acl配置
- 0关注
- 0收藏,745浏览
问题描述:
限制192.168.10.0网段不能访问192.168.20.0网段。
以下方法都不行
1、在交换机上配置 acl advanced 3000 rule 1 deny IP source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 应用在交换机的vlanif 10端口 packet–filter 3000 inbound 。
教室确实访问不了办公室了,但是办公室也访问不了教室了
2、在1的基础上加了permit语句
acl advanced 3001 rule 10 permit source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
在vlanif 10 端口 acl advanced 3001 outbound 这样也ping不通
3、acl advanced 3000 rule 1 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
interface vlanif 10
packet-filter 3000 outbound
教室和办公室都能互相访问
组网及组网描述:
- 2023-11-12提问
- 举报
-
(0)
最佳答案
包过滤需要应用在源地址的inbound方向 目的地址的outbound方向
且是双向阻断,要实现单通可参考:
例如,网段A(1.1.1.0/24)想要访问网段B(2.2.2.0/24),但是网段B (2.2.2.0/24) 无法访问网段A (1.1.1.0/24),可以通过如下配置分别实现ICMP和TCP流量单通:
acl advanced 3000
rule 0 deny icmp source 2.2.2.0 0.0.0.255 icmp-type echo //ICMP单通,阻断2.2.2.0/24网段发起的ICMP请求
rule 10 deny tcp source 2.2.2.0 0.0.0.255 syn 1 //TCP单通,阻断2.2.2.0/24网段发起的TCP连接请求,TCP建立连接第一次请求时会发送SYN=1的位码
然后将这条ACL在VLAN接口下或设备物理接口下使用包过滤命令调用即可
- 2023-11-12回答
- 评论(0)
- 举报
-
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论