技术交流群:644853125
1.组网需求
1)LAN0口地址:192.168.1.1,LAN1口地址:192.168.2.1
2)内网有两个网段,LAN0口下面接的用户是192.168.1.0/24网段的,网关地址是192.168.1.1
LAN1口下面接的用户是192.168.2.0/24网段的,网关地址是192.168.2.1,两个网段默认是可以互相访问的,如果想实现两个网段不能互相访问,参见如下配置:
2.配置步骤
1)打开路由器的安全----》 ACL访问列表—》点击添加扩展ACL,名称命名为100
在ACL列表100中,添加ACE规则:禁止192.168.1.0/24访问192.168.2.0/24
保存设置后,可以看到效果
至此配置是禁止了192.168.1.0网段访问192.168.2.0网段,路由器ACL默认是禁止所有用户的,所以以上配置完了,如果调用会导致用户上不了网,需要增加以下策略,放通内网用户到外网的数据流:
最后
保存配置如图(注:ACL里面的ACE条目是从上往下匹配的,最上面的条目优先级最高):
2)调用刚才创建的ACL列表100
注:
①阻断机制:ACL配置的是禁止192.168.1.0/24访问192.168.2.0/24,即数据192.168.1.0网络从Gi0/0口(调用的接口)进去(in方向)的时候,路由器发现是访问192.168.2.0/24网段的就直接阻断
②实现效果:默认情况下,配置禁止192.168.1.0/24访问192.168.2.0/24,则192.168.2.0/24也是无法访问192.168.1.0/24的
③单向阻断:如果要实现192.168.1.0/24无法访问192.168.2.0/24,但是192.168.2.0/24可以访问192.168.1.0/24,则还需要开启反射ACL
最后点击完成配置,如图:
此时可以用192.168.1.0/24网段电脑去ping 192.168.2.0/24网段测试效果(电脑要关闭自身的防火墙,一般在控制面板中关闭);