初伟的回答:你是想做成,一旦地址超出这个范围就不能上公网呢,还是干脆内网都上不了?? 还有就是,仅仅是逻辑上的断开还是物理上的断开?前者的话一条acl就解决了,无论是上公网还是私网,当然也可以单独针对公网或者私网。 另外我对你的网络感到很好奇,你们的网络没有做认证?只要知道网关就可以上网?那你做成你所说的那样好像也没有什么用啊?? 你把需求再说仔细一点,我再给你配置。 ---补充方案如下: 首先在全局配置模式下: Access-list 1 permit ip 192.168.0.16 0.0.0.240 然后进入相应的接口: ip access-group 1 in 这样就禁止了除192.168.0.16--192.168.0.31外的其它流量. 第一行命令的地址就是允许的源地址,用掩码方式决定范围. 如果要按照你的要求,15-55,你得把地址分区间分别写上去,如下: Access-list 1 permit ip 192.168.0.15 0.0.0.255 Access-list 1 permit ip 192.168.0.16 0.0.0.240 Access-list 1 permit ip 192.168.0.32 0.0.0.240 Access-list 1 permit ip 192.168.0.48 0.0.0.248 如果你要限制一个以上的端口,就另写一条acl如 Access-list 2 permit ip 192.168.1.16 0.0.0.240 在相应的接口应用相应的acl就可以了. 希望你对地址的掩码表示法有所了解,能够自己进行分区. 朴载庆的回答:你是想做成,一旦地址超出这个范围就不能上公网呢,还是干脆内网都上不了?? 还有就是,仅仅是逻辑上的断开还是物理上的断开?前者的话一条acl就解决了,无论是上公网还是私网,当然也可以单独针对公网或者私网。 另外我对你的网络感到很好奇,你们的网络没有做认证?只要知道网关就可以上网?那你做成你所说的那样好像也没有什么用啊?? 你把需求再说仔细一点,我再给你配置。 ---补充方案如下: 首先在全局配置模式下: Access-list 1 permit ip 192.168.0.16 0.0.0.240 然后进入相应的接口: ip access-group 1 in 这样就禁止了除192.168.0.16--192.168.0.31外的其它流量. 第一行命令的地址就是允许的源地址,用掩码方式决定范围. 如果要按照你的要求,15-55,你得把地址分区间分别写上去,如下: Access-list 1 permit ip 192.168.0.15 0.0.0.255 Access-list 1 permit ip 192.168.0.16 0.0.0.240 Access-list 1 permit ip 192.168.0.32 0.0.0.240 Access-list 1 permit ip 192.168.0.48 0.0.0.248 如果你要限制一个以上的端口,就另写一条acl如 Access-list 2 permit ip 192.168.1.16 0.0.0.240 在相应的接口应用相应的acl就可以了. 希望你对地址的掩码表示法有所了解,能够自己进行分区. 小枕头的回答:查出这台电脑的mac,在交换机上执行 mac-address-table static 0000.0000.0000 vlan 2 drop ;其中“0000.0000.0000”填该主机的mac地址 ;“vlan 2”填该主机所在的vlan号 ;不知道vlan号的执行“sh mac-address-table address 0000.0000.0000” ;得到如下信息,取其中的vlan号"下面abcd.abcd.abcd的主机就在vlan2" vlan mac address type ports ---- ----------- -------- ----- 2 abcd.abcd.abcd dynamic fa0/3 李文青的回答:没做过,但vlan是可以实现的 曲俊杰的回答:你说的绑定IP段,我没特别理解,具体指什么意思? 是指说你只允许这一段的IP可以通过该端口上交换机吗? 你先补充一下问题,我再给你想解决方法。 |
