限制192.168.10.0网段不能访问192.168.20.0网段。
以下方法都不行
1、在交换机上配置 acl advanced 3000 rule 1 deny IP source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 应用在交换机的vlanif 10端口 packet–filter 3000 inbound 。
教室确实访问不了办公室了,但是办公室也访问不了教室了
2、在1的基础上加了permit语句
acl advanced 3001 rule 10 permit source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
在vlanif 10 端口 acl advanced 3001 outbound 这样也ping不通
3、acl advanced 3000 rule 1 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
interface vlanif 10
packet-filter 3000 outbound
教室和办公室都能互相访问
(0)
最佳答案
包过滤需要应用在源地址的inbound方向 目的地址的outbound方向
且是双向阻断,要实现单通可参考:
例如,网段A(1.1.1.0/24)想要访问网段B(2.2.2.0/24),但是网段B (2.2.2.0/24) 无法访问网段A (1.1.1.0/24),可以通过如下配置分别实现ICMP和TCP流量单通:
acl advanced 3000
rule 0 deny icmp source 2.2.2.0 0.0.0.255 icmp-type echo //ICMP单通,阻断2.2.2.0/24网段发起的ICMP请求
rule 10 deny tcp source 2.2.2.0 0.0.0.255 syn 1 //TCP单通,阻断2.2.2.0/24网段发起的TCP连接请求,TCP建立连接第一次请求时会发送SYN=1的位码
然后将这条ACL在VLAN接口下或设备物理接口下使用包过滤命令调用即可
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论