问题描述:
我想设置VLAN3(192.168.90.X)能访问内网其他VLAN,不能访问互联网。在没有设置ACL之前,VLAN3(192.168.90.X)与其他内网VLAN互通的,也是可以访问互联网的。
我尝试过以下两种方法:
ACL基础,设置拒绝(时间段00:01~23:59),绑定VLAN3出口方向,结果:不能访问互联网,但也与内部其他VLAN不通。
然后我又尝试高级ACL
ACL高级,设置允许,IP协议,匹配目标(192.168.100.0,0.0.0.255),时间段00:01~23:59,绑定VLAN3出口方向,结果:可以与内部其他VLAN互通,但互联网外网也是通的。
然后我又在高级里新增一条,设置拒绝,IP协议,时间段00:01~23:59,结果:与内部其他VLAN不通,与互联网外网不通。
无论我在高级里是先允许目标(192.168.100.0,0.0.0.255)还是先拒绝,结果都是:与内部其他VLAN不通,与互联网外网不通。
所以,大侠们,我到底该怎么做,或者怎么实现我要的这个效果(VLAN3与其他VLAN互通,与外网不通)。
- 2024-04-03提问
- 举报
-
(0)
您好,应用错了,用在inbound
- 2024-04-03回答
- 评论(3)
- 举报
-
(0)
是吗 我试试
是可以了,但我有个疑问,会不会其实请求数据还是会发给外网,只是自己收不到而已?那就尴尬了!
不会
配置肯定有问题,把配置发出来
- 2024-04-03回答
- 评论(1)
- 举报
-
(0)
acl advanced 3000 rule 10 permit ip source 192.168.90.0 0.0.0.255 destination 192.168.100.0 0.0.0.255 counting time-range alltimes rule 20 deny ip counting time-range alltimes int vlan 3 pack-filter 3000 outbound
acl advanced 3000 rule 10 permit ip source 192.168.90.0 0.0.0.255 destination 192.168.100.0 0.0.0.255 counting time-range alltimes rule 20 deny ip counting time-range alltimes int vlan 3 pack-filter 3000 outbound
acl ad 3000
rule 10 permit ip source 192.168.90.0 0.0.0.255 destination 192.168.100.0 0.0.0.255
ru 20 deny
int vlan 3
pack-filter 3000 inbound
- 2024-04-03回答
- 评论(2)
- 举报
-
(0)
inbound 方向 、方向错了、源为192.168.90.x 主机访问其他网段,要经过vlan 3 的转发、在入方向匹配到时目的为 100的网段则放通、其他拒绝
acl advanced 3000 rule 10 permit ip source 192.168.90.0 0.0.0.255 destination 192.168.100.0 0.0.0.255 counting time-range alltimes rule 20 deny ip counting time-range alltimes int vlan 3 pack-filter 3000 outbound 还是不行,100.X跟外网都不通
inbound 方向 、方向错了、源为192.168.90.x 主机访问其他网段,要经过vlan 3 的转发、在入方向匹配到时目的为 100的网段则放通、其他拒绝
目前配置:
acl advanced 3000
rule 10
permit ip source 192.168.90.0 0.0.0.255 destination 192.168.100.0 0.0.0.255 counting time-range alltimes
rule 20
deny ip counting time-range alltimes
int vlan 3 pack-filter 3000 outbound
100.X跟外网都不通
- 2024-04-03回答
- 评论(0)
- 举报
-
(0)
根据您的需求,您希望VLAN3与其他内部VLAN互通,但不与互联网外网通信。这需要一些配置来实现。以下是您可以尝试的步骤:
-
创建ACL规则:
- 首先,您需要创建一个ACL规则,以允许VLAN3与其他内部VLAN进行通信。这将确保内部通信正常。
- 在ACL中,设置允许源IP为VLAN3(192.168.90.X)的流量与其他内部VLAN(例如VLAN10、VLAN20等)进行通信。
-
阻止互联网访问:
- 接下来,您需要添加一条ACL规则,以阻止VLAN3的流量访问互联网。
- 在ACL中,设置拒绝源IP为VLAN3的流量访问互联网(目标IP为外部IP地址)。
-
应用ACL规则:
- 将ACL规则应用到VLAN3的出口方向。
以下是示例配置(请根据您的网络设备和具体情况进行调整):
acl number 3000
rule 10 permit ip source 192.168.90.0 0.0.0.255 destination 192.168.100.0 0.0.0.255
rule 20 deny ip source 192.168.90.0 0.0.0.255 destination any
interface Vlan-interface 3
ip address 192.168.90.1 24
packet-filter 3000 outbound
请注意,您需要将上述配置中的IP地址和VLAN号替换为您实际使用的值。此外,确保ACL规则的顺序正确,先允许内部通信,然后再阻止互联网访问。
如果您遇到问题或需要更详细的配置,请参考您所使用交换机的文档或联系网络管理员。
- 2024-04-03回答
- 评论(2)
- 举报
-
(0)
acl advanced 3000 rule 10 permit ip source 192.168.99.0 0.0.0.255 destination 192.168.100.0 0.0.0.255 rule 20 deny ip source 192.168.99.0 0.0.0.255 # 不行,内网外网都是通的
目标IP为外部IP地址 这个是0.0.0.0.0?
acl advanced 3000 rule 10 permit ip source 192.168.99.0 0.0.0.255 destination 192.168.100.0 0.0.0.255 rule 20 deny ip source 192.168.99.0 0.0.0.255 # 不行,内网外网都是通的
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
不会