我需要为某些学校的三层交换机配置访问控制列表:
现在,一个教室的 PC 可以访问另一个教室的 PC。
我该如何配置,使他们只能访问自己的 VLAN(即教室),并且仍然能够访问 AD 和文件服务器所在的 VLAN 10。
例如:
VLAN 10:10.1.0.0 255.255.255.128 VLAN11:10.1.1.0 255.255.255.224 VLAN12 10.1.1.32 255.255.255.224 29
所以我想要的是 VLAN 11 和 VLAN 12 不能相互通信但仍然可以与 VLAN 10 通信
!但我不想明确拒绝 VLAN 11 和 12,因为在某些学校它们就像 20 多个 VLAN。
有没有类似的捷径?
谢谢
答案1
假设上下文中的交换机是 Cisco 交换机,请执行以下操作:
创建acl:
访问列表 101 允许 ip 任何 10.0.1.0 0.0.0.127
在仅需要访问 vlan 10 的所有 vlan 接口上应用 acl:
ip 访问组 101 出
示例:对于您提到的示例场景:
cisco(config)#access-list 101 permit ip any 10.0.1.0 0.0.0.127
cisco(config)#interface vlan 11
cisco(config-if)#ip access-group out
cisco(config-if)#exit
cisco(config)#interface vlan 12
cisco(config-if)#ip access-group out
cisco(config-if)#exit
完毕。