S7006X交换机禁止特定vlan互访配置命令
- 0关注
- 0收藏,266浏览
问题描述:
S7006X交换机配置有10、20、30三个vlan,现要求禁止vlan20访问10,其他不变,求配置命令
- 2025-06-27提问
- 举报
-
(0)
最佳答案
5 通过IP地址过滤流量典型配置举例
5.1 组网需求
如图3所示,某公司的网络分成管理部、研发部和服务器三个区域,通过Device设备与Internet连接。现要求通过ACL实现:
· 管理部任意时间都可以访问Internet和服务器,但不能访问研发部;
· 研发部在工作时间(周一至周五的8:30~18:00)只能访问服务器,不能访问Internet和管理部;非工作时间可以访问Internet和服务器,但不能访问管理部。
图3 通过IP地址过滤流量配置组网图
5.2 适用产品及版本
表3 适用产品及版本
产品 | 软件版本 |
S6812系列 S6813系列 | Release 6615Pxx系列、Release 6628Pxx系列 |
S6550XE-HI系列 | Release 6008及以上版本、Release 8106Pxx |
S6526XE-HI[EI]系列 | Release 8340P02及以上版本 |
S6510系列 | Release 8340P02及以上版本 |
S6525XE-HI系列 | Release 6008及以上版本、Release 8106Pxx |
S5850系列 | Release 8005及以上版本、Release 8106Pxx |
S5570S-EI系列 | Release 11xx |
S5560X-EI系列 | Release 63xx系列、Release 65xx系列、Release 6615Pxx系列、Release 6628Pxx系列 |
S5560X-HI系列 | Release 63xx系列、Release 65xx系列、Release 6615Pxx系列、Release 6628Pxx系列 |
S5500V2-EI系列 | Release 63xx系列、Release 65xx系列、Release 6615Pxx系列、Release 6628Pxx系列 |
MS4520V2-30F | Release 63xx系列、Release 65xx系列、Release 6615Pxx系列、Release 6628Pxx系列 |
MS4520V2-30C MS4520V2-54C | Release 65xx系列、Release 6615Pxx系列、Release 6628Pxx系列 |
MS4520V2-28S MS4520V2-24TP | Release 63xx系列 |
S6520X-HI系列 S6520X-EI系列 | Release 63xx系列、Release 65xx系列、Release 6615Pxx系列、Release 6628Pxx系列 |
S6520X-SI系列 S6520-SI系列 | Release 63xx系列、Release 65xx系列、Release 6615Pxx系列、Release 6628Pxx系列 |
S5000-EI系列 | Release 63xx系列、Release 65xx系列、Release 6615Pxx系列、Release 6628Pxx系列 |
MS4600系列 | Release 63xx系列、Release 65xx系列、Release 6615Pxx系列、Release 6628Pxx系列 |
ES5500系列 | Release 63xx系列、Release 65xx系列、Release 6615Pxx系列、Release 6628Pxx系列 |
S5560S-EI系列 S5560S-SI系列 | Release 63xx系列 |
S5500V3-24P-SI S5500V3-48P-SI | Release 63xx系列 |
S5500V3-SI系列(除S5500V3-24P-SI、S5500V3-48P-SI) | Release 11xx |
S5170-EI系列 | Release 11xx |
S5130S-HI系列 S5130S-EI[-R]系列 S5130S-SI系列 S5130S-LI系列 | Release 63xx系列 |
S5120V2-SI系列 S5120V2-LI系列 | Release 63xx系列 |
S5120V3-EI系列 | Release 11xx |
S5120V3-36F-SI S5120V3-28P-HPWR-SI S5120V3-54P-PWR-SI | Release 11xx |
S5120V3-SI系列(除S5120V3-36F-SI、S5120V3-28P-HPWR-SI、S5120V3-54P-PWR-SI) | Release 63xx系列 |
S5120V3-LI系列 | Release 63xx系列 |
S3600V3-EI系列 | Release 11xx |
S3600V3-SI系列 | Release 11xx |
S3100V3-EI系列 S3100V3-SI系列 | Release 63xx系列 |
S5110V2系列 | Release 63xx系列 |
