交換機配置vlan 通路控制清單

比如說先的場景：

Vlan 1： 10.99.11.0/255.255.255.0

Vlan 99: 10.99.99.0/255.255.255.0

需求是 讓 vlan 99的使用者不能通路 vlan1中的某一個IP ：

以前用了下面所有的代碼：

=========================================

ip access-list extended Deny-Wireless-Guest

   5 permit tcp any any eq domain

    10 permit udp any any eq domain

    15 deny ip 10.99.99.0 0.0.0.255 10.99.10.0 0.0.0.255

    18 deny ip 10.99.99.0 0.0.0.255 10.99.11.0 0.0.0.255

    20 permit IP any any 

   no deny ip 10.99.99.0 0.0.0.255 10.99.11.0 0.0.0.255

    18 deny ip 10.99.99.0 0.0.0.255 host 10.99.11.11

下面代碼無效的，因為不用應用到要被禁止的vlan上：

interface vlan 10

no ip access-group Deny-Wireless-Guest in 

interface vlan 11

ip access-group Deny-Wireless-Guest in

sw01:

interface range gi 0/25 - 28 

ip access-group Deny-Wireless-Guest in 

sw02:

其實真正的是：

interface vlan 99

也就是說要在源的那個vlan上設定通路控制清單，這個和router上設定不太一樣的

如果要放置到目的端的話本case中的vlan10中的話，要源和目的是反過來寫的；因為實體接口上的進方向也就是vlan10的出方向。

最終總結：

交換機的通路控制清單最好是放置在源的vlan上。

vlan 99就是源的資料包被deny掉到vlan10的就可以了

本文轉自 zhangfang526 51CTO部落格，原文連結:http://blog.51cto.com/zhangfang526/1839890