假设内网2个网段A B网关都在核心上,需要通过acl限制2个网段的互访,acl兴趣流是写拒绝a访问b的流量然后应用在a vlan的入方向吗?感觉有点绕有没有大佬指点一下?
(0)
是的,没错
例如vlan1(1网段)不能访问vlan2(2网段)
acl advance 3000
rule 0 deny ip sou 192.168.1.0 0.0.0.255 desti 192.168.2.0 0.0.0.255
rule 10 permit ip sou 192.168.1.0 //不限制上外网
int vlan 1
pac-fil 3000 inbound
(0)
您好,参考
# 创建IPv4基本ACL 2000,配置拒绝源IP地址为10.1.1.1的报文通过的规则。
[H3C] acl basic 2000
[H3C-acl-ipv4-basic-2000] rule deny source 10.1.1.1 0
[H3C-acl-ipv4-basic-2000] quit
说明:如果acl number 2000无法写上去的话可能是由于交换机的软件版本不同导致,此时修改为acl basic 2000的写法就可以了。
# 配置包过滤功能,应用IPv4基本ACL 2000对端口GigabitEthernet1/0/1收到的IPv4报文进行过滤。
[H3C] interface gigabitethernet 1/0/1
[H3C-GigabitEthernet1/0/1] packet-filter 2000 inbound
(0)
暂无评论
您好,请知:
VLAN间不能互访,需要使用高级ACL来实现,分别指定源和目的,然后调用到物理端口或int vlan虚接口,如果不确定调用的方向,可以出入方向都调用。
以下是配置案例,请参考:
组网说明:
本案例采用H3C HCL模拟器来模拟高级ACL典型组网配置。服务器在网络拓扑图中已有明确的标识。要求VLAN 10仅能访问server1,VLAN 20仅能访问server2。R1与SW1运行OSPF路由协议。
1、按照网络拓扑图正确配置IP地址
2、SW1与R1运行OSPF路由协议
3、在SW1配置高级ACL,VLAN 10仅能访问server1,VLAN 20仅能访问server2。
第一阶段调试(基础网络配置):
SW1:
SW1:
System View: return to User View with Ctrl+Z.
[H3C]sysname SW1
[SW1]int loopback 0
[SW1-LoopBack0]ip address 1.1.1.1 32
[SW1-LoopBack0]quit
[SW1]router id 1.1.1.1
[SW1]vlan 10
[SW1-vlan10]quit
[SW1]vlan 20
[SW1-vlan20]quit
[SW1]int vlan 10
[SW1-Vlan-interface10]ip address 172.16.10.1 24
[SW1-Vlan-interface10]quit
[SW1]int vlan 20
[SW1-Vlan-interface20]ip address 172.16.20.1 24
[SW1-Vlan-interface20]quit
[SW1]int gi 1/0/2
[SW1-GigabitEthernet1/0/2]port link-type access
[SW1-GigabitEthernet1/0/2]port access vlan 10
[SW1-GigabitEthernet1/0/2]quit
[SW1]int gi 1/0/3
[SW1-GigabitEthernet1/0/3]port link-type access
[SW1-GigabitEthernet1/0/3]port access vlan 20
[SW1-GigabitEthernet1/0/3]quit
[SW1]int gi 1/0/1
[SW1-GigabitEthernet1/0/1]port link-mode route
[SW1-GigabitEthernet1/0/1]des
[SW1-GigabitEthernet1/0/1]ip address 10.0.0.1 30
[SW1-GigabitEthernet1/0/1]quit
[SW1]ospf 1 router-id 1.1.1.1
[SW1-ospf-1]area 0.0.0.0
[SW1-ospf-1-area-0.0.0.0]network 10.0.0.1 0.0.0.0
[SW1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0
[SW1-ospf-1-area-0.0.0.0]network 172.16.10.0 0.0.0.255
[SW1-ospf-1-area-0.0.0.0]network 172.16.20.0 0.0.0.255
[SW1-ospf-1-area-0.0.0.0]quit
[SW1-ospf-1]quit
[SW1]
R1:
System View: return to User View with Ctrl+Z.
[H3C]sysname R1
[R1]int gi 0/0
[R1-GigabitEthernet0/0]des
[R1-GigabitEthernet0/0]ip address 10.0.0.2 30
[R1-GigabitEthernet0/0]quit
[R1]int gi 0/1
[R1-GigabitEthernet0/1]ip address 192.168.1.1 24
[R1-GigabitEthernet0/1]quit
[R1]int gi 0/2
[R1-GigabitEthernet0/2]ip address 192.168.2.1 24
[R1-GigabitEthernet0/2]quit
[R1]int loopback 0
[R1-LoopBack0]ip address 2.2.2.2 32
[R1-LoopBack0]quit
[R1]router id 2.2.2.2
[R1]ospf 1 router-id 2.2.2.2
[R1-ospf-1]area 0.0.0.0
[R1-ospf-1-area-0.0.0.0]network 10.0.0.2 0.0.0.0
[R1-ospf-1-area-0.0.0.0]network 2.2.2.2 0.0.0.0
[R1-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]quit
[R1-ospf-1]quit
第一阶段测试:
所有PC都填写IP地址,且都能互通:
第二阶段调试(高级ACL关键配置点):
SW1:
[SW1]acl advanced 3000
[SW1-acl-ipv4-adv-3000]rule 0 permit ip source 172.16.10.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
[SW1-acl-ipv4-adv-3000]rule 1 permit ip source 172.16.20.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
[SW1-acl-ipv4-adv-3000]rule 3 deny ip source 172.16.10.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
[SW1-acl-ipv4-adv-3000]rule 4 deny ip source 172.16.20.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
[SW1-acl-ipv4-adv-3000]quit
[SW1]int gi 1/0/1
[SW1-GigabitEthernet1/0/1]packet-filter 3000 outbound
[SW1-GigabitEthernet1/0/1]quit
第二阶段测试:
VLAN 10的终端能PING通server1,无法Ping通server2:
Vlan 20的终端能PING通server2,PING不通server1:
Server1能PING通VLAN 10的终端,PING不通VLAN 20的终端:
Server2能PING通VLAN 20的终端,PING不通VLAN 10的终端:
查看ACL的匹配情况:
(0)
暂无评论
这个主要是要知道流量的源和目的以及走向。
(0)
暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论