我需要控制同一个二层vlan内的访问,如192.168.1.1不能访问192.168.1.2的控制,思科设备有vlan access-map(vacl),可以通过原目IP地址控制,H3C有基于IP地址的二层控制吗?难道只有二层MAC-acl?
(0)
最佳答案
acl ad xx
高级的acl 可以使用源目地址 端口号进行控制
acl ba xxx 是基本的ACL
Advanced 3999
rule 0 permit ip source 10.10.100.0 0.0.0.15 destination 10.10.0.0 0.0.7.255
(0)
acl advanced 3000 //3000-3999属于高级ACL
rule deny ip source 192.168.1.1 0.0.0.0 destination 192.168.1.2 0.0.0.0 //禁止1访问2
int vlan XX
packet-filter 3000 inbound //引用3000
(0)
端口隔离也可以达到类似效果,加入到同一个隔离组,组内设备无法互访
(0)
如果是虚拟机的话,机器飘到其他端口,就没办法控制住了吧?
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
二层隔离还需要在端口调用,如果是虚拟机的话,机器飘到其他端口或者是MAC地址变化,就没办法控制住