，是ping不通的吗？

菁菁草 发表于 2016-6-17 10:55:58

本帖最后由菁菁草于 2016-6-17 10:59 编辑

如果你是两台交换机呢，你可以把vlan10和30的PVI接口分别定义在两个交换机上，而vlan20的PVI接口在两个交换机上都设置一下。如果是一个交换机，可以在vlan的虚拟接口下挂列表

exia_weiyi 发表于 2016-6-17 11:04:58

同一台三层交换机vlan间本身是通的。只需要在禁止的vlan下挂个ACL即可，你的需求是vlan30不允许访问vlan10，就配置一个acl禁止vlan30的网段访问vlan10的网段，允许其他的流量通行，然后在vlan30接口的in方向调用即可

lwk 发表于 2016-6-17 11:19:55

我的vlan10通不了vlan20，怎么办？我解决不了，是不是要设置trunk?我不会，请大大帮忙

10908105 发表于 2016-6-17 11:31:46

lwk 发表于 2016-6-17 11:19
我的vlan10通不了vlan20，怎么办？我解决不了，是不是要设置trunk?我不会，请大大帮忙

第一步：建vlan
vlan 10
vlan 20
vlan 30
第二步：创建SVI接口
inter vlan 10
ip add 192.168.1.1 255.255.255.0
no shut
inter vlan 20
ip add 192.168.2.1 255.255.255.0
no shut
inter vlan 30
ip add 192.168.3.1 255.255.255.0
no shut

第三步：划接口到对应vlan
inter fa0/1
sw mo acc
sw acc vlan 10
no shut
inter fa0/2
sw m acc
sw acc vlan 20
no shut
inter fa0/3
sw mo acc
sw acc vlan 30
no shut
第四步：接PC并配置IP地址
fa0/1的PC配置IP为192.168.1.x网关：192.168.1.1
fa0/2IP:2.x网关：2.1
fa0/3IP:3.x网关：3.1

先做通了，再搞ACL吧。。。。。。

无洺发表于 2016-6-17 11:35:55

lwk 发表于 2016-6-17 11:19
我的vlan10通不了vlan20，怎么办？我解决不了，是不是要设置trunk?我不会，请大大帮忙

假设vlan10:192.168.10.0 /24;vlan20:192.168.20.0/24;vlan30:192.168.30.0/24
定义扩展acl
ip access-list extended 100
deny ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255
permit ip any any
int vlan 10
ip access-group 100 in

shenxian 发表于 2016-6-17 11:57:27

vlan30 ping 不通 vlan10,但vlan10可以ping通vlan30
deny icmp 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255 echo
permit ip any any
interface vlan 30
ip access-group 100 in
或者
interface vlan 10
ip access-group 100 out

vlan30 ping 不通 vlan10,但vlan30可以ping通sw svi30, vlan10也可以ping通vlan30
deny icmp 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255 echo-reply
permit ip any any
interface vlan 10
ip access-group 100 in
或者
interface vlan 30
ip access-group 100 out

vlan30 ping 不通 vlan10,vlan10也ping通vlan30
deny icmp 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255 echo
deny icmp 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255 echo-reply
permit ip any any
interface vlan 30
ip access-group 100 in
或者
interface vlan 10
ip access-group 100 out

vlan30 ping 不通 vlan10,vlan10也ping通vlan30
deny icmp 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255 echo-reply
deny icmp 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255 echo
permit ip any any
interface vlan 10
ip access-group 100 in
或者
interface vlan 30
ip access-group 100 out

lwk 发表于 2016-6-17 13:44:33

感谢各位大大

页: [1]

查看完整版本: vlan 问题，请大大帮忙，谢谢