ac123
- 0关注
- 0收藏,450浏览
问题描述:
访客网段192.168.200.0/24
服务器网段是有多个
现在需求禁止访客网段访问服务器网段
这个acl 怎么写
- 2025-04-05提问
- 举报
-
(0)
最佳答案
建议是在访客那面禁止访问服务器,同时每个rule使用编号,步长为5,方面后续扩充
acl number 3000
rule 5 deny ip source 192.168.200.0 0.0.0.255 destination 服务器网段1
rule 10 deny ip source 192.168.200.0 0.0.0.255 destination 服务器网段2
rule 15 deny ip source 192.168.200.0 0.0.0.255 destination 服务器网段3
rule 20 deny ip source 192.168.200.0 0.0.0.255 destination 服务器网段----
rule 25 permit ip any
int vlan 1(访客网关vlanif)
packet-filter 3000 outbound
- 2025-04-05回答
- 评论(0)
- 举报
-
(0)
acl number 3000 # 创建高级ACL 3000
rule 5 deny ip source 192.168.200.0 0.0.0.255 destination any # 禁止访客访问所有服务器 rule 10 permit ip source any destination any # 允许其他流量
quit
- 2025-04-05回答
- 评论(0)
- 举报
-
(0)
暂无评论
# 创建高级ACL(用于过滤源+目的地址)
system-view
acl advanced 3000
# 禁止访客网段访问所有服务器网段(需替换实际服务器网段)
rule deny ip source 192.168.200.0 0.0.0.255 destination <服务器网段1> <反掩码>
rule deny ip source 192.168.200.0 0.0.0.255 destination <服务器网段2> <反掩码>
rule permit ip # 放行其他流量
# 将ACL应用到接口(示例为服务器网段接口入方向)
interface GigabitEthernet1/0/1
packet-filter 3000 inbound
**关键配置说明**:
1. ACL类型使用**高级ACL(3000-3999)**,支持源/目的IP过滤
2. 每条`rule`中:
- `destination`需替换为实际服务器网段(如10.1.1.0 0.0.0.255)
- 反掩码格式需与子网对应(/24对应0.0.0.255)
3. 末尾的`rule permit ip`确保非禁止流量正常通行
4. 应用ACL时需根据网络拓扑选择正确的接口和方向(推荐服务器侧接口入方向)
> 注:实际部署时请将`<服务器网段>`替换为具体地址(如10.1.1.0、192.168.10.0等),并核对接口编号。若服务器分布在多个VLAN,建议使用VLAN接口应用ACL。
- 2025-04-05回答
- 评论(0)
- 举报
-
(1)
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论