同一vlan10下如何通过ACL控制相互之间访问
- 0关注
- 1收藏,1333浏览
问题描述:
同一vlan10下有100台服务器做的虚拟化 上联接口4个接口聚合trunk直联网关,(其他的vlan先不考虚)请问各位,问如何控制 vlan10下这一百台服务器互访?如172.16.20.1/24 这个段 (有几台相互之间要放通) 一条条加难度有点大,有没有其他方法,
备注:所有服务器都要通过最外层防火墙nat上外网
组网及组网描述:
虚拟化服务器四条线聚合trunk上联核心,网关在核心上.,再往外是出口防火墙做nat 防问互联网。还有核心vlan之间也要做隔离
- 2021-05-25提问
- 举报
-
(1)
同一个vlan下做隔离要在二层交换机上做包过滤或者做端口隔离
- 2021-05-25回答
- 评论(1)
- 举报
-
(0)
接入二层交换机都是trunk口,还有二层怎么做虚拟化上联就一条线
您好,请知:
如果是在同一台交换机上的不能互访,可以使用二层隔离来实现限制。
如果是在不同交换机上的不能互访,可以使用高级ACL来限制,以下是参考配置命令:
[SW1]acl advanced 3000
[SW1-acl-ipv4-adv-3000]rule 0 permit ip source 172.16.10.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
[SW1-acl-ipv4-adv-3000]rule 1 permit ip source 172.16.20.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
[SW1-acl-ipv4-adv-3000]rule 3 deny ip source 172.16.10.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
[SW1-acl-ipv4-adv-3000]rule 4 deny ip source 172.16.20.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
[SW1-acl-ipv4-adv-3000]quit
[SW1]int gi 1/0/1
[SW1-GigabitEthernet1/0/1]packet-filter 3000 outbound
[SW1-GigabitEthernet1/0/1]quit
- 2021-05-25回答
- 评论(2)
- 举报
-
(0)
您好,同一个地址段的也可以使用高级ACL来限制,精确到主机的IP也是可以的。
您好. 可能你没理解我的意思,源和目的的地址都是一个段,都是172.16.20.0段 要求主机之间相互之间不允许通信
您好,同一个地址段的也可以使用高级ACL来限制,精确到主机的IP也是可以的。
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
接入二层交换机都是trunk口,还有二层怎么做虚拟化上联就一条线