Мне нужно настроить список контроля доступа на коммутаторах уровня 3 для некоторых школ:

Теперь ПК из одного класса могут получить доступ к ПК из другого класса.

Как я могу настроить, чтобы они могли иметь доступ только к своей собственной VLAN, которая является классной комнатой, и при этом иметь возможность доступа к VLAN 10, в которой расположены AD и файловый сервер.

например:

VLAN 10: 10.1.0.0 255.255.255.128 VLAN11: 10.1.1.0 255.255.255.224 VLAN12 10.1.1.32 255.255.255.224 29

так что я хочу, чтобы VLAN 11 и 12 не могли общаться друг с другом, но все еще могли общаться с VLAN 10

! но я не хочу явно отрицать VLAN 11 и 12, потому что они похожи на 20+ vlans в некоторых школах.

Есть ли короткий путь для этого?

Спасибо

|источник

1 ответ1

0

Предполагая, что коммутатор в контексте является коммутатором Cisco, сделайте следующее:

  1. Создать acl:

    access-list 101 allow ip любой 10.0.1.0 0.0.0.127

  2. примените acl ко всем интерфейсам vlan, которым нужен доступ только к vlan 10:

    IP-группа доступа 101 выход

Пример: для примера сценария, который вы упомянули:

cisco(config)#access-list 101 permit ip any 10.0.1.0 0.0.0.127
cisco(config)#interface vlan 11
cisco(config-if)#ip access-group out
cisco(config-if)#exit
cisco(config)#interface vlan 12
cisco(config-if)#ip access-group out
cisco(config-if)#exit

Готово.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .