我划分了一个访客网Vlan107 ,IP是192.168.28.1;255.255.252.0。我想将这个网段的IP实现只能上网,内网隔离。目前我连在192.168.28.1这个网段已经可以上外网了,但是内网也能访问。希望大佬能知道我一下在S5560X这个交换机里面怎么做才能实现我的需求
(0)
内网跟外网在同一个网段吗?如果在,可以写明细路由到外网,到内网的明细路由删除;如果不在一个网段,删掉去内网的路由即可。
也可以通过包过滤等方式实现,实现方法很多的
(0)
1、先写一个acl,举例
acl number 3000
rule 0 permit udp any any eq 67
rule1 permit udp any any eq 68
rule 10 deny ip source any destination 192.168.0.0 0.0.255.255
rule 20 deny ip source any destination 172.16.0.0 0.15.255.255
rule 30 deny ip source any destination 10.0.0.0 0.255.255.255
rule 1000 permit ip any
2、然后通过packet-filter套用再interface vlan 107的inbound方向即可
(0)
假设你内网还有:
192.168.29.1/24
192.168.30.1/24
...
写ACL就行。
acl basic 2000
rule 5 deny source 192.168.29.0 0.0.0.255
rule 10 deny source 192.168.30.0 0.0.0.255
....
rule 20 permit ip
然后应用在vlan接口下
假设你这个隔离vlan是vlan107,则:
interface vlan 107
packet-filter 2000 inbound
即可。
(0)
#
acl advanced 3999
rule 0 deny ip destination 192.168.22.0 0.0.0.255
rule 5 deny ip destination 192.168.90.0 0.0.0.255
rule 100 permit ip
#
interface Vlan-interface107
packet-filter 3999 inbound
packet-filter 3999 outbound
#
注意:
1、acl 3999这个编号你可以修改为你想要的编号,如果现网这个编号已经在用,记得修改编号
2、acl里面的参考上面的格式,把你不想让他访问的内网地址段加上就行,我看你还有其他的地址段,你自己加上,比如:rule 10 deny ip destination 192.168.25.0 0.0.0.255
那个rule后面的数字记得更改,不要超过100,不要和之前的一样
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明