1樓:匿名使用者
是格式不對,100號的訪問列表是擴充套件訪問列表,要有源地址及目的地址.你上面只有源地址.你如果只要限制源ip,應該使用基本訪問列表,你可以將100給成90(小於100的整數).
2樓:匿名使用者
反子網掩碼錯誤,應為0.0.0.255
誰能介紹cisco三層交換機中的訪問控制列表的配置命令
3樓:匿名使用者
access-list 100 deny ip 192.168.13.
0 0.0.0.
255 192.168.14.
0 0.0.0.
255access-list 100 deny icmp 192.168.13.
0 0.0.0.
255 192.168.15.
0 0.0.0.
255access-list 100 permit ip any any
inte***ce vlan13
ip address 192.168.13.1 255.255.255.0
ip access-group 100 out
以上配置是禁止192.168.13.
0網段訪問192.168.14.
0網段,禁止192.168.13.
0網段ping192.168.15.
0網段,其它網段之間可以互訪。
你可以參照一下
在思科三層交換機上怎麼用訪問控制列表限制一個vlan訪問另一個vlan?
4樓:匿名使用者
操作如下:
訪問控制要求vlan10和 vlan20之間不能訪問,但都能訪問vlan30
通過vlan之間的acl方式實現:
1、配置vlan。
switch(config)# vlan 10 // 建立vlan 10
switch(config-vlan)# vlan 20
switch(config-vlan)# vlan 30
switch(config-vlan)# int vlan 10
switch(config-if)# ip address 192.168.10.1 255.255.255.0 // 配置vlan10虛埠ip
switch(config-if)# int vlan 20
switch(config-if)# ip address 192.168.20.1 255.255.255.0
switch(config-if)# int vlan 30
switch(config-if)# ip address 192.168.30.1 255.255.255.0
2、配置acl 。
switch(config)# access-list 101 permit ip 192.168.10.0
switch(config)# access-list 102 permit ip 192.168.20.0
3、應用acl至vlan埠。
switch(config)# int vlan 10
switch(config-if)# ip access-group 101 in
switch(config)# int vlan 20
switch(config-if)# ip access-group 102 in
vlan(virtual local area ***work)的中文名為"虛擬區域網"。虛擬區域網(vlan)是一組邏輯上的裝置和使用者,這些裝置和使用者並不受物理位置的限制,可以根據功能、部門及應用等因素將它們組織起來,相互之間的通訊就好像它們在同一個網段中一樣,由此得名虛擬區域網。vlan是一種比較新的技術,工作在osi參考模型的第2層和第3層,一個vlan就是一個廣播域,vlan之間的通訊是通過第3層的路由器來完成的。
5樓:匿名使用者
我們假設個環境3個vlan:vlan10 vlan20 和vlan30 vlan蓄力埠ip分別為192.168.
10.1/24,192.168.
20.1/24,和192。168.
30.1/24.
訪問控制要求vlan10和 vlan20之間不能訪問,但都能訪問vlan30
通過vlan之間的acl方式實現
******** 配置vlan ********
switch(config)# vlan 10 // 建立vlan 10
switch(config-vlan)# vlan 20
switch(config-vlan)# vlan 30
switch(config-vlan)# int vlan 10
switch(config-if)# ip address 192.168.10.1 255.255.255.0 // 配置vlan10虛埠ip
switch(config-if)# int vlan 20
switch(config-if)# ip address 192.168.20.1 255.255.255.0
switch(config-if)# int vlan 30
switch(config-if)# ip address 192.168.30.1 255.255.255.0
******** 配置acl ********
switch(config)# access-list 101 permit ip 192.168.10.
0 0.0.0.
255 192.168.30.
0 0.0.0.
255switch(config)# access-list 102 permit ip 192.168.20.
0 0.0.0.
255 192.168.30.
0 0.0.0.
255******** 應用acl至vlan埠 ********
switch(config)# int vlan 10
switch(config-if)# ip access-group 101 in
switch(config)# int vlan 20
switch(config-if)# ip access-group 102 in
******** 完畢 ********
(二) 通過vacl方式實現
******** 配置vlan ********
(同上)
******** 配置acl ********
switch(config)# access-list 101 permit ip 192.168.10.
0 0.0.0.
255 192.168.30.
0 0.0.0.
255switch(config)# access-list 101 permit ip 192.168.30.
0 0.0.0.
255 192.168.10.
0 0.0.0.
255(不同之處:因為vacl對資料流沒有inbound和outbound之分,所以要把允許通過某vlan的ip資料流都permit才行。vlan10允許與vlan30通訊,而資料流又是雙向的,所以要在acl中增加vlan30的網段)
switch(config)# access-list 102 permit ip 192.168.20.
0 0.0.0.
