思科模拟器在三层交换机划分vlan,启用IP路由功能后,vlan相互之前可以互通,要如何禁止VLAN间的互相访问呢?
在交换机划分vlan后,和路由器连接,并且可以互相ping通的方法,可以参与这篇文章:交换机划分vlan后和路由器连接
禁止互通的话,需要创建访问控制列表ACL,假设现在要让vlan20正常访问vlan10,而vlan30不能访问vlan10,操作命令如下:
ip access-list extended deny30 //创建定义扩展ACL
deny ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255 //拒绝vlan30的用户访问vlan10资源
permit ip any any //允许vlan30的用户访问其他任何资源
exit //退出配置
interface vlan 30 //创建vlan30的SVI接口
ip access-group deny30 in //将扩展ACL应用到vlan30的SVI接口下
这样配置后,用vlan30下的电脑ping网关,vlan20都是通的,但ping vlan10及下的电脑都是不通的
测试2:禁止vlan1 和 vlan10 访问vlan30,vlan20可以正常访问vlan30,且全部都能正常访问路由
如上图片配置,vlan1 和 vlan10 不能ping通vlan30,但可以正常互相ping通,也能ping通vlan20 和路由器网关;而vlan20可以正常ping通vlan30 和 其它vlan及网关。
