求助!!!ACL访问列表设置
数据中心---cisco7609---3560---2960;2960上多台PC(192.168.0.0/24)划分到VLAN10;
现在要实现192.168.0.168主机只能允许访问192.168.1.0/24子网,其他资源都禁止访问(包括internet)。其他主机不受限制。
在7609上做以下设置:
access-list 101 permit ip host 192.168.0.168 192.168.1.0 0.0.0.255
access-list 101 deny ip host 192.168.0.168 any
access-list 101 permit ip any any
arp 192.168.0.168 00e0.4c02.74a3 arpa
arp 192.168.0.40 00e0.4c02.6ef8 arpa
测试方式1:
interface GigabitEthernet5/1 (连接数据中心的接口)
no ip address
ip access-group 101 in
switchport
switchport mode access
测试方式2:
interface VLAN 10
ip address 192.168.0.1 255.255.255.0
ip access-group 101 in
方式1的设置后192.168.0.168的PC没任何影响,还是照常可以访问internt,为什么?
方式2的设置后192.168.0.0/24的子网都不能访问internet,这又是为什么造成的?
另外,我想把101的访问控制下发到默认VLAN1的地址上,因为G5/1只是普通的交换端口,默认属于VLAN1;不知道这个想法是否正确,请指点。
请大虾告诉我正确的配置方式应该怎样的,谢谢!!!急急急!!! |