比如說先的場景:
Vlan 1: 10.99.11.0/255.255.255.0
Vlan 99: 10.99.99.0/255.255.255.0
需求是 讓 vlan 99的使用者不能通路 vlan1中的某一個IP :
以前用了下面所有的代碼:
=========================================
ip access-list extended Deny-Wireless-Guest
5 permit tcp any any eq domain
10 permit udp any any eq domain
15 deny ip 10.99.99.0 0.0.0.255 10.99.10.0 0.0.0.255
18 deny ip 10.99.99.0 0.0.0.255 10.99.11.0 0.0.0.255
20 permit IP any any
no deny ip 10.99.99.0 0.0.0.255 10.99.11.0 0.0.0.255
18 deny ip 10.99.99.0 0.0.0.255 host 10.99.11.11
下面代碼無效的,因為不用應用到要被禁止的vlan上:
interface vlan 10
no ip access-group Deny-Wireless-Guest in
interface vlan 11
ip access-group Deny-Wireless-Guest in
sw01:
interface range gi 0/25 - 28
ip access-group Deny-Wireless-Guest in
sw02:
其實真正的是:
interface vlan 99
也就是說要在源的那個vlan上設定通路控制清單,這個和router上設定不太一樣的
如果要放置到目的端的話本case中的vlan10中的話,要源和目的是反過來寫的;因為實體接口上的進方向也就是vlan10的出方向。
最終總結:
交換機的通路控制清單最好是放置在源的vlan上。
vlan 99就是源的資料包被deny掉到vlan10的就可以了
本文轉自 zhangfang526 51CTO部落格,原文連結:http://blog.51cto.com/zhangfang526/1839890