• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

交换机禁止访问valn7

2022-10-18提问
  • 0关注
  • 0收藏,746浏览
粉丝:0人 关注:1人

问题描述:

交换机现有valn1-8,都可上外网。vlan8(192.168.218.0/24)

需求如下,允许valn8上外网,禁止vlan8访问其他网段应该如何设置

网上查找了资料,做法如下,

方法一

acl number 3003 

rule 5 deny ip source 192.168.211.0 0.0.0.255 destination 192.168.218.0 0.0.0.255   禁止211访问218网段,敲入该命令后,211还是可以访问218

方法二

acl number 3003 

rule 1 deny ip source 192.168.211.0 255.255.255.0 

int valn 8 

packet-filter 3003 inbound

敲入该命令后,211还是可以访问218

组网及组网描述:


最佳答案

粉丝:3人 关注:1人

包过滤具体下发的位置是?如果是在vlan-interface下发的话,看你的配置应该下发在211段对应的vlan接口哦。


如果是要下发在218段的vlan接口,那么包过滤要改成outbound方向

acl number 3003 

rule 1 deny ip source 192.168.211.0 255.255.255.0 

int valn 8 

packet-filter 3003 inbound

对的

adamssss 发表时间:2022-10-18 更多>>

按照你说的易操作,还是能访问……

zhiliao_m2GNJ 发表时间:2022-10-18

你这个操作,是211不能访问218,218可以访问211吗

zhiliao_m2GNJ 发表时间:2022-10-18
回复zhiliao_m2GNJ:

报文交互是一来一回的,这个acl限制的是211到218的报文,所以不管哪边去ping应该都是不通的

adamssss 发表时间:2022-10-18

acl number 3003 rule 1 deny ip source 192.168.211.0 255.255.255.0 int valn 8 packet-filter 3003 inbound 按照操作了 还能ping 通 怎么发图片

zhiliao_m2GNJ 发表时间:2022-10-18

这个改成outbound了嘛?我刚刚只是把你的复制过来了,实际是这样的packet-filter 3003 outbound

adamssss 发表时间:2022-10-18

我的操作如下 [H3C-acl-adv-3003]rule 1 deny ip source 192.168.211.0 255.255.255.0 packet-filter 3003 outbound dis cu 查看如下 acl number 3003 rule 1 deny ip source 0.0.0.0 255.255.255.0 你帮我看看 设置的对吗

zhiliao_m2GNJ 发表时间:2022-10-18

看着应该没问题。如果需求是“允许valn8上外网,禁止vlan8访问其他网段应该如何设置”,可以试试如下方式: acl number 3xxx rule deny ip dest 192.168.211.0 0.0.0.255 (其他网段同理) int vlan 8 packet-filter 3xxx inbound

adamssss 发表时间:2022-10-18

acl number 3xxx rule deny ip dest 192.168.211.0 0.0.0.255 中间的dest是写当前valn的地址吗

zhiliao_m2GNJ 发表时间:2022-10-18

写禁止访问的网段。这个包过滤在int vlan 8的inbound方向,这个方向的流量都是218网段访问其他网段或者外网的嘛,写这个包过来是为了把目的ip为其他网段的给deny掉。

adamssss 发表时间:2022-10-18

假如我禁止211网段访问218,是要这样写吗 rule deny ip source 192.168.218.0 0.0.0.255 dest 192.168.211.0 0.0.0.255

zhiliao_m2GNJ 发表时间:2022-10-18

对的

adamssss 发表时间:2022-10-18
3 个回答
粉丝:96人 关注:1人

通过IP地址过滤流量典型配置举例

5.1  组网需求

图3所示,某公司的网络分成管理部、研发部和服务器三个区域,通过Device设备与Internet连接。现要求通过ACL实现:

·     管理部任意时间都可以访问Internet和服务器,但不能访问研发部;

·     研发部在工作时间(周一至周五的8:30~18:00)只能访问服务器,不能访问Internet和管理部;非工作时间可以访问Internet和服务器,但不能访问管理部。

图3 通过IP地址过滤流量配置组网图

 

5.2  配置思路

·     为实现管理部不能访问研发部,需要创建ACL配置规则拒绝目的地址为10.1.2.0/24的报文,在Device的Ten-GigabitEthernet1/0/4的入方向进行过滤;

·     为实现研发部在工作时间只能访问服务器,需要创建ACL配置规则只允许目的地址为10.2.1.0/24的报文通过,并指定规则的生效时间段,在Device的Ten-GigabitEthernet1/0/3的入方向上进行过滤;

·     为实现研发部在非工作时间不能访问管理部,需要创建ACL配置规则拒绝目的地址为10.1.1.0/24的报文,在Device的Ten-GigabitEthernet1/0/3的入方向上进行过滤;

·     缺省情况下,ACL规则的匹配顺序为配置顺序,因此在此例中,需要先创建指定时间段内只允许目的地址为10.2.1.0/24报文通过的规则,再创建指定时间段内拒绝其他报文通过的规则。

