ip acc ext XXX
deny ip 销售部ip 财务部ip
deny ip 市场部ip 财务部ip
permit ip any any
int vlan 财务部号
ip access-group XXX in
ps:
十分抱歉没有看完你上面说的一大段文字,但是对你所说的意思有大体的了解了。
下面是解决办法:
对于你这种要求其他2个vlan不能访问财务部,但财务部可访问其他vlan。
解决办法就是用自反acl
最后给你的配置:
ip access-list extended XXX
permit tcp 192.168.3.0 0.0.0.255 any reflect TCPTRAFFIC
permit udp 192.168.3.0 0.0.0.255 any reflect UDPTRAFFIC
permit icmp 192.168.3.0 0.0.0.255 any reflect ICMPTRAFFIC
ip access-list extended YYY
evaluate TCPTRAFFIC
evaluate UDPTRAFFIC
evaluate ICMPTRAFFIC
int vlan 30
ip access-group YYY in
ip access-group XXX out
以上配置会只允许vlan30访问其他vlan,而不允许其他vlan访问vlan30。
注意:以上配置未测试。实验环境的话你可以试试,但实际操作的话三思而后行。 (这些命令在大多数模拟器不能配置,需在真实设备上配置)
你到底是用“单臂路由”还是“三层交换”实现VLAN间通信???
如果是单臂,则在子接口下应用ACL,
如果是三层交换,则在虚接口下应用ACL
您建个 route-map
router-map 名 deny 1行号
match ip address 表号
router-map 名 deny 2行号
access-list 表号 销售和市场部ip
楼上说了用扩展ACL,你如果没学,就算了。
内容全部来源于网络收集,如有侵权,请联系网站删除:QQ:24596024