racl針對路由介面的控制通訊流量的安全策略。
在交換機中,使用者可以在任何路由介面中應用racl,如:svi(交換虛擬介面vlan埠)或者交換機3層埠
第一步:建立vlan
switch(config)#vlan 10,20
switch(config-vlan)#exit
第二步:把介面劃分至相應的vlan
switch(config)#inte***ce eth0/0
switch(config-if)#switchport mode access
switch(config-if)#switchport access vlan 10
switch(config-if)#exit
switch(config)#inte***ce eth0/1
switch(config-if)#switchport mode access
switch(config-if)#switchport access vlan 20
switch(config-if)#exit
switch(config)#do show vlan //查詢vlan 概況
switch(config)#inte***ce vlan 10
switch(config-if)#ip address 192.168.10.254 255.255.255.0
switch(config-if)#no shutdown
switch(config-if)#exit
switch(config)#inte***ce vlan 20
switch(config-if)#ip address 192.168.20.254 255.255.255.0
switch(config-if)#no shutdown
switch(config)#do show ip inte***ce brief //查詢介面概況
vpcs> set pcname vpc1
vpc1> ip 192.168.10.1/24 192.168.10.254
vpcs> set pcname vpc2
vpc2> ip 192.168.20.1/24 192.168.20.254
測試如下:
vpc1去ping vpc2的時候是通的
第五步:現在給它加racl
switch(config)#ip access-list extended racl
switch(config-ext-nacl)#deny ip host 192.168.10.1 host 192.168.20.1
switch(config-ext-nacl)#permit ip any any
switch(config-ext-nacl)#exit
switch(config)#inte***ce vlan 10
switch(config-if)#ip access-group racl in //在虛擬介面svi中呼叫racl
switch(config-if)#exit
現在再來測試一下讓pc1去ping pc2是不通的
主機不可達 3 13 communication administratively prohibited by filtering——由於過濾,通訊被強制禁止
ping閘道器的ip位址是通的,因為acl裡面只是拒絕了去往192.168.20.1的位址
switch(config)#do show ip access-lists //檢視一下access-lists是不是匹配到流量了
思科交換機配置試題 思科交換機配置命令
思科交換機配置命令 簡寫命令 完整命令 使用者模式 使用者模式 switch switch 特權模式 特權模式 switch en switch enable switch switch 全域性配置模式 全域性配置模式 switch conf t switch config terminal swi...
思科交換機基本配置
全雙工和半雙工的區別 100m全雙工 就是傳送資料和接收資料同時進行,同時達到100mbps 也就是200m頻寬 100m半雙工 就是發的資料的時候不能接收,接收收的時候不能傳送 也就是100m頻寬 switch configure terminal 進入配置狀態 switch inte ce in...
思科 交換機ACL
交換機acl只能繫結在vlan上,且只能繫結在有建立vlan網管位址的交換機上,繫結在分支交換機上無效。一定要最後一句加permit access list 1 deny 10.0 1.0 0.0.0 255 1 99基本 access list 1 permit any access list 1...