问题描述:
内网环境下配置了带外管理ip段为:192.168.1.1/26;
同时该ip段在核心设备配置了vlaninterface11 ip地址为:192.168.1.1,同时ospf宣告;
现在目的是只允许:192.168.1.64/26访问192.168.1.1/26,禁止其他ip地址访问该ip段。
ACL配置如下:
acl number 3011
rule 5 permit ip source 192.168.1.64 0.0.0.63 destination 192.168.1.1 0.0.0.63
rule 15 deny ip source 192.168.1.1 0.0.0.63
rule 20 permit ip
然后将acl 3011 调用到interface-vlan 11 下。请问一下各位大佬这样配置行嘛?
- 2025-02-20提问
- 举报
-
(0)
最佳答案
这个ACL怎么写和你调用的方向有关系
要实现仅允许192.168.1.64/26网段访问192.168.1.1/26网段,同时禁止其他IP地址访问,可以通过在192.168.1.1的VLAN接口上应用ACL策略来实现。
以下是一个示例配置: 1. 创建ACL策略:
``` system-view [Device] acl number 2000
[Device-acl-basic-2000] rule 0 permit source 192.168.1.64 0.0.0.63
[Device-acl-basic-2000] rule 5 deny source any
[Device-acl-basic-2000] quit ```
2. 将ACL策略应用到VLAN接口的入方向:
``` [Device] interface vlan-interface 11
[Device-Vlan-interface11] packet-filter 2000 inbound
[Device-Vlan-interface11] quit
``` 这将确保只有192.168.1.64/26网段的流量可以访问192.168.1.1/26网段,而其他所有流量将被阻止。注意,ACL策略规则中的`source`参数指定了源IP地址范围,而`destination`参数如果未指定,则默认为所有目的地址。
- 2025-02-20回答
- 评论(4)
- 举报
-
(0)
inbound
另外我想问一下是不是默认拒绝的
如果ACL被应用于远程接入(如TELNET/SSH)访问,默认动作是拒绝的。这意味着,如果没有特定的规则允许某些流量,所有流量将被默认拒绝。然而,如果ACL与包过滤防火墙结合使用,缺省情况下,未匹配到任何规则的报文将被允许通过。
但是,您可以通过执行以下命令来改变这一行为,使默认动作为拒绝所有报文: ``` [H3C] packet-filter default deny ``` 在QoS(Quality of Service)配置中,ACL不区分拒绝或允许行为。一旦报文匹配到ACL中的规则,将执行与之关联的QoS动作
您好,第二条就全拒绝了,第三条没意义
- 2025-02-20回答
- 评论(1)
- 举报
-
(0)
默认拒绝是嘛
默认拒绝是嘛
acl number 3011
rule 5 permit ip source 192.168.1.64 0.0.0.63 destination 192.168.1.1 0.0.0.63
你这样写就行,其他的不要。ACL缺省最后一个就是deny
- 2025-02-20回答
- 评论(1)
- 举报
-
(0)
ok
ok
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
但是,您可以通过执行以下命令来改变这一行为,使默认动作为拒绝所有报文: ``` [H3C] packet-filter default deny ``` 在QoS(Quality of Service)配置中,ACL不区分拒绝或允许行为。一旦报文匹配到ACL中的规则,将执行与之关联的QoS动作