现在要对一个网段1-200和201-254之间禁止访问,
或者1-50与51-254之间禁止访问,
这需要怎么写acl,平时都是不同网段的禁止访问,现在是同网段内,感觉很难实现
(0)
在VLAN接口上应用ACL进行报文过滤,对二层转发报文不生效是因为
此命令的缺省情况为packet-filter filter route,即报文过滤仅对通过VLAN接口进行三层转发的报文生效。
在VLAN接口视图下配置packet-filter filter all命令。
正常写ACL,注意计算号掩码就行,例如:
acl advanced 3999
rule 0 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
rule 5 deny ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
rule 10 permit ip
(0)
那acl要怎么写,和怎么调用
接入交换机使用端口隔离
· 小区用户Host A、Host B、Host C分别与Device的端口FortyGigE1/0/1、FortyGigE1/0/2、FortyGigE1/0/3相连;
· 设备通过FortyGigE1/0/4端口与外部网络相连;
· 端口FortyGigE1/0/1、FortyGigE1/0/2、FortyGigE1/0/3和FortyGigE1/0/4属于同一VLAN;请实现小区用户Host A、Host B和Host C彼此之间二层报文不能互通,但可以和外部网络通信。
图1-1 配置端口隔离组网图
# 创建隔离组1。
<Device> system-view
[Device] port-isolate group 1
# 将端口FortyGigE1/0/1、FortyGigE1/0/2、FortyGigE1/0/3加入隔离组1。
[Device] interface fortygige 1/0/1
[Device-FortyGigE1/0/1] port-isolate enable group 1
[Device-FortyGigE1/0/1] quit
[Device] interface fortygige 1/0/2
[Device-FortyGigE1/0/2] port-isolate enable group 1
[Device-FortyGigE1/0/2] quit
[Device] interface fortygige 1/0/3
[Device-FortyGigE1/0/3] port-isolate enable group 1
# 显示隔离组1中的信息。
[Device-FortyGigE1/0/3] display port-isolate group 1
Port isolation group information:
Group ID: 1
Group members:
FortyGigE1/0/1
FortyGigE1/0/2
FortyGigE1/0/3
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
那acl要怎么写,和怎么调用