问题描述:
我划分了一个访客网Vlan107 ,IP是192.168.28.1;255.255.252.0。我想将这个网段的IP实现只能上网,内网隔离。目前我连在192.168.28.1这个网段已经可以上外网了,但是内网也能访问。希望大佬能知道我一下在S5560X这个交换机里面怎么做才能实现我的需求
组网及组网描述:
- 2022-08-16提问
- 举报
-
(0)
内网跟外网在同一个网段吗?如果在,可以写明细路由到外网,到内网的明细路由删除;如果不在一个网段,删掉去内网的路由即可。
也可以通过包过滤等方式实现,实现方法很多的
- 2022-08-16回答
- 评论(0)
- 举报
-
(0)
1、先写一个acl,举例
acl number 3000
rule 0 permit udp any any eq 67
rule1 permit udp any any eq 68
rule 10 deny ip source any destination 192.168.0.0 0.0.255.255
rule 20 deny ip source any destination 172.16.0.0 0.15.255.255
rule 30 deny ip source any destination 10.0.0.0 0.255.255.255
rule 1000 permit ip any
2、然后通过packet-filter套用再interface vlan 107的inbound方向即可
- 2022-08-16回答
- 评论(0)
- 举报
-
(0)
假设你内网还有:
192.168.29.1/24
192.168.30.1/24
...
写ACL就行。
acl basic 2000
rule 5 deny source 192.168.29.0 0.0.0.255
rule 10 deny source 192.168.30.0 0.0.0.255
....
rule 20 permit ip
然后应用在vlan接口下
假设你这个隔离vlan是vlan107,则:
interface vlan 107
packet-filter 2000 inbound
即可。
- 2022-08-16回答
- 评论(2)
- 举报
-
(0)
#
acl advanced 3999
rule 0 deny ip destination 192.168.22.0 0.0.0.255
rule 5 deny ip destination 192.168.90.0 0.0.0.255
rule 100 permit ip
#
interface Vlan-interface107
packet-filter 3999 inbound
packet-filter 3999 outbound
#
注意:
1、acl 3999这个编号你可以修改为你想要的编号,如果现网这个编号已经在用,记得修改编号
2、acl里面的参考上面的格式,把你不想让他访问的内网地址段加上就行,我看你还有其他的地址段,你自己加上,比如:rule 10 deny ip destination 192.168.25.0 0.0.0.255
那个rule后面的数字记得更改,不要超过100,不要和之前的一样
- 2022-08-16回答
- 评论(0)
- 举报
-
(0)
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明