acl配置问题(锐捷三层交换机)
在交换机上配置ACL,允许VLAN40的计算机在工作日早晨8点到下午18点访问计算机D 的FTP服务,允许PING服务,拒绝等其他服务。
老师给出的问题,我用的锐捷rg-s3760-24三层交换机,希望具体配置方法说一下,要本型号的,谢谢了
最佳答案
步骤一:创建vlan10、vlan20、vlan30
S5750#conf ----进入全局配置模式
S5750(config)#vlan 10 ----创建VLAN10 S5750(config-vlan)#exit ----退出VLAN配置模式
S5750(config)#vlan 20 ----创建VLAN20
S5750(config-vlan)#exit ----退出VLAN配置模式
S5750(config)#vlan 30 ----创建VLAN30
S5750(config-vlan)#exit ----退出VLAN配置模式
步骤二:将端口加入各自vlan
S5750(config)# interface range gigabitEthernet 0/1-5
----进入gigabitEthernet 0/1-5号端口
S5750(config-if-range)#switchport access vlan 10
----将端口加划分进vlan10
S5750(config-if-range)#exit ----退出端口配置模式S5750(config)# interface range gigabitEthernet 0/6-10
----进入gigabitEthernet 0/6-10号端口
S5750(config-if-range)#switchport access vlan 20
----将端口加划分进vlan20
S5750(config-if-range)#exit ----退出端口配置模式S5750(config)# interface range gigabitEthernet 0/11-15
----进入gigabitEthernet 0/11-15号端口
S5750(config-if-range)#switchport access vlan 30
----将端口加划分进vlan30
S5750(config-if-range)#exit ----退出端口配置模式步骤三:配置vlan10、vlan20、vlan30的网关IP地址
S5750(config)#interface vlan 10 ----创建vlan10的SVI接口S5750(config-if)#ip address 192.168.10.1 255.255.255.0
----配置VLAN10的网关
S5750(config-if)#exit ----退出端口配置模式S5750(config)#interface vlan 20 ----创建vlan10的SVI接口S5750(config-if)#ip address 192.168.20.1 255.255.255.0
----配置VLAN10的网关
S5750(config-if)#exit ----退出端口配置模式
S5750(config)#interface vlan 30 ----创建vlan10的SVI接口
S5750(config-if)#ip address 192.168.30.1 255.255.255.0
----配置VLAN10的网关
S5750(config-if)#exit ----退出端口配置模式步骤四:创建ACL,使vlan20能访问vlan10,而vlan30不能访问vlan10
S5750(config)#ip access-list extended deny30 ----定义扩展ACL
S5750(config-ext-nacl)#deny ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255
----拒绝vlan30的用户访问vlan10资源
S5750(config-ext-nacl)#permit ip any any
----允许vlan30的用户访问其他任何资源
S5750(config-ext-nacl)#exit ----退出扩展ACL配置模式步骤五:将ACL应用到vlan30的SVI口in方向
S5750(config)#interface vlan 30 ----创建vlan30的SVI接口
S5750(config-if)#ip access-group deny30 in
----将扩展ACL应用到vlan30的SVI接口下