使用三层交换机的ACL实现不同vlan间的隔离
 
建立三个vlan vlan10 vlan20 vlan30    www.2cto.com  
PC1 PC3属于vlan10 PC2 PC4属于vlan20   PC5属于vlan30
Vlan10 vlan20 vlan30不能互访 但是能上外网
Pc1 :172.16.10.2    pc2: 172.16.20.2 pc3:172.16.10.3    pc4:172.16.20.3 pc5: 172.16.30.2
 
 
配置R1
Int f0/0
Ip add 192.168.1.2 255.255.255.0 配置f0/0
No sh
Int lo0
Ip add 1.1.1.1 255.255.255.0      配置环回地址 以测试各vlan与外网的连通性
No sh
配置静态路由 到三层交换机各vlan的路由
# ip route 172.16.10.0 255.255.255.0 192.168.1.1 
# ip route 172.16.20.0 255.255.255.0 192.168.1.1
# ip route 172.16.30.0 255.255.255.0 192.168.1.1
 
配置 SW1
#conf t
#ip routing                     启用三层路由功能
#int f0/0
#no switch
#ip add 192.168.1.1 255.255.255.0
#no sh
#
#ip route 0.0.0.0 0.0.0.0 192.168.1.2 添加到外部网络的默认路由
#
#vlan data
#vlan 10 name caiwu             建立vlan
#vlan 20 name it
#vlan 30 name manager
#vtp server                     建立vtp server模式
#vtp domain cisco
#
#int range f0/1 – 2              封装trunk接口
#sw mode trunk
#sw trunk en dot1q
#
#int f0/3                     添加接口到vlan 30
#sw mode access
#sw access vlan 30
#
#int vlan10                        给各vlan设置地址 也是各个子网段的网关
ip address 172.16.10.1 255.255.255.0
# interface Vlan20
 ip address 172.16.20.1 255.255.255.0
# interface Vlan30
 ip address 172.16.30.1 255.255.255.0
#
# access-list 100 deny   ip 172.16.10.0 0.0.0.255 172.16.20.0 0.0.0.255   建立100 101列表
access-list 100 deny   ip 172.16.10.0 0.0.0.255 172.16.30.0 0.0.0.255
access-list 100 permit ip any any
access-list 101 deny   ip 172.16.20.0 0.0.0.255 172.16.10.0 0.0.0.255
access-list 101 deny   ip 172.16.20.0 0.0.0.255 172.16.30.0 0.0.0.255
access-list 101 permit ip any any
access-list 102 deny ip 172.16.30.0 0.0.0.255 172.16.10.0 0.0.0.255
access-list 102 deny ip 172.16.30.0 0.0.0.255 172.16.30.0 0.0.0.255
access-list 102 permit ip any any
 
 注:在vlan间的acl中当源地址段为应用 vlan接口的ip段时,就是用in方向;当目的地址段为应用vlan接口的ip段时,就是用out方向          举例说明
Host 1.1.1.1     vlan10(1.1.1.2)SW vlan20(2.2.2.2)     host 2.2.2.1
禁止host 1.1.1.1访问2.2.2.1
方法 一
Access-list 100 deny ip host 1.1.1.1 host 2.2.2.1
Access-list 100 permit ip any any
Int vlan 10
Ip access-list 100 in
方法 二
Access-list 100 deny ip host 1.1.1.1 host 2.2.2.1
Access-list 100 permit ip any any
Int vlan 20
Ip access-list 100 out
 
 
#int vlan 10                将访问控制列表加载到各个vlan
#ip access-group 100 in
#int vlan 20
#ip access-group 101 in
#int vlan 30
Ip access-group 102 in 
配置 SW2
#int f0/0
#sw m trunk
#sw t en dot1q
#
#vlan data
#vtp client
#vtp domain cisco
#
#int f0/1
#sw m acce
#sw access vlan 10
#int f0/2
#sw m acce
#sw access vlan 20
#
 
SW3 同上
 

使用三层交换机的ACL实现不同vlan间的隔离的更多相关文章

  1. 华为S5700系列交换机配置通过流策略实现VLAN间三层隔离

    组网图形 图1 配置通过流策略实现VLAN间三层隔离组网图 组网需求 如图一所示,为了通信的安全性,某公司将访客.员工.服务器分别划分到VLAN10.VLAN20.VLAN30中.公司希望: 员工.服 ...

  2. S5700上三层Vlan间隔离的例子

    转自:https://forum.huawei.com/enterprise/zh/forum.php?mod=viewthread&tid=247591 公司最近的无线覆盖做好了,但让人无语 ...

