VLAN之间的ACL配置 

提问：如何禁止VLAN间互相访问？华为S6700系列数据中心万兆交换机

回答：

步骤一：创建vlan10、vlan20、vlan30 

S5750#conf                                               ----进入全局配置模式 

S5750(config)#vlan 10                                          ----创建VLAN10 

S5750(config-vlan)#exit                                  ----退出VLAN配置模式 

S5750(config)#vlan 20                                         ----创建VLAN20 

S5750(config-vlan)#exit                                  ----退出VLAN配置模式 

S5750(config)#vlan 30                                         ----创建VLAN30 

S5750(config-vlan)#exit                                  ----退出VLAN配置模式 

步骤二：将端口加入各自vlan 

S5750(config)# interface range gigabitEthernet 0/1-5    

----进入gigabitEthernet 0/1-5号端口

S5750(config-if-range)#switchport access vlan 10    

----将端口加划分进vlan10 

S5750(config-if-range)#exit                                ----退出端口配置模式

S5750(config)# interface range gigabitEthernet 0/6-10     

----进入gigabitEthernet 0/6-10号端口

S5750(config-if-range)#switchport access vlan 20    

----将端口加划分进vlan20 

S5750(config-if-range)#exit                                ----退出端口配置模式

S5750(config)# interface range gigabitEthernet 0/11-15    

----进入gigabitEthernet 0/11-15号端口

S5750(config-if-range)#switchport access vlan 30    

----将端口加划分进vlan30 

S5750(config-if-range)#exit                                ----退出端口配置模式

步骤三：配置vlan10、vlan20、vlan30的网关IP地址

S5750(config)#interface vlan 10                        ----创建vlan10的SVI接口

S5750(config-if)#ip address 192.168.10.1 255.255.255.0    

----配置VLAN10的网关

S5750(config-if)#exit                                      ----退出端口配置模式

S5750(config)#interface vlan 20                       ----创建vlan10的SVI接口

S5750(config-if)#ip address 192.168.20.1 255.255.255.0    

----配置VLAN10的网关

S5750(config-if)#exit                                      ----退出端口配置模式

S5750(config)#interface vlan 30                       ----创建vlan10的SVI接口

S5750(config-if)#ip address 192.168.30.1 255.255.255.0    

----配置VLAN10的网关

S5750(config-if)#exit                                      ----退出端口配置模式

步骤四：创建ACL，使vlan20能访问vlan10，而vlan30不能访问vlan10 

S5750(config)#ip access-list extended deny30                   ----定义扩展ACL

S5750(config-ext-nacl)#deny ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255    

----拒绝vlan30的用户访问vlan10资源

S5750(config-ext-nacl)#permit ip any any    

----允许vlan30的用户访问其他任何资源

S5750(config-ext-nacl)#exit                            ----退出扩展ACL配置模式

步骤五：将ACL应用到vlan30的SVI口in方向

S5750(config)#interface vlan 30                       ----创建vlan30的SVI接口

S5750(config-if)#ip access-group deny30 in    

----将扩展ACL应用到vlan30的SVI接口下

金宏达网络提供专业的IT服务,包括:综合布线、弱电工程、机房建设、网络维护、安防监控以及各种网络产品代理，金宏达网络代理的网络产品包括：锐捷、华为、思科、TG-NET、艾泰、安达通、网康等各大品牌高端产品。

    金宏达网络专业提供华为48口千兆交换机，华为全千兆交换机，华为24口千兆交换机，华为千兆三层交换机等，并免费上门勘察，为设计客户提供最经济实用的网络工程、系统集成解决方案。

河南金宏达网络科技有限公司
 The HTC network science and technology limited company

项目工程网站：http://www.jhdwl.cn

 400免费热线：400-0377-771
 刘 经理：13253392261
 地   址：郑州市金水区文化路东风路数码港17楼