Cisco 阻止访问 VLAN,但通过 MAC 允许某些机器

网络工程 思科 路由器 局域网 网络访问
2022-03-02 16:39:49

在访问列表和 VLAN 方面,我遇到了 Cisco 1921 的问题。

我配置了我的 vlan 并与 IP 接口以及分配给 vlan 接口的访问组。

interface GigabitEthernet0/1.600
description Systems
encapsulation dot1Q 600
ip address 10.10.6.1 255.255.255.0
ip access-group VLAN600 out
ip helper-address 192.168.160.3
ip nat inside
ip virtual-reassembly in
!

ip access-list extended VLAN600
deny   ip 10.10.6.0 0.0.0.255 192.168.160.0 0.0.0.255
permit ip 10.10.6.0 0.0.0.255 any

我无法从 10.10.6.x 网络访问 192.168.160.x 网络,这很好,但我可以看到 10.10.6.1 网关 IP 并从 192.168.160.x.子网 ping 等。我如何确保它也被阻止并且不被看到?

另外,我将如何允许 vlan 1(192.168.160.x 子网)上的某些机器通过 mac 地址访问 vlan600(10.10.6.x 子网)上的特定机器?

我试过“access-list 700 permit 0000.0000.0000 FFFF.FFFF.FFFF”但没有成功,显然是使用正确的 MAC 地址。

如果有人有一些见解,那就太好了。谢谢。

1个回答

你的问题是你很困惑inout方向是从路由器的角度来看的,因此您的访问列表(从路由器到 VLAN 600 的出站)在不在 VLAN 600 上的地址范围内拒绝从 VLAN 600 到 VLAN 600 的任何内容。

您通常应该将扩展访问列表放在入站并尽可能靠近源。如果要防止 VLAN 600 上的地址联系其他范围内的地址,则应将访问列表入站放置在 VLAN 600 接口上。

允许不同范围内的地址访问 VLAN 600 上的地址时,您将面临的一个问题是大多数事物都是双向的,因此来自其他地址的某些东西可能会向 VLAN 600 发送某些东西,但它永远不会得到回复。

其它你可能感兴趣的问题
上一篇C7206VXR 我可以同时运行 NPE-G1 和 NPE-G2 卡以获得更多 GigE 端口吗? 下一篇无法找到上班路线。需要帮助