如一楼所说,可以使用Vlan访问控制策略(Vlan-Filter)来实现Vlan间的访问控制。
而根据你的应用,因为限制的是双向的通信,例如Vlan3与Vlan8不能互访,所以单纯使用ACL就可以了,并且配置简单;
如果是单向的控制,例如Vlan3可访问Vlan8,而Vlan8不能访问Vlan3,此时就可以用到Vlan-Filter。
以下方法是单纯地利用ACL来实现VLAN间的访问控制,配置如下:
假设VLAN地址划分如下:
Vlan2:192.168.2.1/24
Vlan3:192.168.3.1/24
Vlan4:192.168.4.1/24
Vlan5:192.168.5.1/24
Vlan6:192.168.6.1/24
Vlan7:192.168.7.1/24
Vlan8:192.168.8.1/24
第一步:VLAN间路由
3560(config)#ip routing
//使得VLAN间互访,若不制定,就不能实现Vlan2与其他Vlan的互访
第二步:ACL制定
ip access-list standard V3 //制定ACL命名为"V3"
permit 192.168.2.0 0.0.0.255 //允许192.168.2.0/24网段,其他网段则默认禁止
ip access-list standard V4
permit 192.168.2.0 0.0.0.255
ip access-list standard V5
permit 192.168.2.0 0.0.0.255
ip access-list standard V6
permit 192.168.2.0 0.0.0.255
ip access-list standard V7
permit 192.168.2.0 0.0.0.255
ip access-list standard V8
permit 192.168.2.0 0.0.0.255
//V3、V4...V8策略分别要应用于Vlan3、Vlan4...Vlan8中,Vlan2的访问没有限制
//ACL策略一旦应用了,未注明的都是默认禁止的,所以这里只写出允许Vlan2的地址段,其他地址段的通信都是默认禁止的
第三步:ACL应用到Vlan中
interface Vlan2
ip address 192.168.2.1 255.255.255.0 //Vlan2没有ACL策略
!
interface Vlan3
ip address 192.168.3.1 255.255.255.0
ip access-group V3 out //将访问控制列表“V3”应用到Vlan3中,针对的是来自Vlan3以外的通信,所以选择“out”
!
interface Vlan4
ip address 192.168.4.1 255.255.255.0
ip access-group V4 out
!
interface Vlan5
ip address 192.168.5.1 255.255.255.0
ip access-group V5 out
!
interface Vlan6
ip address 192.168.6.1 255.255.255.0
ip access-group V6 out
!
interface Vlan7
ip address 192.168.7.1 255.255.255.0
ip access-group V7 out
!
interface Vlan8
ip address 192.168.8.1 255.255.255.0
ip access-group V8 out
内容全部来源于网络收集,如有侵权,请联系网站删除:QQ:24596024