Tweet
Chào câc anh em ! (thực tình tôi mới làm quen SL3)
Tôi có sơ đồ mạng như sau
- Có 1 switch 3560G trên đó tôi chia thành 4 VLAN
- VLAN 10: 192.168.10.0/24
- VLAN 20: 192.168.20.0/24
- VLAN 30: 192.168.30.0/24
- VLAN 40: 192.168.40.0/24
Yêu cầu là:
+ Cho phép VLAN 10 truy cập các VLAN 20,30,40
+ Không cho các VLAN 20,30,40 truy cập VLAN 10
+ Cấm các VLAN không được truy cập lẫn nhau
(VLAN 20 không được vào VLAN 30,40,10
VLAN 30 không được vào VLAN 20,40
VLAN 40 không được vào VLAN 20,30
)
- Tôi đã cấu hình cho phép các VLAN định tuyến được với nhau rồi
- Tôi đã đặt ACL trên con 3560 nhưng chỉ giải quyết được vấn đề
là không cho các VLAN 20,30,40 truy cập nhau
-VLAN 10 muốn truy cập VLAN 20,30,40 thì các VLAN này vẫn truy cập được VLAN 10
Tôi gửi đoạn mã sau để anh em xem giúp nhé
Cam on anh em
---------------------------------------------------
// VLAN 10 truy cap tat ca cac VLAN khac
// cac VLAN chi truy cap VLAN 10 ma khong truy cap nhau
Building configuration...
Current configuration : 4094 bytes
!
version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname S3550
!
!
no aaa new-model
system mtu routing 1500
ip subnet-zero
ip routing
!
!
!
!
no file verify auto
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
interface GigabitEthernet0/1
switchport access vlan 10
switchport mode access
!
interface GigabitEthernet0/2
switchport access vlan 10
switchport mode access
!
interface GigabitEthernet0/3
switchport access vlan 10
switchport mode access
!
interface GigabitEthernet0/4
switchport access vlan 10
switchport mode access
!
interface GigabitEthernet0/5
switchport access vlan 10
switchport mode access
!
interface GigabitEthernet0/6
switchport access vlan 20
switchport mode access
!
interface GigabitEthernet0/7
switchport access vlan 20
switchport mode access
!
interface GigabitEthernet0/8
switchport access vlan 20
switchport mode access
!
interface GigabitEthernet0/9
switchport access vlan 20
switchport mode access
!
interface GigabitEthernet0/10
switchport access vlan 20
switchport mode access
!
interface GigabitEthernet0/11
switchport access vlan 30
switchport mode access
!
interface GigabitEthernet0/12
switchport access vlan 30
switchport mode access
!
interface GigabitEthernet0/13
switchport access vlan 30
switchport mode access
!
interface GigabitEthernet0/14
switchport access vlan 30
switchport mode access
!
interface GigabitEthernet0/15
switchport access vlan 30
switchport mode access
!
interface GigabitEthernet0/16
switchport access vlan 40
switchport mode access
!
interface GigabitEthernet0/17
switchport access vlan 40
switchport mode access
!
interface GigabitEthernet0/18
switchport access vlan 40
switchport mode access
!
interface GigabitEthernet0/19
switchport access vlan 40
switchport mode access
!
interface GigabitEthernet0/20
switchport access vlan 40
switchport mode access
!
interface GigabitEthernet0/21
!
interface GigabitEthernet0/22
!
interface GigabitEthernet0/23
!
interface GigabitEthernet0/24
no switchport
ip address 10.0.0.1 255.255.255.0
!
interface GigabitEthernet0/25
!
interface GigabitEthernet0/26
!
interface GigabitEthernet0/27
!
interface GigabitEthernet0/28
!
interface Vlan1
ip address 192.168.1.1 255.255.255.0
!
interface Vlan10
ip address 192.168.10.1 255.255.255.0
ip access-group 110 in
!
interface Vlan20
ip address 192.168.20.1 255.255.255.0
ip access-group 120 in
!
interface Vlan30
ip address 192.168.30.1 255.255.255.0
ip access-group 130 in
!
interface Vlan40
ip address 192.168.40.1 255.255.255.0
ip access-group 140 in
!
ip classless
ip http server
!
access-list 110 permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 110 permit ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 110 permit ip 192.168.40.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 110 permit ip 192.168.0.0 0.0.255.255 192.168.10.0 0.0.0.255
access-list 110 permit ip any any
access-list 110 permit icmp any any
access-list 120 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
access-list 120 deny ip 192.168.30.0 0.0.0.255 192.168.20.0 0.0.0.255
access-list 120 deny ip 192.168.40.0 0.0.0.255 192.168.20.0 0.0.0.255
access-list 120 permit icmp any any
access-list 120 permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 130 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255
access-list 130 permit ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 130 deny ip 192.168.40.0 0.0.0.255 192.168.30.0 0.0.0.255
access-list 130 deny ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255
access-list 130 permit icmp any any
access-list 140 permit ip 192.168.10.0 0.0.0.255 192.168.40.0 0.0.0.255
access-list 140 permit ip 192.168.40.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 140 deny ip 192.168.30.0 0.0.0.255 192.168.40.0 0.0.0.255
access-list 140 deny ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255
access-list 140 permit icmp any any
!
control-plane
!