255 192.168.30.
0 0.0.0.
255switch(config)# access-list 102 permit ip 192.168.30.
0 0.0.0.
255 192.168.20.
0 0.0.0.
255******** 配置vacl ********
第一步:配置vlan access map
switch(config)# vlan access-map test1 //定義一個vlan access map,取名為test1
switch(config-vlan-access)# match ip address 101 // 設定匹配規則為acl 101
switch(config-vlan-access)# action forward // 匹配後,設定資料流**(forward)
switch(config)# vlan access-map test2 //定義一個vlan access map,取名為test2
switch(config-vlan-access)# match ip address 102 // 設定匹配規則為acl 102
switch(config-vlan-access)# action forward // 匹配後,設定資料流**(forward)
第二步:應用vacl
switch(config)# vlan filter test1 vlan-list 10 //將上面配置的test1應用到vlan10中
switch(config)# vlan filter test2 vlan-list 20 //將上面配置的test1應用到vlan20中
******** 完畢 ********
三層交換機配置疑問。這些埠:135、139、554、593等,為什麼被訪問控制列表禁用?
6樓:匿名使用者
135,139,445埠是區域網內部網路共享的埠,往往被區域網木馬及病毒利用造成區域網流量大增而危害區域網安全,因此在區域網內一般都將其封掉。其他埠也有相應的功能,具體你可以查一下它的功能。
用思科的三層交換機怎麼配置acl,使vlan之間能訪問
7樓:ls追風
三層只要開啟了虛擬藉口 不用設定acl 就可以互訪的。
方法是 在3層上建立vlan 然後把藉口分配給vlan 然後在交換機上 給各個vlan 的閘道器配置上就可以了 即 int vlan x
ip address xx.xx.xx.xx 子網掩碼
8樓:匿名使用者
不用配置acl就可以利用三層交換機實現vlan間通訊,換句話說,vlan間通訊跟acl無關
在三層交換機上配置acl跟在路由器上配置acl的方法是一樣的,只是應用的時候路由器是在埠應用,而三層交換機是在vlan上應用
9樓:匿名使用者
你的問題很籠統,如果是標準訪問控制列表的話,可以用access-list 1 pertmit any,是允許所有通訊流量通過
10樓:匿名使用者
不用配置acl就可以訪問呀……
配置思科三層交換機,訪問控制列表的時候,下面八句話是什麼意思啊?謝謝
11樓:匿名使用者
先解釋103.
第一句和第三句分別允許[任何人向dhcp客戶端通訊]和[從dhcp客戶端向任何人通訊]。
dhcp客戶端一般就是自動獲取地址的主機。
這兩個允許就允許了自動獲取地址的過程。
eq bootpc就是埠 68.是udp協議。
#103是訪問控制列表的編號
#permit是允許,也可以是deny
#udp指的是udp協議,還可以寫tcp,ip(這是思科特殊的地方,儘管ip跟tcp,udp不是一個層次的)。
#any指的是任何地址,也可以寫具體地址。前一個any是源後一個是目的地址。
#eq代表埠號,eq bootpc = eq 68兩者都可以寫。在配置裡面不管怎麼寫顯示前者。
#預設最後一個隱藏的語句access-list 103 deny ip any any就是說除以上允許外其他全部拒絕(訪問控制列表是一條一條從上往下匹配的)
第二句和第四句分別允許[任何人向tftp客戶端/伺服器通訊]和反過來。
因為tftp客戶和伺服器端都用一個69埠。也是udp協議
104.類似。
103和104是兩個獨立的訪問控制列表。看誰呼叫了。
配置思科三層交換機,訪問控制列表的時候,下面八句話是什麼意思
135,139,445埠是區域網內部網路共享的埠,往往被區域網木馬及病毒利用造成區域網流量大增而危害區域網安全,因此在區域網內一般都將其封掉。其他埠也有相應的功能,具體你可以查一下它的功能。三層交換機能配置標準訪問控制列表嗎 是格式不對,100號的訪問列表是擴充套件訪問列表,要有源地址及目的地址.你...
關於思科三層交換機,思科三層交換機配置命令
假設vlan12 網段 192.168.12.0 16 access list 101 permit ip 192.168.12.0 0.0 host 192.168.16.105 access list 101 permit ip 192.168.12.0 0.0 host 192.168.16....
三層交換機配置步驟,華為3層交換機的配置步驟
三層交換機配置copy步驟分bai為5個步驟,如下 1 為du三層交換機劃分管理vlan,並描述,zhi如圖,劃分了vlan 10,並描述為dao管理vlan。2 將vlan 10管理vlan配置成交換機的管理地址。3 開啟遠端登入連線。4 劃分業務vlan,併為其配置業務閘道器。5 在指定埠加入所...