计算机网络路由器ACL配置
该如何配置使各VLAN之间不能互相访问,并且vlan不能与服务器和pc6访问,但是pc6可以访问服务器和vlan。我配置了很久,如果vlan内的主机不能访问pc6,pc6也不能访问vlan。有没有办法使pc6能访问vlan,但是vlan不能访问pc6。
这个问题可以用扩展ACL完成。
假如vlan 10的IP地址为:192.168.10.0/24;
vlan 20的IP地址为:192.168.20.0/24;
vlan 30的IP地址为:192.168.30.0/24;
PC6的IP地址为6.6.6.6/24;
Server0的学地址为1.1.1.1/24;
定义扩展ACL:
access 100 permit ip host 6.6.6.6 any //让PC6访问vlan
access 100 permit ip host 1.1.1.1 any //让server访问vlan,题目没说,此行也可省略
//最后默认拒绝其余所有流量
然后将ACL 100分别应用在R0内网接口的每个子接口上,直接应用在物理接口上是没有用的。这样就可实现Vlan间不能互相访问,但PC6(和Server)可以访问VLAN了。
再定义一个扩展ACL:
access 111 deny ip 192.168.10.0 0.0.0.255 any //vlan不能访问外网
/*******
这里的any也可写成host 6.6.6.6、host 1.1.1.1,分两行写,你懂的。
写成host形式,vlan只是不能访问PC和Server,其他的还是可以访问的。
********/
access 111 deny ip 192.168.20.0 0.0.0.255 any
access 111 deny ip 192.168.30.0 0.0.0.255 any
access 111 permit ip any any
然后将ACL 111应用在R0的Wan接口就行了。
关于PC6和Server之间通信,没有说,可以什么都不配置。
假如vlan 10的IP地址为:192.168.10.0/24;
vlan 20的IP地址为:192.168.20.0/24;
vlan 30的IP地址为:192.168.30.0/24;
PC6的IP地址为6.6.6.6/24;
Server0的学地址为1.1.1.1/24;
定义扩展ACL:
access 100 permit ip host 6.6.6.6 any //让PC6访问vlan
access 100 permit ip host 1.1.1.1 any //让server访问vlan,题目没说,此行也可省略
//最后默认拒绝其余所有流量
然后将ACL 100分别应用在R0内网接口的每个子接口上,直接应用在物理接口上是没有用的。这样就可实现Vlan间不能互相访问,但PC6(和Server)可以访问VLAN了。
再定义一个扩展ACL:
access 111 deny ip 192.168.10.0 0.0.0.255 any //vlan不能访问外网
/*******
这里的any也可写成host 6.6.6.6、host 1.1.1.1,分两行写,你懂的。
写成host形式,vlan只是不能访问PC和Server,其他的还是可以访问的。
********/
access 111 deny ip 192.168.20.0 0.0.0.255 any
access 111 deny ip 192.168.30.0 0.0.0.255 any
access 111 permit ip any any
然后将ACL 111应用在R0的Wan接口就行了。
关于PC6和Server之间通信,没有说,可以什么都不配置。
温馨提示:内容为网友见解,仅供参考
第1个回答 2014-05-29
直接PC6上用VPN连接呗~要用VLAN的时候电脑VPN拨号~~
相似回答
