交换机禁止访问valn7
- 0关注
- 0收藏,638浏览
问题描述:
交换机现有valn1-8,都可上外网。vlan8(192.168.218.0/24)
需求如下,允许valn8上外网,禁止vlan8访问其他网段应该如何设置
网上查找了资料,做法如下,
方法一
acl number 3003
rule 5 deny ip source 192.168.211.0 0.0.0.255 destination 192.168.218.0 0.0.0.255 禁止211访问218网段,敲入该命令后,211还是可以访问218
方法二
acl number 3003
rule 1 deny ip source 192.168.211.0 255.255.255.0
int valn 8
packet-filter 3003 inbound
敲入该命令后,211还是可以访问218
组网及组网描述:
- 2022-10-18提问
- 举报
-
(0)
最佳答案
通过IP地址过滤流量典型配置举例
5.1 组网需求
如图3所示,某公司的网络分成管理部、研发部和服务器三个区域,通过Device设备与Internet连接。现要求通过ACL实现:
· 管理部任意时间都可以访问Internet和服务器,但不能访问研发部;
· 研发部在工作时间(周一至周五的8:30~18:00)只能访问服务器,不能访问Internet和管理部;非工作时间可以访问Internet和服务器,但不能访问管理部。
图3 通过IP地址过滤流量配置组网图
5.2 配置思路
· 为实现管理部不能访问研发部,需要创建ACL配置规则拒绝目的地址为10.1.2.0/24的报文,在Device的Ten-GigabitEthernet1/0/4的入方向进行过滤;
· 为实现研发部在工作时间只能访问服务器,需要创建ACL配置规则只允许目的地址为10.2.1.0/24的报文通过,并指定规则的生效时间段,在Device的Ten-GigabitEthernet1/0/3的入方向上进行过滤;
· 为实现研发部在非工作时间不能访问管理部,需要创建ACL配置规则拒绝目的地址为10.1.1.0/24的报文,在Device的Ten-GigabitEthernet1/0/3的入方向上进行过滤;
· 缺省情况下,ACL规则的匹配顺序为配置顺序,因此在此例中,需要先创建指定时间段内只允许目的地址为10.2.1.0/24报文通过的规则,再创建指定时间段内拒绝其他报文通过的规则。
5.3 配置步骤
# 创建IPv4高级ACL 3000。
<Device> system-view
[Device] acl advanced 3000
# 创建规则,过滤目的地址为10.1.2.0/24网段的报文。
[Device-acl-ipv4-adv-3000] rule deny ip destination 10.1.2.0 0.0.0.255
[Device-acl-ipv4-adv-3000] quit
# 配置包过滤功能,应用IPv4高级ACL 3000对端口Ten-GigabitEthernet1/0/4收到的IP报文进行过滤。
[Device] interface ten-gigabitethernet 1/0/4
[Device-Ten-GigabitEthernet1/0/4] packet-filter 3000 inbound
[Device-Ten-GigabitEthernet1/0/4] quit
(2) 配置研发部的网络权限
# 配置时间段worktime,指定周一至周五的8:30~18:00为工作时间。
[Device] time-range worktime 8:30 to 18:00 working-day
# 创建IPv4高级ACL 3001。
[Device] acl advanced 3001
# 创建规则,允许时间段内目的地址为10.2.1.0/24网段的报文通过。
[Device-acl-ipv4-adv-3001] rule permit ip destination 10.2.1.0 0.0.0.255 time-range worktime
# 创建规则,过滤时间段内其他的报文。
[Device-acl-ipv4-adv-3001] rule deny ip time-range worktime
# 创建规则,过滤目的地址为10.1.1.0/24网段的报文。
[Device-acl-ipv4-adv-3001] rule deny ip destination 10.1.1.0 0.0.0.255
[Device-acl-ipv4-adv-3001] quit
# 配置包过滤功能,应用IPv4高级ACL 3001对端口Ten-GigabitEthernet1/0/3收到的IP报文进行过滤。
[Device] interface ten-gigabitethernet 1/0/3
[Device-Ten-GigabitEthernet1/0/3] packet-filter 3001 inbound
[Device-Ten-GigabitEthernet1/0/3] quit
5.4 验证配置
# 执行display packet-filter命令查看包过滤功能的应用状态。
[Device] display packet-filter interface inbound
Interface: Ten-GigabitEthernet1/0/3
Inbound policy:
IPv4 ACL 3001
Interface: Ten-GigabitEthernet1/0/4
Inbound policy:
IPv4 ACL 3000
上述信息显示Ten-GigabitEthernet1/0/3和Ten-GigabitEthernet1/0/4端口上已经正确应用了包过滤功能。
# 在周一的上午9:30,从研发部的某台电脑上ping Internet上某个网站,结果无法ping通。
C:\>ping ***.***
Pinging ***.*** [173.194.127.242] with 32 bytes of data:
Reply from 173.194.127.242: bytes=32 time=30ms TTL=50
Reply from 173.194.127.242: bytes=32 time=30ms TTL=50
Reply from 173.194.127.242: bytes=32 time=30ms TTL=50
Reply from 173.194.127.242: bytes=32 time=30ms TTL=50
