一、功能需求
现在客户只有一台交换机的情况下需要对内网属于两个不同vlan的客户端之间的访问进行控制。
二、 组网信息:
如图所示,交换机下面分别接着属于不同vlan的客户端,pc1属于vlan1,pc2属于vlan2。现在要求pc1的电脑可以ping通pc2的电脑,但是pc2的电脑不可以ping通pc1;pc1的电脑可以使用tcp协议对pc2电脑进行访问,但是pc2 的电脑不可以使用tcp协议对pc1电脑的访问。
三、 组网需求:
1. acl控制列表的配置
1.1 配置acl3000的rule 0对icmp报文的控制。
rule 0 deny icmp source 2.2.2.0 0.0.0.255 destination 1.1.1.0 0.0.0.255 icmp-type echo //需要在vlan2的虚接口上面引用,对vlan2到vlan1的icmp请求报文进行控制。
1.2 配置acl3000的rule 1对tcp报文的控制。
rule 1 deny tcp source 2.2.2.0 0.0.0.255 destination 1.1.1.0 0.0.0.255 ack 0 //需要在vlan2的虚接口上面引用,对vlan2到vlan1的tcp报文进行控制。
2. acl3000在vlan虚接口下的配置
2.1 将acl3000引用到vlan虚接口
#
interface Vlan-interface2
ip address 2.2.2.1 255.255.255.0
packet-filter 3000 inbound //在vlan2的虚接口下面调用acl3000,inbound方向。
四、 配置要点
1. 配置要点
1.1 acl的rule的配置需要根据acl引用在哪个接口,以及在接口引用acl的方向来确定。
1.2 如上的需求,如果引用在vlan1接口的inbound方向的话,acl3000应该配置如下:
#
acl advanced 3000
rule 0 deny icmp source 1.1.1.0 0.0.0.255 destination 2.2.2.0 0.0.0.255 icmp-type echo-reply //针对pc1回应的icmp报文进行控制。
rule 1 deny tcp source 1.1.1.0 0.0.0.255 destination 2.2.2.0 0.0.0.255 ack 1 //与以上配置作为比较,这次拦截的方向不同,拦截的tcp的ack报文方向也不一样。
请立即点击咨询我们或拨打咨询热线: 17804441181,我们会详细为你一一解答你心中的疑难。项目经理在线