我已经使用棒状配置上的路由器在具有 6 个 VLAN 的数据包跟踪器中实现了 LAN 设计。一切似乎都可以在没有 ACL 的情况下工作,但我正在尝试实施规则,其中仅允许 02 楼段访问所有其他楼层,而其余段仅允许访问各自楼层中的其他段。
每个部门维护自己的网段。到目前为止,我已经在管理和 IT 部门部分实施了 ACL,并设法允许 DHCP、DNS 和 WEB 服务器访问。但是,我无法从 IT 部门与行政部门沟通。即使我已经放置了必要的 ACL 规则。当我实施允许从管理部门访问的 ACL 规则时。去 IT 部门。它可以工作,但忽略了我的要求,即“仅允许 02 楼段访问所有其他楼层,而其余段仅允许访问各自楼层中的其他段”。
ip access-list extended ADMINISTRATION_SEGMENT
permit ip 10.1.30.0 0.0.0.31 10.1.40.0 0.0.0.15
permit tcp 10.1.30.0 0.0.0.31 host 10.1.10.3 eq www
permit udp any eq bootpc any eq bootps
permit udp 10.1.30.0 0.0.0.31 host 10.1.10.2 eq domain
deny ip 10.1.30.0 0.0.0.31 10.1.10.0 0.0.0.31
ip access-list extended IT_SEGMENT
permit ip 10.1.10.0 0.0.0.31 10.1.30.0 0.0.0.31
interface GigabitEthernet0/0.1
encapsulation dot1Q 1 native
ip address 10.1.2.1 255.255.255.240
!
interface GigabitEthernet0/0.10
encapsulation dot1Q 10
ip address 10.1.10.1 255.255.255.224
ip helper-address 10.1.10.2
ip access-group IT_SEGMENT in
!
interface GigabitEthernet0/0.20
encapsulation dot1Q 20
ip address 10.1.20.1 255.255.255.240
ip helper-address 10.1.10.2
!
interface GigabitEthernet0/0.30
encapsulation dot1Q 30
ip address 10.1.30.1 255.255.255.224
ip helper-address 10.1.10.2
ip access-group ADMINISTRATION_SEGMENT in
!
interface GigabitEthernet0/0.40
encapsulation dot1Q 40
ip address 10.1.40.1 255.255.255.240
ip helper-address 10.1.10.2
!
interface GigabitEthernet0/0.50
encapsulation dot1Q 50
ip address 10.1.50.1 255.255.255.224
ip helper-address 10.1.10.2
!
interface GigabitEthernet0/0.60
encapsulation dot1Q 60
ip address 10.1.60.1 255.255.255.240
ip helper-address 10.1.10.2
!
如果有人需要仔细查看,我已经附上了数据包跟踪器文件。任何想法/建议表示赞赏,谢谢。