HCIP-1.9 1000人规模网络设计-访问控制配置
网络拓扑和实验要求详见 《HCIP-1.1 1000人规模网络设计-网络拓扑及要求》
财务服务器只允许vlan40的终端访问
SW1配置命令:
# 创建ACL
[SW1]acl 3000
[SW1-acl-adv-3000]rule permit ip source 192.168.40.0 0.0.0.255 destination 192.168.200.202 0
[SW1-acl-adv-3000]rule deny ip sou any des 192.168.200.202 0
[SW1-acl-adv-3000]qu
# 接口调用
[SW1]traffic-filter vlan 200 outbound acl 3000
此时只有vlan40的PC可以ping通财务服务器,其他vlan的PC不通,如图1

禁止vlan20访问外网
R1配置命令:
[R1]acl 3001
[R1-acl-adv-3001]rule deny ip sou 192.168.20.0 0.0.0.255
[R1-acl-adv-3001]rule permit ip
[R1-acl-adv-3001]qu
# 调用acl
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]traffic-filter inbound acl 3001
[R1-GigabitEthernet0/0/0]
注意:不要在R1的出接口做ACL,因为有NAT,报文发出时先做NAT然后才匹配ACL。
如图2,vlan20的PC无法访问外网9.9.9.9

发表评论