思科交換機訪問控制

㈠ 思科交換機如何限制訪問一台電腦不能和別的機子訪問

1、一個訪問控制列表的問題 vlanA （192.168.0.0）和vlanB（192.168.1.0），Vlan C（192.168.2.0）、Vlan D（192.168.3.0） 怎麼設置能讓Vlan A禁止訪問VlanB中的一台機器（192.168.0.60），但Vlan A還可以訪問Vlan B中的其它機器，~而且vlanA、Vlan C、 VlanD、不能互訪
這個很好實現，你只需要在各自的SVI介面加上ACL就好實現了，比如你要vlan A能訪問 VlanB的某一台設備，並且阻止訪問C, D 那麼你需要增加如下配置：

ip access-list extend ACL-A
deny ip 192.168.0.0 0.0.0.255 host 192.168.0.10
deny ip 192.168.0.0 0.0.0.255 192.168.2.0 0.0.0.255
deny ip 192.168.0.0 0.0.0.255 192.168.3.0 0.0.0.255
permit ip any any

並在你的vlanA 的介面上調用：
interface vlan A
ip access-group ACL-A in

㈡ 思科交換機，訪問控制的問題，請高手指點。

方法一、你的交換機規劃vlan描述不清楚，如果只是vlan 4、5可以訪問vlan100 中100.10這個ip的話，可以吧100.10這個ip重新劃分一個vlan9中，然後vlan4、5、9設置trunk。如果其他vlan也要訪問vlan100和100.10的話。trunk就不好做。
方法二、在你vlan 100口設置acl 出介面方向禁止vlan 4、5 裡面ip訪問其他埠。只能訪問vlan100。

㈢ 思科2950交換機訪問控制配置

首先把pc和server放到不同的vlan中，在進行如下配置：
switch(config)#access-list 1 permit host 192.168.1.2
switch(config)#access-list 1 deny any
switch(config)#int vlan 1
switch(config-vlan)ip access-group 1 out
switch(config-vlan)ip access-group 1 in

switch(config)#access-list 2 permit host 192.168.1.1
switch(config)#access-list 2 deny any
switch(config)#int vlan 2
switch(config-vlan)#ip access-group 2 out
switch(config-vlan)#ip access-group 2 in

㈣ 在思科三層交換機上怎麽用訪問控制列表限制一個VLAN訪問另一個VLAN（具體命令最好給出）

哈哈你問對人了我來告訴你吧
我們假設個環境3個vlan:vlan10 vlan20 和vlan30 vlan蓄力埠ip分別為192.168.10.1/24，192.168.20.1/24,和192。168.30.1/24.
訪問控制要求vlan10和 vlan20之間不能訪問，但都能訪問vlan30
通過vlan之間的acl方式實現

******** 配置VLAN ********
Switch(config)# vlan 10 // 創建vlan 10
Switch(config-vlan)# vlan 20
Switch(config-vlan)# vlan 30
Switch(config-vlan)# int vlan 10
Switch(config-if)# ip address 192.168.10.1 255.255.255.0 // 配置vlan10虛埠IP
Switch(config-if)# int vlan 20
Switch(config-if)# ip address 192.168.20.1 255.255.255.0
Switch(config-if)# int vlan 30
Switch(config-if)# ip address 192.168.30.1 255.255.255.0

******** 配置ACL ********
Switch(config)# access-list 101 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255
Switch(config)# access-list 102 permit ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255

******** 應用ACL至VLAN埠 ********
Switch(config)# int vlan 10
Switch(config-if)# ip access-group 101 in
Switch(config)# int vlan 20
Switch(config-if)# ip access-group 102 in

******** 完畢 ********

（二） 通過VACL方式實現

******** 配置VLAN ********

（同上）

******** 配置ACL ********
Switch(config)# access-list 101 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255
Switch(config)# access-list 101 permit ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255
（不同之處：因為VACL對數據流沒有inbound和outbound之分，所以要把允許通過某vlan的IP數據流都permit才行。VLAN10允許與VLAN30通訊，而數據流又是雙向的，所以要在ACL中增加VLAN30的網段）
Switch(config)# access-list 102 permit ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255
Switch(config)# access-list 102 permit ip 192.168.30.0 0.0.0.255 192.168.20.0 0.0.0.255

