1、先把基礎工作做好,就是配置VLAN,配置Trunk,確定10個VLAN和相應的端口都正確。假設10個VLAN的地址分別是192.168.10.X,192.168.20.X。。。。。。192.168.100.X,與VLAN號對應。
2、為第一個VLAN 10創建一個ACL,命令為
ACL number 2000
這個2000號,可以寫的數是2000-2999,是基本的ACL定義。
然后在這個ACL下繼續定義rule,例如
rule 1 deny source 192.168.20.0
rule 2 deny source 192.168.30.0
rule 3 deny source 192.168.40.0
rule 4 deny source 192.168.50.0
rule 5 deny source 192.168.60.0
rule 6 deny source 192.168.70.0
rule 7 deny source 192.168.80.0
rule 8 deny source 192.168.90.0
然后進入VLAN接口
interface vlan 10
在vlan 10接口下,啟用上面定義的規則:
packet-filter outbound ip-group 2000
這應該就可以了,其它VLAN也按這個方法定義。
這一句:packet-filter outbound ip-group 2000 設備有可能不支持,那你就得換種方法定義ACL,使用3000-3999之間的擴展ACL定義:
rule 1 deny destination 192.168.20.0
....
然后在vlan接口下啟用
packet-filter inbound ip-group 3000
免責聲明!
本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。