怎么设置某个vlan中 只允许一个IP地址出外网,其他地址都不能出
- 0关注
- 0收藏,727浏览
问题描述:
怎么设置某个vlan中 只允许一个IP地址出外网,其他地址都不能出
能在防火墙做条路由192.168.1.253 0 的回程路由吗 就不写24网段,写明细
组网及组网描述:
- 2023-08-28提问
- 举报
-
(0)
最佳答案
写明细路由可以做到
也可以用acl
然后调用nat 出接口 (nat acl 默认全拒绝 只写运许上外网的即可)
用acl 比较方便
interface GigabitEthernet1/0/15
nat outbound 3000
acl advanced 3000
rule 5 permit ip source 172.25.0.0 0.0.255.255
这样就代表只允许 172.25.0.0/16 上外网
其他路由就正常写
- 2023-08-28回答
- 评论(6)
- 举报
-
(0)
好的,这个ACL我可以用回程路由来控制上网网段的问题,比如我现在有20个vlan需要上网,其中vlan20里是监控 他们不需要上网,只需要20vlan里的一个IP能上,这种情况这样写ACL是不是就会很麻烦
不会很麻烦,你路由该写就全写 ,只用acl控制上不上网, 这后期维护起来很方便。
只要一个地址 acl 掩码就写 rule 5 permit ip source 192.168.1.253 0
在跟上你要上外网的 其他段
就是说把所有需要上网的段创建一个ACL,然后都加进去,再针对某个vlan只能有一个ip上外网的写条192.168.253 0这个就可以了是吧
是的
能在防火墙做条路由192.168.1.253 0 的回程路由吗 就不写24网段
可以的,
还可以通过安全策略限制,和nat outbound 后加ACL限制,只允许这一个地址做nat转换
- 2023-08-28回答
- 评论(2)
- 举报
-
(0)
那你再防火墙的安全规则里去做吧,ACL的掩码不好写。再防火墙trust 的源地址只写你服务器的,不写其他的
怎么说呢 其实只是这个业务的vlan不能上网,但是这个vlan服务器的IP要上,这个ACL需要咋写,其他vlan业务都需要上网
那你再防火墙的安全规则里去做吧,ACL的掩码不好写。再防火墙trust 的源地址只写你服务器的,不写其他的
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
是的