网络拓扑和实验要求详见 《HCIP-1.1 1000人规模网络设计-网络拓扑及要求》
财务服务器只允许vlan40的终端访问
# 创建ACL
[SW1]acl 3000
[SW1-acl-adv-3000]rule permit ip source 192.168.40.0 0.0.0.255 destination 192.168.200.202 0
[SW1-acl-adv-3000]rule deny ip sou any des 192.168.200.202 0
[SW1-acl-adv-3000]qu
# 接口调用
[SW1]traffic-filter vlan 200 outbound acl 3000
此时只有vlan40的PC可以ping通财务服务器,其他vlan的PC不通,如图1
禁止vlan20访问外网
R1配置命令:
[R1]acl 3001
[R1-acl-adv-3001]rule deny ip sou 192.168.20.0 0.0.0.255
[R1-acl-adv-3001]rule permit ip
[R1-acl-adv-3001]qu
# 调用acl
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]traffic-filter inbound acl 3001
[R1-GigabitEthernet0/0/0]
注意:不要在R1的出接口做ACL,因为有NAT,报文发出时先做NAT然后才匹配ACL。
如图2,vlan20的PC无法访问外网9.9.9.9
声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。
评论(0)