大家好,最近在学华三交换机vlan的访问策略,在网上看到一个实例不是很明白,
例子是创建3个vlan,vlan10,20,30,vlan10和30能互访,20不能访问10,30,vlan10,30能访问vlan20的部分端口,以下是配置
[H3C]acl number 3000//设置高级策略3000
[H3C-acl-number-3000]rule 20 permit tcp source any destination 192.168.20.0 0.0.0.255 destination-port eq 2598 //设置 策略20 所有ip可以访问vlan20的2598端口
[H3C-acl-number-3000]rule 21 permit tcp source any destination 192.168.20.150 0 destination-port eq 443 //设置 策略21 所有ip可以访问192.168.20.150的443端口
[H3C-acl-number-3000]rule 22 permit tcp source any destination 192.168.20.110 0 destination-port eq 443 //设置 策略22 所有ip可以访问192.168.20.110的443端口
[H3C-acl-number-3000]rule 23 permit tcp source any destination 192.168.20.110 0 destination-port eq 80//设置 策略23 所有ip可以访问192.168.20.110的80端口
[H3C-acl-number-3000]rule 24 permit tcp source any destination 192.168.20.160 0 destination-port eq 27000 //设置 策略24 所有ip可以访问192.168.20.160的27000端口
[H3C-acl-number-3000]rule 30 deny ip source any destination 192.168.20.0 0.0.0.255 //设置 策略30 禁用所有ip访问vlan20 [H3C-acl-number-3000]rule 31 deny ip source 192.168.20.0 0.0.0.255 destination any//设置 策略31 禁用vlan20访问所有ip
[H3C-acl-number-3000]quit
[H3C]acl number 3001//设置高级策略3001
[H3C-acl-number-3001] rule 10 permit tcp source 192.168.20.0 0.0.0.255 source-port eq 2598 destination any//设置 策略10 vlan20的2598端口可以被所有ip访问
[H3C-acl-number-3001] rule 11 permit tcp source 192.168.20.150 0 source-port eq 443 destination any//设置 策略11 192.168.5.150的443端口可以被所有ip访问
[H3C-acl-number-3001] rule 12 permit tcp source 192.168.20.110 0 source-port eq 443 destination any//设置 策略12 192.168.5.110的443端口可以被所有ip访问
[H3C-acl-number-3001] rule 13 permit tcp source 192.168.20.160 0 source-port eq 27000 destination any//设置 策略13 192.168.5.160的27000端口可以被所有ip访问
[H3C-acl-number-3001] rule 14 permit tcp source 192.168.20.110 0 source-port eq www destination any//设置 策略11 192.168.5.110的80端口可以被所有ip访问
[H3C-acl-number-3001] rule 20 deny ip source any destination 192.168.20.0 0.0.0.255 //设置 策略20 禁用所有ip访问vlan20
[H3C-acl-number-3001] rule 21 deny ip source 192.168.20.0 0.0.0.255 destination any//设置 策略21 禁用vlan20访问所有ip
[H3C-acl-number-3001]quit
[H3C] interface Vlan-interface10//进入vlan10
[H3C-Vlan-interface10]packet-filter 3000 inbound//应用策略3000到vlan上面
[H3C-Vlan-interface10]quit [H3C] interface Vlan-interface20//进入vlan20
[H3C-Vlan-interface20]packet-filter 3000 inbound//应用策略3000到vlan上面
[H3C-Vlan-interface20]quit
[H3C] interface Vlan-interface30//进入vlan30
[H3C-Vlan-interface30]packet-filter 3001 inbound//应用策略3001到vlan上面
[H3C-Vlan-interface30]quit [H3C]save//保存配置
这个配置里acl3000和3001有什么区别?为啥acl3001单独用在vlan30?请各位大神指教,万分感谢!
(0)
最佳答案
3000和3001是两个不同方向的ACL,流量一般都是双向的
(0)
能具体说说吗?谢谢!另外为啥acl3001单独用在vlan30?
一个访问某个地址及端口的流量限制,一个是从某个地址以及端口来的流量限制。。。。。因为int vlan 30是ACL 3001匹配的流量的入接口
int vlan 10不也是流量的入接口吗?为什么不在10上应用?
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
int vlan 10不也是流量的入接口吗?为什么不在10上应用?