cisco交換機的acl配置問題,求大神指點了

2021-05-25 10:46:56 字數 5484 閱讀 6017

1樓:匿名使用者

交換機的埠復都是二層埠,制只識別mac地址,而acl是基bai於ip地址du的,三層上面的,只zhi能繫結在svi介面上。dao

交換機上的acl的作用是對管理該裝置的主機進行限制,部署方式應該是這樣的:

int vlan 1

ip add 172.16.21.254 255.255.255.0no shut

ip access-group test1 in

cisco交換機acl配置方法

2樓:大力小白菜

cisco交換機acl配置方法如下:

標準訪問列表配置例項:

r1(config)#access-list 10 deny 192.168.2.0 0.0.0.255

r1(config)#access-list 10 permit any

r1(config)#int fa0/0.1

r1(config-subif)#ip access-group 10 out

標準訪問列表

訪問控制列表acl分很多種,不同場合應用不同種類的acl。其中最簡單的就是標準訪問控制列表,標準訪問控制列表是通過使用ip包中的源ip地址進行過濾,使用訪問控制列表號1到99來建立相應的acl。

它的具體格式:

access-list access-list-number [permit | deny ] [sourceaddress][wildcard-mask]

access-list-number 為1-99 或者 1300-1999之間的數字,這個是訪問列表號。

訪問控制列表簡稱為acl,訪問控制列表使用包過濾技術,在路由器上讀取第三層及第四層包頭中的資訊如源地址,目的地址,源埠,目的埠等,根據預先定義好的規則對包進行過濾,從而達到訪問控制的目的。該技術初期僅在路由器上支援,近些年來已經擴充套件到三層交換機,部分最新的二層交換機也開始提供acl的支援了。

3樓:餘沛江

router#conf t

router(config)#ip access-list extend v1

router(config-acl)#permit ip any host 192.167.0.2

router(config-acl)#permit ip any host 192.167.0.3

router(config-acl)#deny ip any any

router(config-acl)#ip access-list extend v3

router(config-acl)#permit ip host 192.167.0.2 192.168.1.0 0.0.0.255

router(config-acl)#permit ip host 192.167.0.2 192.168.1.0 0.0.0.255

router(config-acl)#deny ip any 192.168.1.0 0.0.0.255

router(config-acl)#permit ip any any

router(config-acl)#inte***ce vlan1

router(config-inf)#ip access-group v1 in

router(config-inf)#inte***ce vlan3

router(config-inf)#ip access-group v3 in

以上配置效果:vlan1只能訪問192.167.

0.2和.3這兩個地址,其他地址均無法訪問;vlan3能訪問除192.

168.1.0/24這個網段外所有地址(0.

2和0.3兩個地址可以訪問192.168.

1.0/24這個網段)。

如果要使vlan1能夠訪問其他地址v1就這樣定義:

router(config)#ip access-list extend v1

router(config-acl)#permit ip any host 192.167.0.2

router(config-acl)#permit ip any host 192.167.0.3

router(config-acl)#deny ip any 192.168.1.0 0.0.0.255

router(config-acl)#permit ip any any

4樓:匿名使用者

看來樓主是會跳思科的裝置的,具體配置我就不說了,我就跟你說下方法吧,vlan間的訪問你用普通acl的話只能同時拒絕掉一來一回的通訊,要想禁止單方面的訪問需要用到vacl,這個是思科私有的,專門問vlan間的訪問裝置的訪問控制列表,配置不懂得話,就上網搜下!

5樓:熱帶魚

ip access-list 101 permit ip 192.168.1.0 0.0.0.255 host 192.167.0.2

ip access-list 101 permit ip 192.168.1.0 0.0.0.255 host 192.167.0.3

ip access-list 101 deny any any給我分吧。。。。

我的很符合。。 嘿嘿

6樓:匿名使用者

ip access-list extended vlan_3deny ip 192.167.0.

0 0.0.0.

255 192.168.1.

0 0.0.0.

255permit ip 192.167.0.0 0.0.0.255 any

int vlan 3

ip access-group vlan_3 out

cisco交換機怎麼配置acl?????

7樓:匿名使用者

ip access-list extend inter-vlan-policy

deny ip source 192.168.2.

0 0.0.0.

255 192.168.3.

0 0.0.0.

255 // vlan 2、3間不能通訊

deny ip source 192.168.4.

0 0.0.0.

255 192.168.5.

0 0.0.0.

255 // vlan 4、5間不能通訊

permit ip any any //其他流量可以

互訪到vlan介面應用acl

inte***ce vlan 2

ip access-group inter-vlan-policy in

inte***ce vlan 3

ip access-group inter-vlan-policy in

inte***ce vlan 4

ip access-group inter-vlan-policy in

inte***ce vlan 5

ip access-group inter-vlan-policy in

cisco三層交換機配置acl問題。

8樓:

留下郵箱 給你發過去

配置好了

switch#show run

building configuration...

current configuration : 1398 bytes

!version 12.2

no service timestamps log datetime msec

no service timestamps debug datetime msec

no service password-encryption

!hostname switch!!

!!!!

!!!!

!!!!

!!!!

inte***ce fastether***0/1

switchport access vlan 10

!inte***ce fastether***0/2

switchport access vlan 20

!inte***ce fastether***0/3

switchport access vlan 20

!inte***ce fastether***0/4

!inte***ce fastether***0/5

!inte***ce fastether***0/6

!inte***ce fastether***0/7

!inte***ce fastether***0/8

!inte***ce fastether***0/9

!inte***ce fastether***0/10

!inte***ce fastether***0/11

!inte***ce fastether***0/12

!inte***ce fastether***0/13

!inte***ce fastether***0/14

!inte***ce fastether***0/15

!inte***ce fastether***0/16

!inte***ce fastether***0/17

!inte***ce fastether***0/18

!inte***ce fastether***0/19

!inte***ce fastether***0/20

!inte***ce fastether***0/21

!inte***ce fastether***0/22

!inte***ce fastether***0/23

!inte***ce fastether***0/24

!inte***ce gigabitether***0/1

!inte***ce gigabitether***0/2

!inte***ce vlan1

no ip address

shutdown

!inte***ce vlan10

ip address 192.168.10.1 255.255.255.0

ip access-group 100 in

!inte***ce vlan20

ip address 192.168.20.1 255.255.255.0

!ip classless!!

access-list 100 permit ip 192.168.10.

0 0.0.0.

255 host 192.168.20.

20 //訪問控制

access-list 100 deny ip 192.168.10.

0 0.0.0.

255 host 192.168.20.

10 //訪問控制!!

!!!line con 0

line vty 0 4

login!!

!end

關於cisco三層交換機ACL配置問題

deny 是拒絕通訊的ip,子網掩碼,permit是允許通訊的ip,ip,子網掩碼,在進 in 和出 out 方向,不允許255.255.255.0.0 255.255.224.0 255.255.254.0 三個子網內的主機對外通訊。access list in extended permit i...

cisco核心交換機如何配置,Cisco核心交換機如何配置

cisco核心交換機部分配置命令 全域性設定 config terminal 設定訪問使用者及密碼 username usernamepassword password 設定特權密碼 enable secret password 設定路由器名 hostname name 設定靜態路由 ip rout...

CISCO2950交換機配置IP地址

額,2950是二層交換,只能在vlan1配置ip為遠端tel 用,其他vlan和埠是不能配ip的,能配就是三層交換了,至於line vty 0 4這條命令應該是能用的,思科交換機2950ip 地址的配置是什麼?路由器怎麼配置ip地址 配置了 該款交換機是一款二層交換機,在思科的體系中,二層交換機只支...