三层交换机单向访问策略配置(原创)

Router1 E0/0 <----> Switch1 F0/0
Router2 E0/0 <----> Switch1 F0/10
实验要求：
router模拟PC（注意：关闭路由功能）
交换机必须是3层交换机
R1可以访问R2，R2不能访问R1，r2访问访问其他正常,可以互相PING。

 

 

配置：

R1

 

en

conf t

no ip routing （注意：关闭路由功能，不关闭路由功能，路由器首先找路由表）

hostname R1

int e0/0

ip add 192.168.10.2 255.255.255.0

no sh

exit

enable password cisco （设置特权模式密码）

line vty 0 4 （设置 telnet 登入）

password cisco（设置telnet登入密码）

login（激活）

 

 

 

 

R2

 

en

conf t

no ip routing （注意：关闭路由功能，不关闭路由功能，路由器首先找路由表）

host R2

int e0/0

ip add 192.168.20.2 255.255.255.0

no sh

enable password cisco（设置特权模式密码）

line vty 0 4 （设置 telnet 登入）

password cisco（设置telnet登入密码）

login（激活）

 

 

 

 

SW 3640

 

en

conf t

host SW3640

exit

vlan da （添加 vlan ）

vlan10 name vlan10

vlan20 name vlan20

exit

conf t

int ra e0/0 -9  （将端口0-9加入到 vlan10 ）

sw mo access

sw access vlan 10

exit

int range e0/10 -15 （将端口10-15加入到 vlan20 ）

sw mode access

sw access vlan 20

exit

int vlan 10 （ vlan10 设置 IP ）

ip add 192.168.10.1 255.255.255.0

exit

int vlan 20 （ vlan10 设置 IP ）

ip add 192.168.20.1 255.255.255.0

exit

ip access-list extended vlan10 （设置访问控制列表名称）

permit icmp any any （允许 ICMp 协议）

permit ip 192.168.10.0 0.0.0 .255 192.168.20.0 0.0.0.255 reflect vlan-int （当 10.0 网段去访问 20.0 网段的时候就给打个标

记 vlan10-infilter ）

permit ip any any （允许访问所有 IP ）

exit

 

ip access-list extended vlan20 （设置访问控制列表名称）

permit icmp any any （允许 ICMp 协议）

evaluate vlan10-int （如果是打了标记 vlan10-infilter 的就放行 否则匹配下一条）

deny ip any 192.168.10.0 0.0.0 .255 （拒绝所有 IP 到 10.0 网段）

permit ip any any （允许访问所有 IP ）

exit

 

int vlan10

ip grou vlan 10 in （将策略 vlan10 应用到接口）

exit

int vlan20

ip grou    vlan 20 in （将策略 vlan20 应用到接口）

 

验证：

R1#Pping 192.168.20.2 (R2 的 IP 地址 )

!!!!!

R1#telnet 192.168.20.2 (R2 的 IP 地址 ) 正常是能登入访问的。

 

 

 

R1#Pping 192.168.10.2 (R1 的 IP 地址 )

!!!!!

R1#Ptelnet 192.168.10.2 (R1 的 IP 地址 ) 正常是不法登入访问的。