S5110V2-SI系列 | Release 63xx系列 |
S5000V3-EI系列 S5000V5-EI系列 | Release 63xx系列 |
S5000E-X系列 S5000X-EI系列 | Release 63xx系列 |
E128C E152C E500C系列 E500D系列 | Release 63xx系列 |
MS4320V2系列 MS4320V3系列 MS4300V2系列 MS4320系列 MS4200系列 | Release 63xx系列 |
WS5850-WiNet系列 | Release 63xx系列 |
WS5820-WiNet系列 WS5810-WiNet系列 | Release 63xx系列 |
WAS6000系列 | Release 63xx系列 |
IE4300-12P-AC & IE4300-12P-PWR IE4300-M系列 IE4320系列 | Release 63xx系列 |
IE4520系列 | Release 66xx系列 |
S5135S-EI | Release 6810及以上版本 |
S5130S-HI系列、S5130S-EI[-R]系列、S3100V3-EI系列、E128C、E152C、E500C系列、E500D系列、IE4300-12P-AC & IE4300-12P-PWR、IE4300-M系列和IE4320系列不支持port link-mode命令,所以5.6 配置文件中不会显示port link-mode bridge。
5.3 配置思路
· 为实现管理部不能访问研发部,需要创建ACL配置规则拒绝目的地址为10.1.2.0/24的报文,在Device的GigabitEthernet1/0/4的入方向进行过滤;
· 为实现研发部在工作时间只能访问服务器,需要创建ACL配置规则只允许目的地址为10.2.1.0/24的报文通过,并指定规则的生效时间段,在Device的GigabitEthernet1/0/3的入方向上进行过滤;
· 为实现研发部在非工作时间不能访问管理部,需要创建ACL配置规则拒绝目的地址为10.1.1.0/24的报文,在Device的GigabitEthernet1/0/3的入方向上进行过滤;
· 缺省情况下,ACL规则的匹配顺序为配置顺序,因此在此例中,需要先创建指定时间段内只允许目的地址为10.2.1.0/24报文通过的规则,再创建指定时间段内拒绝其他报文通过的规则。
5.4 配置步骤
# 创建IPv4高级ACL 3000。
<Device> system-view
[Device] acl advanced 3000
# 创建规则,过滤目的地址为10.1.2.0/24网段的报文。
[Device-acl-ipv4-adv-3000] rule deny ip destination 10.1.2.0 0.0.0.255
[Device-acl-ipv4-adv-3000] quit
# 配置包过滤功能,应用IPv4高级ACL 3000对端口GigabitEthernet1/0/4收到的IP报文进行过滤。
[Device] interface gigabitethernet 1/0/4
[Device-GigabitEthernet1/0/4] packet-filter 3000 inbound
[Device-GigabitEthernet1/0/4] quit
(2) 配置研发部的网络权限
# 配置时间段worktime,指定周一至周五的8:30~18:00为工作时间。
[Device] time-range worktime 8:30 to 18:00 working-day
# 创建IPv4高级ACL 3001。
[Device] acl advanced 3001
# 创建规则,允许时间段内目的地址为10.2.1.0/24网段的报文通过。
[Device-acl-ipv4-adv-3001] rule permit ip destination 10.2.1.0 0.0.0.255 time-range worktime
# 创建规则,过滤时间段内其他的报文。
[Device-acl-ipv4-adv-3001] rule deny ip time-range worktime
# 创建规则,过滤目的地址为10.1.1.0/24网段的报文。
[Device-acl-ipv4-adv-3001] rule deny ip destination 10.1.1.0 0.0.0.255
[Device-acl-ipv4-adv-3001] quit
# 配置包过滤功能,应用IPv4高级ACL 3001对端口GigabitEthernet1/0/3收到的IP报文进行过滤。
[Device] interface gigabitethernet 1/0/3
[Device-GigabitEthernet1/0/3] packet-filter 3001 inbound
[Device-GigabitEthernet1/0/3] quit
5.5 验证配置
- 2025-06-27回答
- 评论(0)
- 举报
-
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论