思科三层交换机ACL配置-

思科三层交换机acl配置问题~

你好！

需要配置自反ACL

我已经做过实验了。如下命令可行：

ip access-list extended finance_in
permit ip 192.168.40.0 0.0.0.255 host 192.168.10.2
permit ip 192.168.40.0 0.0.0.255 host 192.168.20.2
permit ip 192.168.40.0 0.0.0.255 any reflect f_permit
ip access-list extended finance_out
permit ip host 192.168.10.2 192.168.40.0 0.0.0.255
permit ip host 192.168.20.2 192.168.40.0 0.0.0.255
evaluate f_permit
exit
int vlan 40
ip access-group finance_in in
ip access-group finance_out out

实现你如上所有效果，另外财务部可以访问任意网段，但是任意网段不可能访问财务部，除了主机192.168.10.2 和192.168.20.2可访问财务部。

在3560上开启ip routing
设置vlan 1 2 3 的接口IP并且no shutdown就行了
哦 还有 trunk口别忘了配置

int vlan 2
ip add 192.168.0.1 255.255.255.0

int vlan 3
ip add 192.168.3.1 255.255.255.0

int vlan 4
ip add 192.168.4.1 255.255.255.0

int vlan 5
ip add 192.168.5.1 255.255.255.0

access-list 1 permit ip 192.168.3.188 0.0.0.0 192.168.0.6 0.0.0.0

int vlan 1
ip access-group 1 out

这样就192.168.3.188就可以访问192.168.0.6了但是其他的就不能访问了

int vlan 2(f0/1-f0/5)
ip add 192.168.2.1 255.255.255.0

int vlan 3(f0/6-f0/10)
ip add 192.168.3.1 255.255.255.0

int vlan 4(f0/11-f0/15)
ip add 192.168.4.1 255.255.255.0

int vlan 5(f0/16)
ip add 192.168.5.1 255.255.255.0
access-list 101 deny ip any 192.168.4.0 0.0.0.255
int vlan 4
ip access-group 101 out
access-list 102 permit ip 192.168.4.0 0.0.0.255 192.168.2.0 0.0.0.255

int vlan 2
ip access-group 102 out
access-list 103 permit ip 192.168.4.0 0.0.0.255 192.168.3.0 0.0.0.255
int vlan 3
ip access-group 103 out

三层交换机ACL配置:VLAN100 :192.168.1.0/24,现在如何配置ACL?

答：可以实现。 在交换机连接服务器端口 出 的方向， 通过比较数据包的源地址，规定如果在你要拒绝的范围内 192.168.1.0/24 网段 则拒绝，否则放行。如果不支持扩展acl的话， 可能要写好几条。 汽车上，提供思路。

思科 设置交换机禁止VLAN50通过,怎么配置?

答：设置ACL访问控制列表。你的要求不够具体，如果是阻止VLAN50的流量到任意地方的话，那就在VLAN50的三层接口上设置一个 标准的acl就行了， deny any any

思科3560三层交换机配置ACL之后无法应用到接口上是什么情况呢?请各位...

答：二层接口是不能应用三层ACL的，必须将其变为三层接口才行。

三层交换机配置ACL

答：你说的主机B不能访问交换机是什么意思?!是不是不让B telnet交换机?!如果是则:access-list 101 deny tcp host 192.168.20.5 host 192.168.20.1 eq 23 access-list 101 permit ip any any 然后把ACL应用在fa0/2上:int fa0/2 ip access-group 101 in ...

设置S3760三层交换机ACL,禁止PC1机器ftp服务器Server1,但允许PC1上网...

答：如果按照你的要求的话，那就简单点写！可是你也要告诉我IP吧！！access-list 101 deny tcp host PC机IP host 服务器IP eq ftp access-list 101 permit ip any any 然后把它们应用到出口！ip access-group 101 out 你那具体环境我不是很清楚，如果你还有问题，百度HI给我留言！

求教呀!三层交换机H3C S5500连接二层交换机H3C S3100,做ACL

答：S3100也划分10个vlan，端口分别加入了不同vlan中，S3100下面连接PC （是否也需要配vlan ip ？）都可以，可以配置一个vlan1的ip地址做为S31的管理地址。S31和S55直接连接的端口需要做trunk接口，两边接口都使用这个命令 port link-type trunk port trunk permit vlan all 交换机到路由器的路由怎样配 ...

H3C三层交换机配置ACL:

答：ACL可以这样写：acl number 3000 rule 5 permit ip source 192.168.33.0 0.0.0.255 destination 192.168.142.106 0 rule 10 deny ip source 192.168.33.0 0.0.0.255 destination 192.168.142.0 0.0.0.255 rule 15 permit ip 然后在vlan下启用ACL：interface vlan 33（192.168.33....

公司3层交换机有4个VLAN,现在想让其中一个VLAN能访问网路,另外几个VLAN...

答：1.这首先你需要有公网的地址池。2.用需要访问网络的VLAN做一个标准ACL。3.用这个ACL做NAT，映射到公网的地址池中。4.定义端口的NAT位置。举个例子：如公司有211.1.1.0/28的公网地址块，需要上网的VLAN的地址块是192.168.0.0/24，那么可以在三层交换机上这样配置：conf t ip nat pool NAT ...

交换机acl配置必须在核心吗

答：不一定，在三层网络架构，acl一般配置在汇聚层，而非核心层，核心层更多是进行高速转发业务。

H3Cs5500三层交换机配置基于端口的acl问题,急急急!!!

答：添加一个acl acl 3001 rule 0 permit tcp destination server1-ip destination-port eq 3000 rule 1 permit tcp destination server2-ip destination-port eq 3001 rule 2 deny tcp 注：tcp或者udp,以服务器上端口为准，检查命令：netstat 进入G0/0接口 packet-filter 3001 inbound ...