測(cè)試一下Vlan的訪問(wèn)控制: 起三個(gè)VLan：Server,vlan3,vlan4,要求vlan 3,vlan 4不能互訪但均可以訪問(wèn)server 測(cè)試設(shè)備3550一臺(tái)PC3臺(tái)。 為測(cè)試方便先配置一下DHCP: Switch#conf t
Enter configuration commands, one per line.? End with CNTL/Z.
Switch(config)#no ip do lo
Switch(config)#line 0
Switch(config-line)#logg syn
Switch(config-line)#exec-t 0
Switch(config-line)#end Switch(config)#hostname DIS01
DIS01(config)#ip ro
DIS01(config)#ip routin
DIS01(config)#ip routing
DIS01(config)#ip cef
DIS01(config)#ip cef 配置vlan與SVI接口地址 DIS01(config)#vlan 2
DIS01(config-vlan)#name server
DIS01(config-vlan)#vlan 3
DIS01(config-vlan)#name vlan3
DIS01(config-vlan)#vlan 4
DIS01(config-vlan)#name vlan4
DIS01(config-vlan)#int vlan 2
DIS01(config-if)#ip add 10.1.
*Mar? 1 00:06:12.195: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan2, changed state to down
DIS01(config-if)#ip add 10.1.2.254 255.255.255.0
DIS01(config-if)#no sh
DIS01(config-if)#no shutdown
DIS01(config-if)#int vlan 2
DIS01(config-if)#int vlan 3
DIS01(config-if)#ip add
*Mar? 1 00:06:25.651: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan3, changed state to down
DIS01(config-if)#ip add 10.1.3.254 255.255.255.0
DIS01(config-if)#no sh
DIS01(config-if)#no shutdown
DIS01(config-if)#int vlan 4???
DIS01(config-if)#ip add 10.1
*Mar? 1 00:06:42.151: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan4, changed state to down
DIS01(config-if)#ip add 10.1.4.254 255.255.255.0
DIS01(config-if)#no sh
DIS01(config-if)#no shutdown 配置vlan端口 DIS01(config-if)#exit
DIS01(config)#int range fa0/1 - 2
DIS01(config-if-range)#switchport mode access
DIS01(config-if-range)#switchport access vlan 2
DIS01(config)#int range fa0/3 - 4
DIS01(config-if-range)#sw mo ac?????
DIS01(config-if-range)#sw ac vl 3
DIS01(config-if-range)#exit
DIS01(config)#int range fa0/5 - 6
DIS01(config-if-range)#sw mo ac??
DIS01(config-if-range)#sw ac vl 4
DIS01(config-if-range)#end DIS01(config)#service dhcp //開(kāi)啟DHCP服務(wù) DIS01(config)#ip dhcp excluded-address 10.1.2.0 10.1.2.50 DIS01(config)#ip dhcp excluded-address 10.1.2.240 10.1.2.254
DIS01(config)#ip dhcp excluded-address 10.1.3.0 10.1.3.50???
DIS01(config)#ip dhcp excluded-address 10.1.3.240 10.1.3.254
DIS01(config)#ip dhcp excluded-address 10.1.4.0 10.1.4.50??
DIS01(config)#ip dhcp excluded-address 10.1.4.240 10.1.4.254 DIS01(config)#ip dhcp pool server
DIS01(dhcp-config)#network 10.1.2.0 255.255.255.0
DIS01(dhcp-config)#default-router 10.1.2.254
DIS01(dhcp-config)#exit
DIS01(config)#ip dhcp pool vlan3
DIS01(dhcp-config)#network 10.1.3.0 255.255.255.0
DIS01(dhcp-config)#default-router 10.1.3.254
DIS01(dhcp-config)#exit
DIS01(config)#ip dhcp pool vlan4
DIS01(dhcp-config)#default-router 10.1.4.254
