要求 vlan10 内的client可以访问 Server2 的 web 服务，但不能访问 Server2 的 ftp 服务；vlan20 内的主 机client可以访问 Server2 的 ftp 服务，但不能访问 Server2 的 web 服务 其余流量不做限制

要实现VLAN10和VLAN20对Server2的不同访问权限，可以通过配置访问控制列表（ACL）来实现。以下是实现这一要求的步骤和方法：

配置VLAN10访问Web服务但不访问FTP服务

1. 创建ACL：首先需要创建一个ACL，允许VLAN10内的客户端访问Server2的Web服务（通常使用HTTP协议，端口为80）。
2. 应用ACL：将这个ACL应用到VLAN10的出口方向，以确保只有Web服务的流量可以被VLAN10内的客户端访问。

配置VLAN20访问FTP服务但不访问Web服务

1. 创建ACL：创建另一个ACL，允许VLAN20内的客户端访问Server2的FTP服务（使用FTP协议，端口为21）。
2. 应用ACL：将这个ACL应用到VLAN20的出口方向，以确保只有FTP服务的流量可以被VLAN20内的客户端访问。

配置ACL示例

• VLAN10的ACL可能包含如下规则：

  • 允许访问Server2的IP地址，端口为80的流量。
  • 拒绝访问Server2的IP地址，端口为21的流量。

• VLAN20的ACL可能包含如下规则：

  • 允许访问Server2的IP地址，端口为21的流量。
  • 拒绝访问Server2的IP地址，端口为80的流量。

应用ACL

• 根据4，配置接口加入VLAN，并配置VLANIF接口的IP地址。例如，将GE0/0/1加入VLAN10，GE0/0/2加入VLAN20，并配置相应的VLANIF接口。
• 根据7，可以通过创建两个ACL来实现VLAN间的访问控制。例如，创建ACL 101允许VLAN10访问Server2的80端口，拒绝21端口；创建ACL 102允许VLAN20访问Server2的21端口，拒绝80端口。
• 将ACL应用到相应的VLAN接口上。例如，将ACL 101应用到VLAN10的出口，将ACL 102应用到VLAN20的出口。

验证配置

• 根据3，可以在VLAN10的PC上执行命令测试Web服务的访问，确保可以连接到Server2的Web服务。
• 同样，在VLAN20的PC上执行FTP命令测试FTP服务的访问，确保可以连接到Server2的FTP服务。

通过上述步骤，可以确保VLAN10和VLAN20的客户端根据要求访问Server2的不同服务，同时不影响其他流量。56