锐捷交换机扩展ACL

一、组网需求：

禁止vlan 2访问vlan3，但192.168.2.1这个地址不受限制。

二、组网拓扑

     

三、配置要点：

   1）扩展ACL可匹配源地址、目的地址、IP协议，tcp、udp、icmp、igmp待协议；

        如要允许所有目的端口是tcp80端口的流量：Ruijie(config)#access-list 100 per tcp any any eq 80

   2）扩展ACL号为100-199和2000-2699

四、配置步骤：

注意：配置之前建议使用 Ruijie#show interface status查看接口名称，常用接口名称有FastEthernet（百兆）、GigabitEthernet（千兆）和TenGigabitEthernet(万兆),以下配置以千兆接口为例。

  1）配置vlan 、svi口地址，接口划分到相应vlan里

       1.1）新建vlan 2、3

Ruijie>enable

Ruijie#configure terminal

       Ruijie(config)#vlan 2  ------>创建vlan 2

       Ruijie(config-vlan)#exit

       Ruijie(config)#vlan 3

       Ruijie(config-vlan)#exit

       1.2）划分接口到相应vlan下

       Ruijie(config)#interface GigabitEthernet 0/22

        Ruijie(config-if-GigabitEthernet 0/22)# switchport access vlan 2

        Ruijie(config)#interface GigabitEthernet 0/23

        Ruijie(config-if-GigabitEthernet 0/23)# switchport access vlan 3  ------>把交换机的第23个千兆接口划入到vlan 3

        1.3）配置vlan2和vlan3的svi口地址

        Ruijie(config)#interface vlan 2

        Ruijie(config-if-VLAN 2)#ip address 192.168.2.254 255.255.255.0  ------>配置vlan 2的网关地址

        Ruijie(config-if-VLAN 2)#exit

        Ruijie(config)#interface vlan 3

        Ruijie(config-if-VLAN 3)#ip address 192.168.3.254 255.255.255.0   ------>配置vlan 3的网关地址

        Ruijie(config-if-VLAN 3)#exit

2）配置g0/24为路由口

        Ruijie(config)#interface GigabitEthernet 0/24

        Ruijie(config-if-GigabitEthernet 0/24)#no switchport   ------>把交换机的第二十四千兆接口属性改成路由接口

        Ruijie(config-if-GigabitEthernet 0/24)#ip address 172.16.1.1 255.255.255.0   ------>配置ip地址

3）配置标准ACL，并在SVI口调用；

       Ruijie(config)#ip access-list 100 permit ip host 192.168.2.1 any  --->允许192.168.2.1访问所有网段

       Ruijie(config)#ip access-list 100 deny ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255  ---->不允许VLAN2网段192.168.2.0/24访问VLAN3网段192.168.3.0/24

       Ruijie(config)#ip access-list 100 permit ip any any  ------>ACL默认最后一句是deny ip any any ,故为保证其他数据能通过必须配置一条permit ip any any

       Ruijie(config)#interface vlan 2

       Ruijie(config-if-VLAN 2)#ip access-group 100 in   ------>在 vlan2的网关上应用ACL

4）保存配置

Ruijie(config-if-VLAN 2)#end

   Ruijie#write      ------> 确认配置正确，保存配置

五、验证命令

       Ruijie#sh access-lists 100   查看ACL的配置

     ip access-list extended 100

    10 permit ip host 192.168.2.1 any

    20 deny ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255

    30 permit ip any any

Ruijie#show ip access-group    查看ACL在接口下的应用

ip access-group 100 in

Applied On interface vlan 2.