问题描述:
大家好,我现在有个交换机,48个端口分了48个vlan,每个vlan都是不同的DHCP,
端口隔离已经配置但是终端之间还是能直接互访,端口隔离我看了是二层隔离,
如何做到三层网络层隔离呢,ACL我看了教程,可以做到,但是48个valn要写太多策略了,
有没有简单有效的办法,每个端口都隔离呢?辛苦大神们。
vlan1001:10.0.1.0 24
vlan1001:10.0.2.0 24
.............
vlan1001:10.0.48.0 24
组网及组网描述:
- 2021-10-28提问
- 举报
-
(0)
最佳答案
可以聚合一下掩码,应用在物理接口
acl ad 3000
rule deny ip source 10.0.0.0 0.0.63.255 destination 10.0.0.0 0.0.63.255
int rang gig 1/0/1 to gig 1/0/48
packet-filter 3000 inbound
- 2021-10-28回答
- 评论(1)
- 举报
-
(0)
多谢大神,我研究下
没其他办法,当然你可以写多一点,简写最后一条,只匹配目的就行了。
acl ad 3000
rule 15 deny ip destination 10.0.0.0 0.255.255.255
rule 20 deny ip destination 172.16.0.0 0.15.255.255
rule 25 deny ip destination 192.168.0.0 0.0.255.255
然后调用。
- 2021-10-28回答
- 评论(1)
- 举报
-
(0)
多谢大神,我研究下
真要这么做的话就是写acl,我觉得楼上那个把地址聚合然后调用在二层接口的方案就不错。(模拟器有bug不一定能出效果,真机这样在二层接口调用acl是有效的)。
另外这个网络规划是有什么特殊需求吗?一定要48个接口分别对应48个网段?一般就算把48个接口都划入不同vlan也很少会把网段全分开然后写48个dhcp池的。通常还是会只用一个网段,然后用super vlan技术让所有sub vlan共用一个网关,这样各个sub vlan之间隔离但都能访问网关地址。(这个super vlan在模拟器上弄也有bug,要切软件版本,真机没问题)。
- 2021-10-28回答
- 评论(1)
- 举报
-
(0)
多谢大神,我研究下
用supervlan 共用一个网关,但是客户端之间相互隔离。这是最简单的方案。
如果条件允许可以上campus,用不同的安全组隔离
- 2021-10-28回答
- 评论(1)
- 举报
-
(0)
多谢大神,我研究下
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明