筱寒Love分享

今天做弱點修補時 為了將同個VLAN中的主機隔離 花了不少工夫 原本以為要架 pvlan

後來發現VACL就可以做出我想要的結果

結果又發現找到的教學有些問題 差點把整個VLAN鎖死

寫這篇記錄一下正確的做法

假設今天有一台主機192.168.0.240 只允許管理者IP192.168.0.101登入 同VLAN的其他USER也不准 但這台主機本身又無法設定防火牆規則

這時候可以在CISCO 上使用 VACL 就可以達到這個效果

以下是設定方法

access-list 101 permit ip host 192.168.0.101 any //先建立ACL,要先permit
access-list 101 deny   ip any host 192.168.0.240
access-list 101 deny   ip any host 192.168.0.241
access-list 101 permit ip any any

vlan access-map deny_icmp //建立vacl,給予一個名稱
(config-access-map)#match ip address 101 //要套用哪個ACL
action forward //因為VACL最後會有一條隱藏的deny any,所以一定要加這條不然所以的traffic都會不通

show vlan access-map //可以verify VACL設定

vlan filter deny_icmp vlan-list 10 //將VACL實際套用到vlan 10 上面