限制192.168.10.0网段不能访问192.168.20.0网段,在交换机上配置了 acl advanced 3000 rule 1 deny IP source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 应用在交换机的vlanif 10端口 packet–filter 3000 inbound 。教室确实访问不了办公室了,但是办公室也访问不了教室了
加了permit语句
acl advanced 3001 rule 10 permit source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
在vlanif 10 端口 acl advanced 3001 outbound 这样也ping不通
在vlanif 20 端口 acl advanced 3001 outbound 这样也ping不通
(0)
最佳答案
acl advanced 3001 rule 10 permit source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
其次,ACL需要应用在出接口上(egress),而不是应用在入接口上(ingress)。所以您需要将ACL应用在vlanif 20端口的出接口上。请使用以下命令:
interface vlanif 20
packet-filter 3001 outbound
(0)
就是这样也不行呢
您的目的是限制教室不能访问办公室,但是办公室可以访问教室。您的配置有以下几个问题:
1. 您在vlanif 10端口上应用了acl advanced 3000 inbound,这样会拒绝教室的数据包进入交换机,达到了限制教室访问办公室的目的,但是也会拒绝办公室的回应数据包进入交换机,导致办公室也无法访问教室。您应该在vlanif 10端口上应用acl advanced 3000 outbound,这样只会拒绝教室的数据包出去交换机,而不会影响办公室的数据包进入交换机。
2. 您在vlanif 10端口上又应用了acl advanced 3001 outbound,这样会允许办公室的数据包出去交换机,但是也会允许教室的数据包进入交换机,导致教室可以访问办公室。您应该删除这条配置,因为它和您的目的相矛盾。
3. 您在vlanif 20端口上应用了acl advanced 3001 outbound,这样没有任何作用,因为这条acl只匹配源地址是192.168.20.0/24的数据包,而vlanif 20端口上不会有这样的数据包。您应该删除这条配置,因为它是多余的。
综上,您的配置应该修改为:
acl advanced 3000 rule 1 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
interface vlanif 10
packet-filter 3000 outbound
这样,您就可以实现您的目的,即限制教室不能访问办公室,但是办公室可以访问教室。
(1)
您的问题是我这样配了后,教室也能访问办公室,办公室也能访问教室。可能的原因有以下几种: 您的acl advanced 3000只匹配了源地址是192.168.10.0/24的数据包,而没有匹配目的地址是192.168.10.0/24的数据包。这样的话,办公室的数据包可以进入交换机,也可以出去交换机,达到了办公室可以访问教室的目的,但是也导致教室可以访问办公室。解决方法是在acl advanced 3000中添加一条规则,匹配目的地址是192.168.10.0/24的数据包,比如: acl advanced 3000 rule 2 deny ip destination 192.168.10.0 0.0.0.255 source 192.168.20.0 0.0.0.255 您的vlanif 10端口上应用了packet-filter 3000 outbound,这样会拒绝教室的数据包出去交换机,也会拒绝办公室的数据包进入交换机。这样的话,教室和办公室之间的通信都会被阻断,与您的目的不符。解决方法是在vlanif 10端口上应用packet-filter 3000 inbound,这样只会拒绝教室的数据包进入交换机,而不会影响办公室的数据包出去交换机,比如: interface vlanif 10 packet-filter 3000 inbound
我这样配了后,教室也能访问办公室,办公室也能访问教室
您的问题是我这样配了后,教室也能访问办公室,办公室也能访问教室。可能的原因有以下几种: 您的acl advanced 3000只匹配了源地址是192.168.10.0/24的数据包,而没有匹配目的地址是192.168.10.0/24的数据包。这样的话,办公室的数据包可以进入交换机,也可以出去交换机,达到了办公室可以访问教室的目的,但是也导致教室可以访问办公室。解决方法是在acl advanced 3000中添加一条规则,匹配目的地址是192.168.10.0/24的数据包,比如: acl advanced 3000 rule 2 deny ip destination 192.168.10.0 0.0.0.255 source 192.168.20.0 0.0.0.255 您的vlanif 10端口上应用了packet-filter 3000 outbound,这样会拒绝教室的数据包出去交换机,也会拒绝办公室的数据包进入交换机。这样的话,教室和办公室之间的通信都会被阻断,与您的目的不符。解决方法是在vlanif 10端口上应用packet-filter 3000 inbound,这样只会拒绝教室的数据包进入交换机,而不会影响办公室的数据包出去交换机,比如: interface vlanif 10 packet-filter 3000 inbound
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
就是这样也不行呢