我需要控制同一个二层vlan内的访问,如192.168.1.1不能访问192.168.1.2的控制,思科设备有vlan access-map(vacl),可以通过原目IP地址控制,H3C有基于IP地址的二层控制吗?难道只有二层MAC-acl?
(0)
最佳答案
acl advanced 3000 //3000-3999属于高级ACL
rule deny ip source 192.168.1.1 0.0.0.0 destination 192.168.1.2 0.0.0.0 //禁止1访问2
int vlan XX
packet-filter 3000 inbound //引用3000
(0)
端口隔离也可以达到类似效果,加入到同一个隔离组,组内设备无法互访
(0)
如果是虚拟机的话,机器飘到其他端口,就没办法控制住了吧?
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
这是跨网段的三层ACL,我说的是同一个vlan内的二层控制
同一个VLAN没有 只有二层隔离
二层隔离还需要在端口调用,如果是虚拟机的话,机器飘到其他端口或者是MAC地址变化,就没办法控制住