问题描述:
面临问题:禁止访客网络IP段192.168.200-250访问内网IP段192.168.1.10-200的文件共享,在路由器上配置防火墙规则不起作用,试过S5130的ACL包过滤,没搞定,请问该如何配S5130S的配置命令,麻烦请详细列出步骤,谢谢!
组网及组网描述:
网络情况:单臂路由器ER8300G2+核心交换机S5130,下面的有线网络和无线AP都是混合插在各区域下层交换机(无管理功能)
只能使用扩展型网段0/1:192.168.1.1,255.255.254.0,因为有线和无线AP都是混插在没有管理功能的二层交换机
VLAN网段范围:192.168.0.1-192.168.1.254,192.168.1.1-200绊定的电脑服务器及办公设备,192.168.0.1-200为手机使用,192.168.0.200-250为访客使用(禁止联内网文件服务器)
- 2019-12-28提问
- 举报
-
(0)
最佳答案
var FrameInfo = {};
- #
- version 7.1.070, Release 6126P20
- #
- sysname H3C-s5130s
- #
- clock timezone Beijing add 08:00:00
- clock protocol none
- #
- irf mac-address persistent timer
- irf auto-update enable
- undo irf link-delay
- irf member 1 priority 1
- #
- lldp global enable
- #
- password-recovery enable
- #
- vlan 1
- #
- vlan 2
- #
- interface NULL0
- #
- interface Vlan-interface1
- ip address 192.168.1.2 255.255.255.0
- #
- interface GigabitEthernet1/0/1
- port link-type trunk
- port trunk permit vlan all
- packet-filter 3000 inbound hardware-count
- #
- interface GigabitEthernet1/0/2
- #
- interface GigabitEthernet1/0/3
- #
- interface GigabitEthernet1/0/4
- #
- interface GigabitEthernet1/0/5
- #
- interface GigabitEthernet1/0/6
- #
- interface GigabitEthernet1/0/7
- #
- interface GigabitEthernet1/0/8
- #
- interface GigabitEthernet1/0/9
- #
- interface GigabitEthernet1/0/10
- #
- interface GigabitEthernet1/0/11
- #
- interface GigabitEthernet1/0/12
- #
- interface GigabitEthernet1/0/13
- #
- interface GigabitEthernet1/0/14
- #
- interface GigabitEthernet1/0/15
- #
- interface GigabitEthernet1/0/16
- #
- interface GigabitEthernet1/0/17
- #
- interface GigabitEthernet1/0/18
- #
- interface GigabitEthernet1/0/19
- #
- interface GigabitEthernet1/0/20
- #
- interface GigabitEthernet1/0/21
- #
- interface GigabitEthernet1/0/22
- #
- interface GigabitEthernet1/0/23
- #
- interface GigabitEthernet1/0/24
- #
- interface GigabitEthernet1/0/25
- #
- interface GigabitEthernet1/0/26
- #
- interface GigabitEthernet1/0/27
- #
- interface GigabitEthernet1/0/28
- #
- interface GigabitEthernet1/0/29
- #
- interface GigabitEthernet1/0/30
- #
- interface GigabitEthernet1/0/31
- #
- interface GigabitEthernet1/0/32
- #
- interface GigabitEthernet1/0/33
- #
- interface GigabitEthernet1/0/34
- #
- interface GigabitEthernet1/0/35
- #
- interface GigabitEthernet1/0/36
- #
- interface GigabitEthernet1/0/37
- #
- interface GigabitEthernet1/0/38
- #
- interface GigabitEthernet1/0/39
- #
- interface GigabitEthernet1/0/40
- #
- interface GigabitEthernet1/0/41
- #
- interface GigabitEthernet1/0/42
- #
- interface GigabitEthernet1/0/43
- #
- interface GigabitEthernet1/0/44
- #
- interface GigabitEthernet1/0/45
- #
- interface GigabitEthernet1/0/46
- #
- interface GigabitEthernet1/0/47
- #
- interface GigabitEthernet1/0/48
- #
- interface GigabitEthernet1/0/49
- #
- interface GigabitEthernet1/0/50
- #
- interface GigabitEthernet1/0/51
- #
- interface GigabitEthernet1/0/52
- #
- scheduler logfile size 16
- #
- line class aux
- user-role network-admin
- #
- line class vty
- user-role network-operator
- #
- line aux 0
- user-role network-admin
- #
- line vty 0 63
- user-role network-operator
- #
- snmp-agent
- snmp-agent local-engineid 800063A28088DFAEB4394E00000001
- snmp-agent sys-info location 一楼机房
- snmp-agent sys-info version v3
- #
- acl advanced 3000
- rule 0 deny udp source 192.168.0.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 destination-port range 135 445
- rule 0 comment 拒绝0to1
- rule 5 deny tcp source 192.168.0.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 destination-port range 135 445
- #
- radius scheme system
- user-name-format without-domain
- #
- domain system
- #
- domain default enable system
- #
- role name level-0
- description Predefined level-0 role
- #
- role name level-1
- description Predefined level-1 role
- #
- role name level-2
- description Predefined level-2 role
- #
- role name level-3
- description Predefined level-3 role
- #
- role name level-4
- description Predefined level-4 role
- #
- role name level-5
- description Predefined level-5 role
- #
- role name level-6
- description Predefined level-6 role
- #
- role name level-7
- description Predefined level-7 role
- #
- role name level-8
- description Predefined level-8 role
- #
- role name level-9
- description Predefined level-9 role
- #
- role name level-10
- description Predefined level-10 role
- #
- role name level-11
- description Predefined level-11 role
- #
- role name level-12
- description Predefined level-12 role
- #
- role name level-13
- description Predefined level-13 role
- #
- role name level-14
- description Predefined level-14 role
- #
- user-group system
- #
- local-user admin class manage
- password hash $h$6$cyaQqzRXEun8eeED$8O+LfX0qoVN5BIisRYcan2bEOkzk0+D4OHjU7jp/MOagp56UyfuqkboPSc52peHqamFN6j81FCSfg6jVrvcJOg==
- service-type http https
- authorization-attribute user-role level-15
- authorization-attribute user-role network-operator
- #
- ip http enable
- ip https enable
- #
- return
- 2019-12-28回答
- 评论(0)
- 举报
-
(0)
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明
网关在路由器上192.168.1.1
看上面描述:VLAN网段范围:192.168.0.1-192.168.1.254,192.168.1.1-200绊定的电脑服务器及办公设备,192.168.0.1-200为手机使用,192.168.0.200-250为访客使用(禁止联内网文件服务器) 现场这个到底是一个段还是两个段,如果都是一个段的话二层互访都不上路由器,再不行可以考虑在5130上加端口隔离组,加入隔离组的是不能互通的,不加隔离组的是可以互通的,如果只想限制文件共享,其他还要通,交换机只能包过滤,可以安装上面提及的acl去写,调用在源上来的物理接口上。
只有1个扩展型VLAN,二层互访不上路由器,我在交换机上配置了ACL和端口号,但应用后还是可以访问文件共享目录
有配置吗?粘出来瞅瞅?
把包过滤方向搞混了,应该是交换机出的方向
嗯