!
line con 0
line vty 5 15
!
end
S3550#
Tôi có sơ đồ mạng như sau
- Có 1 switch 3560G trên đó tôi chia thành 4 VLAN
- VLAN 10: 192.168.10.0/24
- VLAN 20: 192.168.20.0/24
- VLAN 30: 192.168.30.0/24
- VLAN 40: 192.168.40.0/24
Yêu cầu là:
+ Cho phép VLAN 10 truy cập các VLAN 20,30,40
+ Không cho các VLAN 20,30,40 truy cập VLAN 10
+ Cấm các VLAN không được truy cập lẫn nhau
(VLAN 20 không được vào VLAN 30,40,10
VLAN 30 không được vào VLAN 20,40
VLAN 40 không được vào VLAN 20,30
)
- Tôi đã cấu hình cho phép các VLAN định tuyến được với nhau rồi
- Tôi đã đặt ACL trên con 3560 nhưng chỉ giải quyết được vấn đề
là không cho các VLAN 20,30,40 truy cập nhau
-VLAN 10 muốn truy cập VLAN 20,30,40 thì các VLAN này vẫn truy cập được VLAN 10
Tôi gửi đoạn mã sau để anh em xem giúp nhé
Cam on anh em
---------------------------------------------------
// VLAN 10 truy cap tat ca cac VLAN khac
// cac VLAN chi truy cap VLAN 10 ma khong truy cap nhau
Building configuration...
Current configuration : 4094 bytes
!
version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname S3550
!
!
no aaa new-model
system mtu routing 1500
ip subnet-zero
ip routing
!
!
!
!
no file verify auto
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
interface GigabitEthernet0/1
switchport access vlan 10
switchport mode access
!
interface GigabitEthernet0/2
switchport access vlan 10
switchport mode access
!
interface GigabitEthernet0/3
switchport access vlan 10
switchport mode access
!
interface GigabitEthernet0/4
switchport access vlan 10
switchport mode access
!
interface GigabitEthernet0/5
switchport access vlan 10
switchport mode access
!
interface GigabitEthernet0/6
switchport access vlan 20
switchport mode access
!
interface GigabitEthernet0/7
switchport access vlan 20
switchport mode access
!
interface GigabitEthernet0/8
switchport access vlan 20
switchport mode access
!
interface GigabitEthernet0/9
switchport access vlan 20
switchport mode access
!
interface GigabitEthernet0/10
switchport access vlan 20
switchport mode access
!
interface GigabitEthernet0/11
switchport access vlan 30
switchport mode access
!
interface GigabitEthernet0/12
switchport access vlan 30
switchport mode access
!
interface GigabitEthernet0/13
switchport access vlan 30
switchport mode access
!
interface GigabitEthernet0/14
switchport access vlan 30
switchport mode access
!
interface GigabitEthernet0/15
switchport access vlan 30
switchport mode access
!
interface GigabitEthernet0/16
switchport access vlan 40
switchport mode access
!
interface GigabitEthernet0/17
switchport access vlan 40
switchport mode access
!
interface GigabitEthernet0/18
switchport access vlan 40
switchport mode access
!
interface GigabitEthernet0/19
switchport access vlan 40
switchport mode access
!
interface GigabitEthernet0/20
switchport access vlan 40
switchport mode access
!
interface GigabitEthernet0/21
!
interface GigabitEthernet0/22
!
interface GigabitEthernet0/23
!
interface GigabitEthernet0/24
no switchport
ip address 10.0.0.1 255.255.255.0
!
interface GigabitEthernet0/25
!
interface GigabitEthernet0/26
!
interface GigabitEthernet0/27
!
interface GigabitEthernet0/28
!
interface Vlan1
ip address 192.168.1.1 255.255.255.0
!
interface Vlan10
ip address 192.168.10.1 255.255.255.0
ip access-group 110 in
!
interface Vlan20
ip address 192.168.20.1 255.255.255.0
ip access-group 120 in
!
interface Vlan30
ip address 192.168.30.1 255.255.255.0
ip access-group 130 in
!
interface Vlan40
ip address 192.168.40.1 255.255.255.0
ip access-group 140 in
!
ip classless
ip http server
!
access-list 110 permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 110 permit ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 110 permit ip 192.168.40.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 110 permit ip 192.168.0.0 0.0.255.255 192.168.10.0 0.0.0.255
access-list 110 permit ip any any
access-list 110 permit icmp any any
access-list 120 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
access-list 120 deny ip 192.168.30.0 0.0.0.255 192.168.20.0 0.0.0.255
access-list 120 deny ip 192.168.40.0 0.0.0.255 192.168.20.0 0.0.0.255
access-list 120 permit icmp any any
access-list 120 permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 130 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255
access-list 130 permit ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 130 deny ip 192.168.40.0 0.0.0.255 192.168.30.0 0.0.0.255
access-list 130 deny ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255
access-list 130 permit icmp any any
access-list 140 permit ip 192.168.10.0 0.0.0.255 192.168.40.0 0.0.0.255
access-list 140 permit ip 192.168.40.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 140 deny ip 192.168.30.0 0.0.0.255 192.168.40.0 0.0.0.255
access-list 140 deny ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255
access-list 140 permit icmp any any
!
control-plane
!
!
line con 0
line vty 5 15
!
end
S3550#
Comment