如何在Cisco路由器上设置VLAN ACL?
时间: 2024-09-23 21:11:39 浏览: 44
在 Cisco 路由器上设置 VLAN Access Control Lists (VACLs),通常涉及到以下几个步骤:
1. 创建 VACL:在全局模式下输入 `ip access-list` 命令,然后选择一个列表类型(比如标准型或扩展型),接着输入 `name` 和 `extended` 或 `standard`,如 `ip access-list standard VLAN_ACL_NAME`。
2. 编辑规则:进入访问列表的编辑状态,使用 `permit` 或 `deny` 关键字加上数据包相关的条件,例如源或目的 IP 地址范围、协议类型等。例如:
```
deny ip any host <source_ip> eq <service_port>
permit ip any host <destination_ip> eq <service_port>
```
3. 分配给 VLAN:在接口模式下,比如 `interface FastEthernet0/1`, 使用 `switchport port-security` 开启端口安全,并设置 `access-group` 选项指向你的 VLAN ACL:
```
switchport mode trunk
switchport trunk allowed vlan <vlan_id>
switchport port-security
switchport port-security untrusted vlan <untrusted_vlan_id>
access-group VLAN_ACL_NAME in
```
这里 `<vlan_id>` 是你要控制的 VLAN ID,`<untrusted_vlan_id>` 是未授权的 VLAN ID,`in` 表示从该端口进来的数据包将应用 ACL。
4. 保存并应用:最后别忘了使用 `write memory` 或者 `copy run start` 命令保存配置,并重启接口让更改生效。
完成以上步骤后,就设置了 VLAN ACL,它会按照预设规则对进入和离开这个接口的 VLAN 数据包进行过滤。
阅读全文