  3. 基于三层交换机和基于路由子接口的vlan间路由

    1:通过三层交换机实现vlan间的通信:为三层交换机创建vlan,设置交换机的两个SVI,并配置IP地址. (在二层交换机上只能配置一个SVI端口,用来实现交换机交换机远程管理,在三层交换机上可以配置 ...

  4. 在ensp上利用三层交换机实现VLAN间路由

    我们在实际生活中经常要跨vlan进行通信,我们的解决办法有单臂路由,但是单臂路由存在很大的局限性,带宽,转发效率等,所以单臂路由用的就有点少,所以就有了本章节 三层交换机在原有的二层交换机的基础上,增 ...

  5. VLAN实验5(在ensp上利用三层交换机实现VLAN间路由)

    原理概述: VLAN将一个物理的LAN在逻辑上划分成多个广播域.VLAN内的主机间可以直接通信,而VLAN间不能直接互通. 在现实网络中,经常会遇到需耍跨VLAN相互访问的情况,工程师通常会选择一些方 ...

  6. eNSP仿真软件之利用三层交换机实现VLAN间路由

    1.实验原理: VLAN将一个物理的LAN在逻辑上划分成多个广播域.VLAN内的主机间可以直接通信,而VLAN间不能直接互通. 在现实网络中,经常会遇到需要跨VLAN相互访问的情况,工程师通常会选择一 ...

  7. VLAN实验5:利用三层交换机实现VLAN间路由

    实验环境: 实验拓扑图:   实验编址: 实验步骤:1.基本配置按照实验编址表在PC上进行基本的IP地址配置,三层交换机上先不做任何配置. 测试PC1与PC2的连通性 正常 测试PC1与PC3的连通性 ...

  8. 通过三层交换机实现不同VLAN间的通信

    主机的IP地址以及子网掩码已列出,下面将讲解如何配置利用三层交换机来实现不同VLAN间的相互通信 SW1的命令: en  //进入特权模式 conf  t   //全局模式 vlan 10    // ...

  9. eNSP——利用三层交换机实现VLAN间路由

    原理: VLAN将一个物理的LAN在逻辑上划分成多个广播域.VLAN内的主机间可以直接通信,而VLAN间不能直接互通. 在现实网络中,经常会遇到需要跨VLAN相互访问的情况,工程师通常会选择一些方法来 ...

随机推荐

  1. UVA - 12627 Erratic Expansion 奇怪的气球膨胀 (分治)

    紫书例题p245 Piotr found a magical box in heaven. Its magic power is that if you place any red balloon i ...

  2. 之前采用的是Helper类的方法重构时改用了扩展方法

    在手机端输入网址不方全,通常会将网址做成一个二维码,然后用手机扫一下就可以打开预览.我们每改一下样式,就在手机上点一下刷新或电脑上按一下F5,这在最初的时候,也不觉得有什么问题,因为拿到我手上的静态页 ...

  3. iOS8之后CoreLocation定位的使用

    在Info.plist文件中添加如下配置: //始终允许访问位置信息 (1)NSLocationAlwaysUsageDescription //使用应用程序期间允许访问位置数据 (2)NSLocat ...

  4. 分布式配置管理平台 - Disconf介绍

    原博客地址:http://blog.csdn.net/zhu_tianwei/article/details/47984545 Disconf专注于各种分布式系统配置管理的通用组件/通用平台,提供统一 ...

  5. 转:如何查看linux版本 如何查看LINUX是多少位

    原文来自于:http://blog.csdn.net/hongweigg/article/details/7192471 一.如何得知自己正在使用的linux是什么版本呢,下面的几种方法将给你带来答案 ...

  6. stringstream复用【原创】

    stringstream ss("123"); int i=0; ss>>i;   ss.str("");        ----清空内容 ss.c ...

  7. JS基于时间戳写的浏览访问人数

    Title:JS基于时间戳写的浏览访问人数  --2013-12-23 14:07 <script language="JavaScript"> var timesta ...

  8. Period

    uvalive3026:https://icpcarchive.ecs.baylor.edu/index.php?option=com_onlinejudge&Itemid=8&pag ...

  9. 驱动里执行应用层代码之KeUserModeCallBack(WOW64是由三个动态库wow64.dll wow64win.dll wow64cpu.dll来实现)

    在驱动层(ring0)里执行应用层(ring3)代码,这是个老生常谈的技术,而且方法也挺多. 这种技术的本质:其实就是想方设法在驱动层里把应用层代码弄到应用层去执行. 比如在APC异步调用中,KeIn ...

  10. Ubuntu14.04 安装QQ国际版wine-qqintl

    Ubuntu14.04安装qq国际版方式: 首先下载,链接为:  https://pan.baidu.com/s/1boPitVD 密码:jp1j 也可去Ubuntu中文的Kylin(优麒麟)官网下载 ...