思科交换机访问控制

㈠ 思科交换机如何限制访问一台电脑不能和别的机子访问

1、一个访问控制列表的问题 vlanA （192.168.0.0）和vlanB（192.168.1.0），Vlan C（192.168.2.0）、Vlan D（192.168.3.0） 怎么设置能让Vlan A禁止访问VlanB中的一台机器（192.168.0.60），但Vlan A还可以访问Vlan B中的其它机器，~而且vlanA、Vlan C、 VlanD、不能互访
这个很好实现，你只需要在各自的SVI接口加上ACL就好实现了，比如你要vlan A能访问 VlanB的某一台设备，并且阻止访问C, D 那么你需要增加如下配置：

ip access-list extend ACL-A
deny ip 192.168.0.0 0.0.0.255 host 192.168.0.10
deny ip 192.168.0.0 0.0.0.255 192.168.2.0 0.0.0.255
deny ip 192.168.0.0 0.0.0.255 192.168.3.0 0.0.0.255
permit ip any any

并在你的vlanA 的接口上调用：
interface vlan A
ip access-group ACL-A in

㈡ 思科交换机，访问控制的问题，请高手指点。

方法一、你的交换机规划vlan描述不清楚，如果只是vlan 4、5可以访问vlan100 中100.10这个ip的话，可以吧100.10这个ip重新划分一个vlan9中，然后vlan4、5、9设置trunk。如果其他vlan也要访问vlan100和100.10的话。trunk就不好做。
方法二、在你vlan 100口设置acl 出接口方向禁止vlan 4、5 里面ip访问其他端口。只能访问vlan100。

㈢ 思科2950交换机访问控制配置

首先把pc和server放到不同的vlan中，在进行如下配置：
switch(config)#access-list 1 permit host 192.168.1.2
switch(config)#access-list 1 deny any
switch(config)#int vlan 1
switch(config-vlan)ip access-group 1 out
switch(config-vlan)ip access-group 1 in

switch(config)#access-list 2 permit host 192.168.1.1
switch(config)#access-list 2 deny any
switch(config)#int vlan 2
switch(config-vlan)#ip access-group 2 out
switch(config-vlan)#ip access-group 2 in

㈣ 在思科三层交换机上怎麽用访问控制列表限制一个VLAN访问另一个VLAN（具体命令最好给出）

哈哈你问对人了我来告诉你吧
我们假设个环境3个vlan:vlan10 vlan20 和vlan30 vlan蓄力端口ip分别为192.168.10.1/24，192.168.20.1/24,和192。168.30.1/24.
访问控制要求vlan10和 vlan20之间不能访问，但都能访问vlan30
通过vlan之间的acl方式实现

******** 配置VLAN ********
Switch(config)# vlan 10 // 创建vlan 10
Switch(config-vlan)# vlan 20
Switch(config-vlan)# vlan 30
Switch(config-vlan)# int vlan 10
Switch(config-if)# ip address 192.168.10.1 255.255.255.0 // 配置vlan10虚端口IP
Switch(config-if)# int vlan 20
Switch(config-if)# ip address 192.168.20.1 255.255.255.0
Switch(config-if)# int vlan 30
Switch(config-if)# ip address 192.168.30.1 255.255.255.0

******** 配置ACL ********
Switch(config)# access-list 101 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255
Switch(config)# access-list 102 permit ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255

******** 应用ACL至VLAN端口 ********
Switch(config)# int vlan 10
Switch(config-if)# ip access-group 101 in
Switch(config)# int vlan 20
Switch(config-if)# ip access-group 102 in

******** 完毕 ********

（二） 通过VACL方式实现

******** 配置VLAN ********

（同上）

******** 配置ACL ********
Switch(config)# access-list 101 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255
Switch(config)# access-list 101 permit ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255
（不同之处：因为VACL对数据流没有inbound和outbound之分，所以要把允许通过某vlan的IP数据流都permit才行。VLAN10允许与VLAN30通讯，而数据流又是双向的，所以要在ACL中增加VLAN30的网段）
Switch(config)# access-list 102 permit ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255
Switch(config)# access-list 102 permit ip 192.168.30.0 0.0.0.255 192.168.20.0 0.0.0.255

