Question

1思科交换机 ACL能应用到TRUNK上吗？ 端口做成trunk，那就是2层了（TRUNK是走2层的）那我放ACL 有什么用

如果ACL 你能放在TRUNK 口上 那我ACL放在TRUNK口上和放在 VLAN 上有什么区别

Answer 1

ACL是针对IP地址的行慧坦清为，Trunk是二层的，两个不搭干。你在trunk上唯一能做的限制就是禁止部分VLAN穿越。

同理前前，ACL是无法绑在VLAN上信高的，除非是SVI接口。

Answer 2

区别很大。
首先，trunk口默认情况下可以允许所有的碧颤VLAN通过，如果再在此端口上调仔樱用ACL，那么就只能通过ACL中设悔戚败定的VLAN通过；而access口的话始终只能允许一个vlan通过。
如果以上解释还不够清楚，请贴出2个相关配置。

追问

原先我们用华为交换机 再在跟换成了思科交换机
华为他在trunk上起了ACL，同一个TRUNK上有out和IN
他在trunk上起了ACL 能有作用吗？？
我思科3560也在trunk上起和他一样的 但是我只能in 不能out
求指导

追答

一般情况下，ACL是不能运用在端口的OUT方向的~华为的那个OUT方向的ACL肯定是没有生效的，可能是当时华为工程师配置时出现了失误

Answer 3

ACL是用来匹配网络号的，trunk是用来打VLAN标签的。
不知道亮中你弯喊想说明什么
trunk是2层，但是trunk走的数据可不是2层。敬闹山
ACL可以匹配数据中的IP和4层。

追问

我是思科交换机3560，划2个vlan ，vlan1 vlan2 我取2个口做trunk分别向下连2960.
vlan 1 是192.168.10.1 vlan 2是192.168.20.1
我想要vlan1下的电脑通通过不能访问 vlan2的 192.168.20.100这个主机（仅仅这1个不能被访问） 但是能访问到其余20网段的所有电脑，我在trunk上做ACL可行吗

追答

做个ACL不就行了么?
access-list 100 deny ip 192.168.10.0 0.0.0.255 host 192.68.20.100
access-list 100 permit ip any any

int vlan 2
ip access-group 100 in