Sadiq ali Asked: 2009-10-02 04:59:47 +0800 CST2009-10-02 04:59:47 +0800 CST 2009-10-02 04:59:47 +0800 CST 我需要在同一网络/VLAN 内进行访问控制 772 我有一个网络/VLAN,我想阻止一些流量并允许我的网络中的一些流量,这可以使用 L2 或 L3 交换机吗?如果是这样,哪些交换机支持此功能,配置此功能的命令是什么? 我已经通过将访问列表应用到以太网端口来尝试使用访问列表,但是如果我将它应用到一个端口上,它将自动处理该端口上的传入流量,但我的意思是它只能根据我的 ACL 处理传出流量。 请问您有什么建议吗? access-control-list 3 个回答 Voted Antoine Benkemoun 2009-11-01T00:46:04+08:002009-11-01T00:46:04+08:00 对于大多数 Cisco 交换机,您可以在交换机端口上应用 ACL,而不会遇到任何路由问题。这适用于 Catalyst 2960G 等 L2 交换机。 Tom Bell 2009-10-02T06:40:09+08:002009-10-02T06:40:09+08:00 访问列表(在基本级别)仅适用于第 3 层 VLAN(想想配置“interface vlan 10”而不是“vlan 10”) - 在交换机上。如果您将一个应用到接口,则需要使用“no switchport”命令将该接口转换为路由端口。 这仅适用于第 3 层交换机,因为第 2 层交换机看不到您尝试过滤的第 3/4 层信息 - TCP 和 UDP 端口号。第 2 层处理 MAC 地址。 答案是在核心第 3 层交换机上创建第 3 层 VLAN。这些 VLAN 的 IP 地址成为您分配给这些 VLAN 的计算机的默认网关。您还需要将端口分配给相应的 VLAN,并在交换机之间设置中继链路以传输第 2 层 VLAN 信息。 Greeblesnort 2009-10-03T09:58:00+08:002009-10-03T09:58:00+08:00 如果您有一个可以将 IP 地址应用于每个接口的第 3 层交换机,则可以使用 ACL 过滤在接口之间传递的流量;本质上是将交换机上的端口变成路由器端口,然后交换机在端口之间路由。
对于大多数 Cisco 交换机,您可以在交换机端口上应用 ACL,而不会遇到任何路由问题。这适用于 Catalyst 2960G 等 L2 交换机。
访问列表(在基本级别)仅适用于第 3 层 VLAN(想想配置“interface vlan 10”而不是“vlan 10”) - 在交换机上。如果您将一个应用到接口,则需要使用“no switchport”命令将该接口转换为路由端口。
这仅适用于第 3 层交换机,因为第 2 层交换机看不到您尝试过滤的第 3/4 层信息 - TCP 和 UDP 端口号。第 2 层处理 MAC 地址。
答案是在核心第 3 层交换机上创建第 3 层 VLAN。这些 VLAN 的 IP 地址成为您分配给这些 VLAN 的计算机的默认网关。您还需要将端口分配给相应的 VLAN,并在交换机之间设置中继链路以传输第 2 层 VLAN 信息。
如果您有一个可以将 IP 地址应用于每个接口的第 3 层交换机,则可以使用 ACL 过滤在接口之间传递的流量;本质上是将交换机上的端口变成路由器端口,然后交换机在端口之间路由。