******** 配置VACL ********

第一步：配置vlan access map
Switch(config)# vlan access-map test1 //定义一个vlan access map，取名为test1
Switch(config-vlan-access)# match ip address 101 // 设置匹配规则为acl 101
Switch(config-vlan-access)# action forward // 匹配后，设置数据流转发（forward）
Switch(config)# vlan access-map test2 //定义一个vlan access map，取名为test2
Switch(config-vlan-access)# match ip address 102 // 设置匹配规则为acl 102
Switch(config-vlan-access)# action forward // 匹配后，设置数据流转发（forward）

第二步：应用VACL
Switch(config)# vlan filter test1 vlan-list 10 //将上面配置的test1应用到vlan10中
Switch(config)# vlan filter test2 vlan-list 20 //将上面配置的test1应用到vlan20中

******** 完毕 ********

㈤ 思科交换机 限制内网某个ip访问外网

你要限制单个IP访问外网，需要在防火墙上配置ACL而不是在交换机上
不知道你防火墙是不是思科的。如果是思科的新建一条ACL过滤掉你要限制的那个IP地址就行了
R1(config)#access-list 1 deny host 168.168.168.x
R1(config)#access-list 1 permit any
R1(config)#int f1/0
R1(config-if)#ip access-group 1 out

㈥ 在思科三层交换机上怎麽用访问控制列表限制一个VLAN访问另一个VLAN

操作如下：

访问控制要求vlan10和 vlan20之间不能访问，但都能访问vlan30

通过vlan之间的acl方式实现：

1、配置VLAN。

Switch(config)# vlan 10 // 创建vlan 10

Switch(config-vlan)# vlan 20

Switch(config-vlan)# vlan 30

Switch(config-vlan)# int vlan 10

Switch(config-if)# ip address 192.168.10.1 255.255.255.0 // 配置vlan10虚端口IP

Switch(config-if)# int vlan 20

Switch(config-if)# ip address 192.168.20.1 255.255.255.0

Switch(config-if)# int vlan 30

Switch(config-if)# ip address 192.168.30.1 255.255.255.0

2、配置ACL 。

Switch(config)# access-list 101 permit ip 192.168.10.0

Switch(config)# access-list 102 permit ip 192.168.20.0

3、应用ACL至VLAN端口。

Switch(config)# int vlan 10

Switch(config-if)# ip access-group 101 in

Switch(config)# int vlan 20

Switch(config-if)# ip access-group 102 in

㈦ 思科交换机访问控制列表问题

?没看懂，你这3台PC网关都完全不同，如何访问？
要访问必须在同一网关，你的网关如下：
主机0：网关1
主机2：网关3
主机1：网关2
纯属是路也不同，道也不同，完全互不干涉

㈧ 思科交换机 访问控制

你这个需求自相矛盾。数据是来回交互的，如果你限制的不让这个IP地址访问其他局域网的，那么其他局域网的也无法访问这个IP地址了。

㈨ 关于思科交换机的访问控制

1. 通常acl属于路由器或三层交换机命令，当然，某些二层半交换机也可以。

2. 在路由或三层交换机上，首先要保证server和PC_3不属于同一个网段，即它们之间的访问必须通过路由，这样才能在路由或三层交换机上实现acl，而且不应该是ip any any，这样的acl应用到那个端口，那个端口就被封死了，和shutdown差不多。

3. 大致命令应该是类似deny ip <PC_3的ip> <server的ip>，后面还要跟一个permit ip any any命令。因为acl一旦被应用到一个端口，则除了acl中列出的规则外，路由器会抛弃没有对应规则匹配的数据包，等价于最后隐藏了一个deny ip any any命令。
   

4. 二层半交换机的acl基本模仿路由器的acl，但路由器属于拆包重装，且符合规则就按规则要求装包转发，否则丢弃；而二层半则只是去“读”三层信息，并根据规则来决定是否进行二层转发。只要提供了，一般用？都能看到，应用方法也类似。纯二层交换机是不会提供ip access-group命令的。