问题描述:
怎么限制VLAN 11下的PC,只以允许某个地址192.168.2.90-99访问 VPN接口(VLAN 2或INT45),意思只允部份走VPN.
组网及组网描述:
对齐方式
- 靠左
- 居中
- 靠右
5120S配置下
vlan 1
vlan 2
vlan 9 to 21
vlan 100
dhcp server ip-pool v11
network 192.168.2.0 mask 255.255.255.0
gateway-list 192.168.2.1
dns-list 61.139.2.69
expired day 3
interface Vlan-interface1
ip address dhcp-alloc client-identifier mac Vlan-interface1
interface Vlan-interface2
ip address 192.1.1.6 255.255.255.252
interface Vlan-interface15
ip address 192.168.6.2 255.255.255.0
interface Vlan-interface11
ip address 192.168.2.1 255.255.255.0 #
interface Vlan-interface15
ip address 192.168.6.2 255.255.255.0
interface GigabitEthernet1/0/1 port access vlan 11 dhcp-snooping information enable dhcp-snooping check mac-address # interface GigabitEthernet1/0/2 port access vlan 11 dhcp-snooping information enable dhcp-snooping check mac-address # interface GigabitEthernet1/0/3 port access vlan 11 dhcp-snooping information enable dhcp-snooping check mac-address # interface GigabitEthernet1/0/4 port access vlan 11 dhcp-snooping information enable dhcp-snooping check mac-address # interface GigabitEthernet1/0/5 port access vlan 11 dhcp-snooping information enable dhcp-snooping check mac-address # interface GigabitEthernet1/0/6 port access vlan 11 dhcp-snooping information enable dhcp-snooping check mac-address # interface GigabitEthernet1/0/7 port access vlan 11 dhcp-snooping information enable dhcp-snooping check mac-address #
interface GigabitEthernet1/0/45 这是去VPN接口
port access vlan 2
interface GigabitEthernet1/0/47 这是上外网接口
description TO U200-M
port access vlan 15 #
ip route-static 0.0.0.0 0.0.0.0 192.168.6.1
ip route-static 10.10.2.0 255.255.255.0 192.1.1.5
ip route-static 192.168.1.0 255.255.255.0 192.1.1.5
dhcp server forbidden-ip 192.168.2.1 192.168.2.100
- 2021-02-07提问
- 举报
-
(0)
您好,请知:
vlan 11下的IP不是192.168.2.0网段的,且不明确2.0网段在网络中的位置,因此临时给出参考如下配置命令:
acl basic 2000
rule 0 permit source 192.168.2.90 0
rule 1 permit source 192.168.2.91 0
rule 2 permit source 192.168.2.92 0
rule 3 permit source 192.168.2.93 0
rule 4 permit source 192.168.2.94 0
rule 5 permit source 192.168.2.95 0
rule 6 permit source 192.168.2.96 0
rule 7 permit source 192.168.2.97 0
rule 8 permit source 192.168.2.98 0
rule 9 permit source 192.168.2.99 0
quit
int vlan 11
packet-filter 2000 inbound
packet-filter 2000 outbound
quit
- 2021-02-07回答
- 评论(8)
- 举报
-
(1)
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
rule 9 permit source 192.168.2.99 0 quit int vlan 11 packet-filter 2000 inbound packet-filter 2000 outbound 这样,99 没有法走互联网了
您是在有IPSEC VPN的环境下吗?
rule 0 deny source 192.168.2.106 0 destination 192.1.1.5 255.255.255.252 interface Vlan-interface11 ip address 192.168.2.1 255.255.255.0 packet-filter 2001 inbound 这样无效果,还是可以通,,,packet-filter 2000 outbound 无法执行
90-99不走NAT转换,就走IPSEC VPN?
192.1.1.5是电信的入口,它路由到子公司网络上
具体网络拓扑图是怎么样的呢?
我不是很董,应不是lpset vpn,两端电信分别给了两个地址(一个是192.1.1.1 另一个是192.1.1.5),接在三层交换机上,相互路由,两公司的网就通了
感谢,明天上传个接线图