******** 配置VACL ********

第一步：配置vlan access map
Switch(config)# vlan access-map test1 //定義一個vlan access map，取名為test1
Switch(config-vlan-access)# match ip address 101 // 設置匹配規則為acl 101
Switch(config-vlan-access)# action forward // 匹配後，設置數據流轉發（forward）
Switch(config)# vlan access-map test2 //定義一個vlan access map，取名為test2
Switch(config-vlan-access)# match ip address 102 // 設置匹配規則為acl 102
Switch(config-vlan-access)# action forward // 匹配後，設置數據流轉發（forward）

第二步：應用VACL
Switch(config)# vlan filter test1 vlan-list 10 //將上面配置的test1應用到vlan10中
Switch(config)# vlan filter test2 vlan-list 20 //將上面配置的test1應用到vlan20中

******** 完畢 ********

㈤ 思科交換機 限制內網某個ip訪問外網

你要限制單個IP訪問外網，需要在防火牆上配置ACL而不是在交換機上
不知道你防火牆是不是思科的。如果是思科的新建一條ACL過濾掉你要限制的那個IP地址就行了
R1(config)#access-list 1 deny host 168.168.168.x
R1(config)#access-list 1 permit any
R1(config)#int f1/0
R1(config-if)#ip access-group 1 out

㈥ 在思科三層交換機上怎麽用訪問控制列表限制一個VLAN訪問另一個VLAN

操作如下：

訪問控制要求vlan10和 vlan20之間不能訪問，但都能訪問vlan30

通過vlan之間的acl方式實現：

1、配置VLAN。

Switch(config)# vlan 10 // 創建vlan 10

Switch(config-vlan)# vlan 20

Switch(config-vlan)# vlan 30

Switch(config-vlan)# int vlan 10

Switch(config-if)# ip address 192.168.10.1 255.255.255.0 // 配置vlan10虛埠IP

Switch(config-if)# int vlan 20

Switch(config-if)# ip address 192.168.20.1 255.255.255.0

Switch(config-if)# int vlan 30

Switch(config-if)# ip address 192.168.30.1 255.255.255.0

2、配置ACL 。

Switch(config)# access-list 101 permit ip 192.168.10.0

Switch(config)# access-list 102 permit ip 192.168.20.0

3、應用ACL至VLAN埠。

Switch(config)# int vlan 10

Switch(config-if)# ip access-group 101 in

Switch(config)# int vlan 20

Switch(config-if)# ip access-group 102 in

㈦ 思科交換機訪問控制列表問題

?沒看懂，你這3台PC網關都完全不同，如何訪問？
要訪問必須在同一網關，你的網關如下：
主機0：網關1
主機2：網關3
主機1：網關2
純屬是路也不同，道也不同，完全互不幹涉

㈧ 思科交換機 訪問控制

你這個需求自相矛盾。數據是來回交互的，如果你限制的不讓這個IP地址訪問其他區域網的，那麼其他區域網的也無法訪問這個IP地址了。

㈨ 關於思科交換機的訪問控制

1. 通常acl屬於路由器或三層交換機命令，當然，某些二層半交換機也可以。

2. 在路由或三層交換機上，首先要保證server和PC_3不屬於同一個網段，即它們之間的訪問必須通過路由，這樣才能在路由或三層交換機上實現acl，而且不應該是ip any any，這樣的acl應用到那個埠，那個埠就被封死了，和shutdown差不多。

3. 大致命令應該是類似deny ip <PC_3的ip> <server的ip>，後面還要跟一個permit ip any any命令。因為acl一旦被應用到一個埠，則除了acl中列出的規則外，路由器會拋棄沒有對應規則匹配的數據包，等價於最後隱藏了一個deny ip any any命令。
   

4. 二層半交換機的acl基本模仿路由器的acl，但路由器屬於拆包重裝，且符合規則就按規則要求裝包轉發，否則丟棄；而二層半則只是去「讀」三層信息，並根據規則來決定是否進行二層轉發。只要提供了，一般用？都能看到，應用方法也類似。純二層交換機是不會提供ip access-group命令的。