问题描述:
网络拓扑图如下:
目的是VLAN5不允许VLAN1-3的终端访问,只允许VLAN4可以访问
三层交换机已配置如下,但配置好后,VLAN1-3 的终端还是可以PING 192.169.5.7,想请教各位大神,哪里配错了?
另我对inbound与outbound不是很理解,能不能用通俗的解释一下,打比方也可以(官方的就不要复制了,我知道百度)
<S5820-core>dis cu
# version 7.1.075, Alpha 7571
# sysname S5820-core
# telnet server enable
# vlan 1
# vlan 2 to 5
# vlan 9
# stp global enable
# interface Vlan-interface1
ip address 192.168.1.1
255.255.255.0
# interface Vlan-interface2
ip address 192.168.2.1
255.255.255.0
# interface Vlan-interface3
ip address 192.168.3.1
255.255.255.0
# interface Vlan-interface4
ip address 192.168.4.1
255.255.255.0
# interface Vlan-interface5
ip address 192.168.5.1
255.255.255.0
# interface Vlan-interface9
ip address 192.168.9.2
255.255.255.0
# interface GigabitEthernet1/0/1
port link-mode bridge
port link-type trunk
port trunk permit vlan all
# interface GigabitEthernet1/0/2
port link-mode bridge
port link-type trunk
port trunk permit vlan all
# interface GigabitEthernet1/0/3
port link-mode bridge
port link-type trunk
port trunk permit vlan all
# interface GigabitEthernet1/0/4
port link-mode bridge
port link-type trunk
port trunk permit vlan all
# interface GigabitEthernet1/0/5
port link-mode bridge
port link-type trunk
port trunk permit vlan all
packet-filter 3000 inbound
# ip route-static 0.0.0.0 0 192.168.9.1
# acl advanced 3000
rule 0 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.5.0 0.0.0.255
rule 10 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.5.0 0.0.0.255
rule 20 deny ip source 192.168.3.0 0.0.0.255 destination 192.168.5.0 0.0.0.255
#
return
组网及组网描述:
- 2022-03-11提问
- 举报
-
(0)
1.因为模拟器有bug,所以packet-filter尽量做在三层接口(int vlan)下,在普通二层接口下调用可能不生效。真机没有这个问题。
2.这个配置也不对啊,核心5口的入方向不会有源是192.168.1.0/24、192.168.2.0/24或192.168.3.0/24且目的是192.168.5.0/24的报文啊,那个应该是出方向。
建议你做如下配置:
int g1/0/5
undo packet-filter 3000 inbound
int vlan 1
packet-filter 3000 inbound
int vlan 2
packet-filter 3000 inbound
int vlan 3
packet-filter 3000 inbound
或者
int vlan 5
packet-filter 3000 outbound
- 2022-03-11回答
- 评论(2)
- 举报
-
(0)
谢谢,成功了,另大神,我对对inbound与outbound不是很理解,能不能用通俗的解释一下
这个你整理一下流量的走向就清楚了啊。比如vlan 1的终端去访问vlan 5的终端。因为是三层访问(跨网段),所以要过网关。流量源地址是1段,目的地址是5段。走向:从vlan 1的终端流"出",(省略接入交换机),从核心的g1/0/1流"入",流"入"网关int vlan 1,走内部inloopback口到达int vlan 5,从int vlan 5流"出",从int g1/0/5流"出",(省略接入交换机),流"入"vlan 5的终端。然后vlan 5的终端给vlan 1回包,源地址是5段的,目的地址是1段的,后面过程你可以自己整理。整理清楚后,根据报文的源目地址还有你拦截报文的接口不同,可以有多种拦截方法。
2个问题
1、acl写的不全
2、acl没套用
- 2022-03-11回答
- 评论(1)
- 举报
-
(0)
你好,大神,能把正确的配置命令写一下吗,万分感谢,我学的有些吃力
你好,大神,能把正确的配置命令写一下吗,万分感谢,我学的有些吃力
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
这个你整理一下流量的走向就清楚了啊。比如vlan 1的终端去访问vlan 5的终端。因为是三层访问(跨网段),所以要过网关。流量源地址是1段,目的地址是5段。走向:从vlan 1的终端流"出",(省略接入交换机),从核心的g1/0/1流"入",流"入"网关int vlan 1,走内部inloopback口到达int vlan 5,从int vlan 5流"出",从int g1/0/5流"出",(省略接入交换机),流"入"vlan 5的终端。然后vlan 5的终端给vlan 1回包,源地址是5段的,目的地址是1段的,后面过程你可以自己整理。整理清楚后,根据报文的源目地址还有你拦截报文的接口不同,可以有多种拦截方法。