5.3  配置步骤

(1)     配置管理部的网络权限

# 创建IPv4高级ACL 3000。

<Device> system-view

[Device] acl advanced 3000

# 创建规则,过滤目的地址为10.1.2.0/24网段的报文。

[Device-acl-ipv4-adv-3000] rule deny ip destination 10.1.2.0 0.0.0.255

[Device-acl-ipv4-adv-3000] quit

# 配置包过滤功能,应用IPv4高级ACL 3000对端口Ten-GigabitEthernet1/0/4收到的IP报文进行过滤。

[Device] interface ten-gigabitethernet 1/0/4

[Device-Ten-GigabitEthernet1/0/4] packet-filter 3000 inbound

[Device-Ten-GigabitEthernet1/0/4] quit

(2)     配置研发部的网络权限

# 配置时间段worktime,指定周一至周五的8:30~18:00为工作时间。

[Device] time-range worktime 8:30 to 18:00 working-day

# 创建IPv4高级ACL 3001。

[Device] acl advanced 3001

# 创建规则,允许时间段内目的地址为10.2.1.0/24网段的报文通过。

[Device-acl-ipv4-adv-3001] rule permit ip destination 10.2.1.0 0.0.0.255 time-range worktime

# 创建规则,过滤时间段内其他的报文。

[Device-acl-ipv4-adv-3001] rule deny ip time-range worktime

# 创建规则,过滤目的地址为10.1.1.0/24网段的报文。

[Device-acl-ipv4-adv-3001] rule deny ip destination 10.1.1.0 0.0.0.255

[Device-acl-ipv4-adv-3001] quit

# 配置包过滤功能,应用IPv4高级ACL 3001对端口Ten-GigabitEthernet1/0/3收到的IP报文进行过滤。

[Device] interface ten-gigabitethernet 1/0/3

[Device-Ten-GigabitEthernet1/0/3] packet-filter 3001 inbound

[Device-Ten-GigabitEthernet1/0/3] quit

5.4  验证配置

执行display packet-filter命令查看包过滤功能的应用状态。

[Device] display packet-filter interface inbound

Interface: Ten-GigabitEthernet1/0/3

 Inbound policy:

  IPv4 ACL 3001

Interface: Ten-GigabitEthernet1/0/4

 Inbound policy:

  IPv4 ACL 3000

上述信息显示Ten-GigabitEthernet1/0/3和Ten-GigabitEthernet1/0/4端口上已经正确应用了包过滤功能。

# 在周一的上午9:30,从研发部的某台电脑上ping Internet上某个网站,结果无法ping通。

C:\>ping ***.***

 

Pinging ***.*** [173.194.127.242] with 32 bytes of data:

 

Reply from 173.194.127.242: bytes=32 time=30ms TTL=50

Reply from 173.194.127.242: bytes=32 time=30ms TTL=50

Reply from 173.194.127.242: bytes=32 time=30ms TTL=50

Reply from 173.194.127.242: bytes=32 time=30ms TTL=50

 

Ping statistics for 173.194.127.242:

    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

    Minimum = 30ms, Maximum = 30ms, Average = 30ms

C:\>

# 在周一的上午9:30,从管理部的某台电脑上ping Internet上某个网站,结果可以ping通。

C:\>ping ***.***

 

Pinging ***.*** [173.194.127.242] with 32 bytes of data:

 

Reply from 173.194.127.242: bytes=32 time=30ms TTL=50

Reply from 173.194.127.242: bytes=32 time=30ms TTL=50

Reply from 173.194.127.242: bytes=32 time=30ms TTL=50

Reply from 173.194.127.242: bytes=32 time=30ms TTL=50

 

Ping statistics for 173.194.127.242:

    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

    Minimum = 30ms, Maximum = 30ms, Average = 30ms

C:\>

# 在周一的晚上19:30,从研发部的某台电脑上ping Internet上某个网站,结果可以ping通。

C:\>ping ***.***

 

Pinging ***.*** [173.194.127.242] with 32 bytes of data:

 

Reply from 173.194.127.242: bytes=32 time=30ms TTL=50

Reply from 173.194.127.242: bytes=32 time=30ms TTL=50

Reply from 173.194.127.242: bytes=32 time=30ms TTL=50

Reply from 173.194.127.242: bytes=32 time=30ms TTL=50

 

Ping statistics for 173.194.127.242:

    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

    Minimum = 30ms, Maximum = 30ms, Average = 30ms

C:\>

5.5  配置文件

#

interface Ten-GigabitEthernet1/0/3

 port link-mode bridge

 packet-filter 3001 inbound

#

interface Ten-GigabitEthernet1/0/4

 port link-mode bridge

 packet-filter 3000 inbound

#

 time-range worktime 08:30 to 18:00 working-day

#

acl advanced 3000

 rule 0 deny ip destination 10.1.2.0 0.0.0.255

#

acl advanced 3001

 rule 0 permit ip destination 10.2.1.0 0.0.0.255 time-range worktime

 rule 5 deny ip time-range worktime

 rule 10 deny ip destination 10.1.1.0 0.0.0.255

复制的不用。谢谢,我也会复制

zhiliao_m2GNJ 发表时间:2022-10-18 更多>>

复制的不用。谢谢,我也会复制

zhiliao_m2GNJ 发表时间:2022-10-18
粉丝:192人 关注:8人

int vlan 8 的网段是192.168.218.0 


不允许访问局域网网段:

acl advanced 3000

rule 100 deny ip source 192.168.218.0 0.0.0.255 destinati
on *******  局域网网段

rule1000 permit any


interface vlan 8

packet-filter  3000 inbound

粉丝:0人 关注:0人

你的问题应该没有信用包出入策略,acl规则是写了,但只写了规则却没有信用。
例:

Int Vlan 2
packet - filter 3000 inbound

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明