DIS01(dhcp-config)#network 10.1.4.0 255.255.255.0
DIS01(dhcp-config)#end DIS01(config)#int rang fa0/1 - 10
DIS01(config-if-range)#spanning-tree portfast 測(cè)試vlan與DHCP配置,ping第一個(gè)地址 DIS01#ping 10.1.2.51 Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.2.51, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms
DIS01#ping 10.1.3.51 Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.3.51, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms 配置ACL,注意本vlan的也要寫(xiě)不然不能訪問(wèn),因最后一條是deny any any DIS01(config)#access-list 101 permit ip 10.1.3.0 0.0.0.255 10.1.2.0 0.0.0.255
DIS01(config)#access-list 101 permit ip 10.1.3.0 0.0.0.255 10.1.3.0 0.0.0.255
DIS01(config)#access-list 101 permit ip any host 1.1.1.1
DIS01(config)#access-list 102 permit ip 10.1.4.0 0.0.0.255 10.1.2.0 0.0.0.255
DIS01(config)#access-list 102 permit ip 10.1.4.0 0.0.0.255 10.1.4.0 0.0.0.255
DIS01(config)#access-list 102 permit ip any host 1.1.1.1
DIS01(config-if)#ip add 1.1.1.1 255.255.255.0 應(yīng)用ACL DIS01(config)#int vlan 3
DIS01(config-if)#ip access-group 101 in
DIS01(config)#int vlan 4
DIS01(config-if)#ip access-group 102 in
DIS01(config-if)#end 通過(guò)PC測(cè)試可以發(fā)現(xiàn)vlan3,vlan4的PC ping 10.1.2.51,10.1.254，可以ping通.但是不能互ping,或者ping對(duì)方網(wǎng)關(guān),顯示結(jié)果為目標(biāo)地址不可達(dá).任意可ping 1.1.1.1. 目標(biāo)完成.? 本來(lái)還想測(cè)試VACL的，正好交換機(jī)重啟了，本來(lái)是一臺(tái)拆下來(lái)送修的，啟動(dòng)一半還報(bào)錯(cuò)，說(shuō)IOS壓縮不正確，斷電重啟又好了.算了看看別人寫(xiě)的vACL好了 引用：http://hi.baidu.com/wekey1986/blog/item/63d5631f062c47cea68669ec.html Switch(config)# access-list 101 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255
Switch(config)# access-list 101 permit ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255
??? （不同之處：因?yàn)閂ACL對(duì)數(shù)據(jù)流沒(méi)有inbound和outbound之分，所以要把允許通過(guò)某vlan的IP數(shù)據(jù)流都permit才行。VLAN10允許與VLAN30通訊，而數(shù)據(jù)流又是雙向的，所以要在ACL中增加VLAN30的網(wǎng)段） Switch(config)# vlan access-map test1 //定義一個(gè)vlan access map，取名為test1
??? Switch(config-vlan-access)# match ip address 101 // 設(shè)置匹配規(guī)則為acl 101
??? Switch(config-vlan-access)# action forward // 匹配后，設(shè)置數(shù)據(jù)流轉(zhuǎn)發(fā)（forward）
??? Switch(config)# vlan access-map test2 //定義一個(gè)vlan access map，取名為test2
??? Switch(config-vlan-access)# match ip address 102 // 設(shè)置匹配規(guī)則為acl 102
??? Switch(config-vlan-access)# action forward // 匹配后，設(shè)置數(shù)據(jù)流轉(zhuǎn)發(fā)（forward） Switch(config)# vlan filter test1 vlan-list 10 //將上面配置的test1應(yīng)用到vlan10中
??? Switch(config)# vlan filter test2 vlan-list 20 //將上面配置的test1應(yīng)用到vlan20中 比ACL要多一步，而且命令了沒(méi)太一樣.

轉(zhuǎn)載于:https://blog.51cto.com/basil/186872

總結(jié)

以上是生活随笔為你收集整理的配置Vlan访问控制的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。