案例:交换机实现从A网段不能访问B网段,但能从B网段可以访问A网段 现案例中192.168.10.0是A的地址段(属于VLAN10),192.168.20.0是B的地址段(属于VLAN20)
1、创建ACL,制定访问控制规则(默认是permit) acl 3000
rule 5 permit tcp source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 tcp-flag syn ack //允许A响应B的TCP连接
rule 10 deny tcp source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 tcp-flag syn //拒绝A向B发起的TCP连接
rule 15 deny icmp source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 icmp-type echo //拒绝A向B发起的ping请求
2、配置流分类,匹配ACL traffic classifier c1 if-match acl 3000
3、配置流行为(默认是permit) traffic behavior b1
4、配置流策略,关联流分类和流行为 traffic policy p1 classifier c1 behavior b1 5、应用流策略 应用到接口上(连接A的网段的接口) interface gigabitethernet 1/0/1 traffic-policy p1 inbound 或者应用到vlan上 vlan 10 traffic-policy p1 inbound 或者在全局应用 traffic-policy p1 global inbound
亲测TCP成功,UDP如果想要达到一样的效果 该怎么做呢
端口跟地址是需要所有的 就跟上面TCP一样 就单纯的只能A不能去B B随便看A
是所有端口跟所有IP 我看UDP好像只能一个个端口去配置? 能不能直接0-65535之类的
(0)
最佳答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论