S5560-30C-EI,如何禁止指定vlan访问内网其他所有vlan
- 0关注
- 1收藏,1027浏览
问题描述:
在同一台交换机上,有vlan 100 200 300 400 500
vlan100 是二层聚合口的vlan,指定上网出去的路径
500是来宾的WiFi,想禁止vlan500 访问其它内网vlan
组网及组网描述:
- 2022-05-09提问
- 举报
-
(0)
最佳答案
包过滤禁止vlan500 的网段,下发在其他VLAN下
- 2022-05-09回答
- 评论(2)
- 举报
-
(0)
包过滤怎么配置,还请大佬指点
参考3楼
禁止vlan 间相互访问,看行不行,有问题在留言 其他的vlan 地址 参照下面的写
#
vlan 100
#
vlan 500
#
int vlan 100
ip add 192.168.10.1 24
#
int vlan 500
ip add 192.168.50.1 24
packet-filter 3999 inbound
packet-filter 3999 out
#
acl advanced 3999
rule 0 deny ip source 192.168.50.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
rule 5 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.50.0 0.0.0.255
rule 10 permit ip
- 2022-05-09回答
- 评论(8)
- 举报
-
(0)
不行哦,我在所有vlan下都应用了acl 3000 acl number 3000 rule 0 deny ip source 10.50.3.0 0.0.0.64 destination 10.50.2.0 0.0.0.255 rule 5 deny ip source 10.50.3.0 0.0.0.64 destination 10.50.1.127 0.0.0.128 rule 10 deny ip source 10.50.3.0 0.0.0.64 destination 10.50.1.0 0.0.0.128 rule 15 permit ip interface Vlan-interface200 packet-filter 3000 inbound packet-filter 3000 outbound 还是能ping通
vlan接口下套用packet-filter
- 2022-05-09回答
- 评论(10)
- 举报
-
(0)
acl number 3000 rule 10 deny ip source 10.50.2.0 0.0.0.255 destination 10.50.3.0 0.0.0.64 rule 15 deny ip source 10.50.1.0 0.0.0.128 destination 10.50.3.0 0.0.0.64 rule 20 deny ip source 10.50.1.127 0.0.0.128 destination 10.50.3.0 0.0.0.64 反过来写也不行哦,直接deny source any destination 10.50.3.0 就是禁止所有IP访问3.0这个网段了,就上不了网了。。
vlan 500 套用了不生效,还是可以ping通。。
我在所有vlan下都应用了acl 3000 acl number 3000 rule 0 deny ip source 10.50.3.0 0.0.0.64 destination 10.50.2.0 0.0.0.255 rule 5 deny ip source 10.50.3.0 0.0.0.64 destination 10.50.1.127 0.0.0.128 rule 10 deny ip source 10.50.3.0 0.0.0.64 destination 10.50.1.0 0.0.0.128 rule 15 permit ip interface Vlan-interface200 packet-filter 3000 inbound packet-filter 3000 outbound 还是能ping通
已经应用了,但是还是能ping通,有没有可能是交换机生成了ARP表,根据ARP表转发了,不进行三层转发。我的网络架构是所有vlan都在一台核心上,核心上联一台出口路由,做的策略都是在核心上
acl number 3000 rule 10 deny ip source 10.50.2.0 0.0.0.255 destination 10.50.3.0 0.0.0.64 rule 15 deny ip source 10.50.1.0 0.0.0.128 destination 10.50.3.0 0.0.0.64 rule 20 deny ip source 10.50.1.127 0.0.0.128 destination 10.50.3.0 0.0.0.64 反过来写也不行哦,直接deny source any destination 10.50.3.0 就是禁止所有IP访问3.0这个网段了,就上不了网了。。
不行哦,我在所有vlan下都应用了acl 3000
acl number 3000
rule 0 deny ip source 10.50.3.0 0.0.0.64 destination 10.50.2.0 0.0.0.255
rule 5 deny ip source 10.50.3.0 0.0.0.64 destination 10.50.1.127 0.0.0.128
rule 10 deny ip source 10.50.3.0 0.0.0.64 destination 10.50.1.0 0.0.0.128
rule 15 permit ip
interface Vlan-interface200
packet-filter 3000 inbound
packet-filter 3000 outbound
还是能ping通
- 2022-05-09回答
- 评论(2)
- 举报
-
(0)
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
参考3楼