如下是我爬文看到的設定方式(範例是interface vlan 10要能訪問vlan 30)
http://checker.blog.51cto.com/65045/21795
如果步驟二,我想改成只允許192.168.10.21~192.168.10.30這一範圍可以訪問vlan 30
如果按照如下設定,好像也不行(因為IP的範圍會落在192.168.10.17~192.168.10.30)
access-list 101 permit ip 192.168.10.21 0.0.0.15 192.168.30.0 0.0.0.255
access-list 101 permit ip 192.168.30.0 0.0.0.255 192.168.10.21 0.0.0.15
所以請教各位有經驗前輩,我可以如何設定呢?
步驟一
******** 配置VLAN ********
Switch(config)# vlan 10 // 創建vlan 10
Switch(config-vlan)# vlan 20
Switch(config-vlan)# vlan 30
Switch(config-vlan)# int vlan 10
Switch(config-if)# ip address 192.168.10.1 255.255.255.0 // 配置vlan10虛埠IP
Switch(config-if)# int vlan 20
Switch(config-if)# ip address 192.168.20.1 255.255.255.0
Switch(config-if)# int vlan 30
Switch(config-if)# ip address 192.168.30.1 255.255.255.0
步驟二
******** 配置ACL ********
Switch(config)# access-list 101 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255
Switch(config)# access-list 101 permit ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255
(不同之處:因為VACL對資料流程沒有inbound和outbound之分,所以要把允許通過某vlan的IP資料流程都permit才行。VLAN10允許與VLAN30通訊,而資料流程又是雙向的,所以要在ACL中增加VLAN30的網段)
Switch(config)# access-list 102 permit ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255
Switch(config)# access-list 102 permit ip 192.168.30.0 0.0.0.255 192.168.20.0 0.0.0.255
步驟三
******** 配置VACL ********
第一步:配置vlan access map
Switch(config)# vlan access-map test1 //定義一個vlan access map,取名為test1
Switch(config-vlan-access)# match ip address 101 // 設置匹配規則為acl 101
Switch(config-vlan-access)# action forward // 匹配後,設置數據流轉發(forward)
Switch(config)# vlan access-map test2 //定義一個vlan access map,取名為test2
Switch(config-vlan-access)# match ip address 102 // 設置匹配規則為acl 102
Switch(config-vlan-access)# action forward // 匹配後,設置數據流轉發(forward)
第二步:應用VACL
Switch(config)# vlan filter test1 vlan-list 10 //將上面配置的test1應用到vlan10中
Switch(config)# vlan filter test2 vlan-list 20 //將上面配置的test1應用到vlan20中
http://checker.blog.51cto.com/65045/21795
如果步驟二,我想改成只允許192.168.10.21~192.168.10.30這一範圍可以訪問vlan 30
如果按照如下設定,好像也不行(因為IP的範圍會落在192.168.10.17~192.168.10.30)
access-list 101 permit ip 192.168.10.21 0.0.0.15 192.168.30.0 0.0.0.255
access-list 101 permit ip 192.168.30.0 0.0.0.255 192.168.10.21 0.0.0.15
所以請教各位有經驗前輩,我可以如何設定呢?
步驟一
******** 配置VLAN ********
Switch(config)# vlan 10 // 創建vlan 10
Switch(config-vlan)# vlan 20
Switch(config-vlan)# vlan 30
Switch(config-vlan)# int vlan 10
Switch(config-if)# ip address 192.168.10.1 255.255.255.0 // 配置vlan10虛埠IP
Switch(config-if)# int vlan 20
Switch(config-if)# ip address 192.168.20.1 255.255.255.0
Switch(config-if)# int vlan 30
Switch(config-if)# ip address 192.168.30.1 255.255.255.0
步驟二
******** 配置ACL ********
Switch(config)# access-list 101 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255
Switch(config)# access-list 101 permit ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255
(不同之處:因為VACL對資料流程沒有inbound和outbound之分,所以要把允許通過某vlan的IP資料流程都permit才行。VLAN10允許與VLAN30通訊,而資料流程又是雙向的,所以要在ACL中增加VLAN30的網段)
Switch(config)# access-list 102 permit ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255
Switch(config)# access-list 102 permit ip 192.168.30.0 0.0.0.255 192.168.20.0 0.0.0.255
步驟三
******** 配置VACL ********
第一步:配置vlan access map
Switch(config)# vlan access-map test1 //定義一個vlan access map,取名為test1
Switch(config-vlan-access)# match ip address 101 // 設置匹配規則為acl 101
Switch(config-vlan-access)# action forward // 匹配後,設置數據流轉發(forward)
Switch(config)# vlan access-map test2 //定義一個vlan access map,取名為test2
Switch(config-vlan-access)# match ip address 102 // 設置匹配規則為acl 102
Switch(config-vlan-access)# action forward // 匹配後,設置數據流轉發(forward)
第二步:應用VACL
Switch(config)# vlan filter test1 vlan-list 10 //將上面配置的test1應用到vlan10中
Switch(config)# vlan filter test2 vlan-list 20 //將上面配置的test1應用到vlan20中