Ping statistics for 173.194.127.242:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 30ms, Maximum = 30ms, Average = 30ms
C:\>
# 在周一的上午9:30,从管理部的某台电脑上ping Internet上某个网站,结果可以ping通。
C:\>ping ***.***
Pinging ***.*** [173.194.127.242] with 32 bytes of data:
Reply from 173.194.127.242: bytes=32 time=30ms TTL=50
Reply from 173.194.127.242: bytes=32 time=30ms TTL=50
Reply from 173.194.127.242: bytes=32 time=30ms TTL=50
Reply from 173.194.127.242: bytes=32 time=30ms TTL=50
Ping statistics for 173.194.127.242:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 30ms, Maximum = 30ms, Average = 30ms
C:\>
# 在周一的晚上19:30,从研发部的某台电脑上ping Internet上某个网站,结果可以ping通。
C:\>ping ***.***
Pinging ***.*** [173.194.127.242] with 32 bytes of data:
Reply from 173.194.127.242: bytes=32 time=30ms TTL=50
Reply from 173.194.127.242: bytes=32 time=30ms TTL=50
Reply from 173.194.127.242: bytes=32 time=30ms TTL=50
Reply from 173.194.127.242: bytes=32 time=30ms TTL=50
Ping statistics for 173.194.127.242:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 30ms, Maximum = 30ms, Average = 30ms
C:\>
5.5 配置文件
#
interface Ten-GigabitEthernet1/0/3
port link-mode bridge
packet-filter 3001 inbound
#
interface Ten-GigabitEthernet1/0/4
port link-mode bridge
packet-filter 3000 inbound
#
time-range worktime 08:30 to 18:00 working-day
#
acl advanced 3000
rule 0 deny ip destination 10.1.2.0 0.0.0.255
#
acl advanced 3001
rule 0 permit ip destination 10.2.1.0 0.0.0.255 time-range worktime
rule 5 deny ip time-range worktime
rule 10 deny ip destination 10.1.1.0 0.0.0.255
- 2022-10-18回答
- 评论(1)
- 举报
-
(0)
复制的不用。谢谢,我也会复制
int vlan 8 的网段是192.168.218.0
不允许访问局域网网段:
acl advanced 3000
rule 100 deny ip source 192.168.218.0 0.0.0.255 destinati
on ******* 局域网网段
rule1000 permit any
interface vlan 8
packet-filter 3000 inbound
- 2022-10-18回答
- 评论(0)
- 举报
-
(0)
你的问题应该没有信用包出入策略,acl规则是写了,但只写了规则却没有信用。
例:
- 2022-10-18回答
- 评论(0)
- 举报
-
(0)
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
按照你说的易操作,还是能访问……
你这个操作,是211不能访问218,218可以访问211吗
报文交互是一来一回的,这个acl限制的是211到218的报文,所以不管哪边去ping应该都是不通的
acl number 3003 rule 1 deny ip source 192.168.211.0 255.255.255.0 int valn 8 packet-filter 3003 inbound 按照操作了 还能ping 通 怎么发图片
这个改成outbound了嘛?我刚刚只是把你的复制过来了,实际是这样的packet-filter 3003 outbound
我的操作如下 [H3C-acl-adv-3003]rule 1 deny ip source 192.168.211.0 255.255.255.0 packet-filter 3003 outbound dis cu 查看如下 acl number 3003 rule 1 deny ip source 0.0.0.0 255.255.255.0 你帮我看看 设置的对吗
看着应该没问题。如果需求是“允许valn8上外网,禁止vlan8访问其他网段应该如何设置”,可以试试如下方式: acl number 3xxx rule deny ip dest 192.168.211.0 0.0.0.255 (其他网段同理) int vlan 8 packet-filter 3xxx inbound
acl number 3xxx rule deny ip dest 192.168.211.0 0.0.0.255 中间的dest是写当前valn的地址吗
写禁止访问的网段。这个包过滤在int vlan 8的inbound方向,这个方向的流量都是218网段访问其他网段或者外网的嘛,写这个包过来是为了把目的ip为其他网段的给deny掉。
假如我禁止211网段访问218,是要这样写吗 rule deny ip source 192.168.218.0 0.0.0.255 dest 192.168.211.0 0.0.0.255
对的