需求:组网和vlan分配如图所示,要求vlan 10、20、30均可以访问server 1(VLAN100),但是只有vlan 10和vlan 20可以访问server 2(VLAN200),同时vlan 10、20、30之间不能互访。 -
1.创建(进入)vlan10 -
-
[SwitchA] vlan 10 -
[SwitchA]port e 4/0/1 -
-
2.创建(进入)vlan10的虚接口 -
-
[SwitchA] interface Vlan-interface 10 -
-
3.给vlan20的虚接口配置IP地址 -
-
[SwitchA-Vlan-interface10]ip address 10.10.1.1 255.255.0.0 -
-
4.创建(进入)vlan20 -
-
[SwitchA] vlan 20 -
[SwitchA]port e 4/0/2 -
-
5.创建(进入)vlan20的虚接口 -
-
[SwitchA] interface Vlan-interface 20 -
-
6.给vlan20的虚接口配置IP地址 -
-
[SwitchA-Vlan-interface20]ip address 10.20.1.1 255.255.0.0 -
-
7.创建(进入)vlan30 -
-
[SwitchA] vlan 30 -
[SwitchA]port e 4/0/3 -
-
8.创建(进入)vlan30的虚接口 -
-
[SwitchA] interface Vlan-interface 30 -
-
9.给vlan30的虚接口配置IP地址 -
-
[SwitchA-Vlan-interface30]ip address 10.30.1.1 255.255.0.0 -
-
10.创建(进入)vlan100 -
-
[SwitchA] vlan 100 -
[SwitchA]port e 4/0/4 -
-
11.创建(进入)vlan100的虚接口 -
-
[SwitchA] interface Vlan-interface 100 -
-
12.给vlan100的虚接口配置IP地址 -
-
[SwitchA-Vlan-interface100]ip address 10.100.1.1 255.255.0.0 -
-
13.创建(进入)vlan200 -
-
[SwitchA] vlan 200 -
[SwithcA]port e 4/0/5 -
-
14.创建(进入)vlan200的虚接口 -
-
[SwitchA] interface Vlan-interface 200 -
-
15.给vlan200的虚接口配置IP地址 -
-
[SwitchA-Vlan-interface200]ip address 10.200.1.1 255.255.0.0 -
-
-
-
访问控制配置 -
-
-
-
1.配置ACL -
-
[SwitchA] acl num 3000 -
-
2.配置acl访问控制列表禁止网段10.10.0.0访问网段10.20.0.0 -
-
[SwitchA-acl-adv-3000]rule 0 deny ip source 10.10.1.1 0.0.255.255 destination 10.20.1.1 0.0.255.255 -
-
3.配置acl访问控制列表禁止网段10.10.0.0访问网段10.30.0.0 -
-
[SwitchA-acl-adv-3000]rule 1 deny ip source 10.10.1.1 0.0.255.255 destination 10.30.1.1 0.0.255.255 -
-
4.配置acl访问控制列表禁止网段10.20.0.0访问网段10.10.0.0 -
-
[SwitchA-acl-adv-3000]rule 2 deny ip source 10.20.1.1 0.0.255.255 destination 10.10.1.1 0.0.255.255 -
-
5.配置acl访问控制列表禁止网段10.20.0.0访问网段10.30.0.0 -
-
[SwitchA-acl-adv-3000]rule 3 deny ip source 10.20.1.1 0.0.255.255 destination 10.30.1.1 0.0.255.255 -
-
6.配置acl访问控制列表禁止网段10.30.0.0访问网段10.10.0.0 -
-
[SwitchA-acl-adv-3000]rule 4 deny ip source 10.30.1.1 0.0.255.255 destination 10.10.1.1 0.0.255.255 -
-
7.配置acl访问控制列表禁止网段10.30.0.0访问网段10.20.0.0 -
-
[SwitchA-acl-adv-3000]rule 5 deny ip source 10.30.1.1 0.0.255.255 destination 10.20.
1.1 0.0.255.255 -
-
8.配置acl访问控制列表禁止网段10.30.0.0访问网段10.200.0.0 -
-
[SwitchA-acl-adv-3000]rule 6 deny ip source 10.30.1.1 0.0.255.255 destination 10.200.1.1 0.0.255.255 -
-
进入端口视图 -
-
[SwitchA]int e4/0/1 -
-
9.下发访问控制列表 -
-
[SwitchA]packet-filter inbound ip 3000 -
-
[SwitchA]int e4/0/2 -
-
10.下发访问控制列表 -
-
[SwitchA]packet-filter inbound ip 3000 -
[SwitchA]int e4/0/3 -
-
11.下发访问控制列表 -
-
[SwitchA]packet-filter inbound ip 3000 -
[SwitchA]int e4/0/4 -
-
12.下发访问控制列表 -
-
[SwitchA]packet-filter inbound ip 3000 -
[SwitchA]int e4/0/5 -
-
13.下发访问控制列表 -
-
[SwitchA]packet-filter inbound ip 3000