• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

H3C S5500交换机上做了ACL 禁止上外网,将地址绑定并加入ACL,检查发现还是能上外网。

2020-03-10提问
  • 0关注
  • 1收藏,1941浏览
粉丝:0人 关注:2人

问题描述:

查看原交换机做的配置,发现做了ACl

acl number 3000 

 description ==Forbidden surfing Internet== 

 rule 30 deny ip source XX.141.71.130 0 

 rule 30 comment == ticket==

这个130地址是不能上外网的,正常!

我把IP地址绑定mac地址后,加入这个组来,却发现还是能上外网,是怎么回事呢?


组网及组网描述:

外网-------核交------汇聚交换机------通过光转到下一层交换机-------到终端

最佳答案

粉丝:53人 关注:5人

确认下是否对应流量从下发策略的接口上来的。


所有策略都是从核交下去的,策略是在核交上做的。

zhiliao_EgidAC 发表时间:2020-03-10 更多>>

所有策略都是从核交下去的,策略是在核交上做的。

zhiliao_EgidAC 发表时间:2020-03-10
3 个回答
粉丝:30人 关注:3人


你做的是包过滤还是qos?具体配置呢

irf mac-address persistent timer irf auto-update enable undo irf link-delay # domain default enable system # link-aggregation load-sharing mode destination-mac source-mac # undo ip http enable # mirroring-group 1 local # acl number 3000 description ==Forbidden surfing Internet== rule 30 deny ip source XX.141.71.130 0 rule 30 comment ==#3 ticket== rule 60 deny ip source XX.141.71.157 0 rule 60 comment ==#3 room== acl number 3400 rule 0 permit ip destination XX.141.71.98 0 rule 1000 deny ip destination XX.0.0.0 0.255.255.255 # vlan 1 # vlan 2 description(描述) ==Floor 2==(楼层2) # vlan 3 description ==Floor 3== # vlan 4 description ==Floor 4== # vlan 100 name TO-HDGJ # radius scheme system server-type extended primary authentication 127.0.0.1 1645 primary accounting 127.0.0.1 1646 user-name-format without-domain # domain system access-limit disable state active idle-cut disable self-service-url disable # public-key peer syst public-key-code begin 30820122300D06092A864886F70D01010105000382010F003082010A0282010100EC16A980 public-key-code end peer-public-key end # dhcp server ip-pool 3period network XX.141.71.192 mask 255.255.255.224 gateway-list XX.141.71.222 dns-list XX.141.71.70 # dhcp server ip-pool vla # dhcp server ip-pool vlan4 static-bind ip-address XX.141.71.197 mask 255.255.255.224 static-bind mac-address 001a-a092-1166 # ip route-static 0.0.0.0 0.0.0.0 XX.141.71.110 ip route-static XX.0.0.0 255.0.0.0 XX.141.171.253 大概就是这样的。 很多VLAN 很多绑定地址。一些端口的分配Vlan及路由表

zhiliao_EgidAC 发表时间:2020-04-03 更多>>

所有策略都是从核交下去的,策略是在核交上做的。

zhiliao_EgidAC 发表时间:2020-03-10

那过滤应该是在核交上做了,和这台的acl没啥关系,这台设备的acl都没有被调用吧。你应该在核交上放通想要测试的这个ip。

dayday_up 发表时间:2020-03-10

irf mac-address persistent timer irf auto-update enable undo irf link-delay # domain default enable system # link-aggregation load-sharing mode destination-mac source-mac # undo ip http enable # mirroring-group 1 local # acl number 3000 description ==Forbidden surfing Internet== rule 30 deny ip source XX.141.71.130 0 rule 30 comment ==#3 ticket== rule 60 deny ip source XX.141.71.157 0 rule 60 comment ==#3 room== acl number 3400 rule 0 permit ip destination XX.141.71.98 0 rule 1000 deny ip destination XX.0.0.0 0.255.255.255 # vlan 1 # vlan 2 description(描述) ==Floor 2==(楼层2) # vlan 3 description ==Floor 3== # vlan 4 description ==Floor 4== # vlan 100 name TO-HDGJ # radius scheme system server-type extended primary authentication 127.0.0.1 1645 primary accounting 127.0.0.1 1646 user-name-format without-domain # domain system access-limit disable state active idle-cut disable self-service-url disable # public-key peer syst public-key-code begin 30820122300D06092A864886F70D01010105000382010F003082010A0282010100EC16A980 public-key-code end peer-public-key end # dhcp server ip-pool 3period network XX.141.71.192 mask 255.255.255.224 gateway-list XX.141.71.222 dns-list XX.141.71.70 # dhcp server ip-pool vla # dhcp server ip-pool vlan4 static-bind ip-address XX.141.71.197 mask 255.255.255.224 static-bind mac-address 001a-a092-1166 # ip route-static 0.0.0.0 0.0.0.0 XX.141.71.110 ip route-static XX.0.0.0 255.0.0.0 XX.141.171.253 大概就是这样的。 很多VLAN 很多绑定地址。一些端口的分配Vlan及路由表

zhiliao_EgidAC 发表时间:2020-04-03
David1 三段
粉丝:1人 关注:0人

查看你ACL策略的应用接口是否正确

所有策略都是从核交下去的,策略是在核交上做的。

zhiliao_EgidAC 发表时间:2020-03-10 更多>>

所有策略都是从核交下去的,策略是在核交上做的。

zhiliao_EgidAC 发表时间:2020-03-10
粉丝:138人 关注:6人

您好,请知:

1、如果是拥有NAT出口设备,请在做NAT转换的设备上,通过ACL来禁止此IP访问外网,并将ACL绑定到NAT中。

2、如果是在内网设备做的限制,请确认ACL应用在正确的接口上。

3、在应用ACL时,请确认应用的方向 in\out要跟数据访问的方向正确。

你说的接口是指什么???进、出有哪里看?我是初做这个,不太清楚这些,只是按原来的进行了一下添加,这个禁止也是在原来的禁止那里添加 了一个 rule 40deny ip source XX.141.71.201 0 但是无法禁止。原来的130可以禁止

zhiliao_EgidAC 发表时间:2020-03-12 更多>>

你说的接口是指什么???进、出有哪里看?我是初做这个,不太清楚这些,只是按原来的进行了一下添加,这个禁止也是在原来的禁止那里添加 了一个 rule 40deny ip source XX.141.71.201 0 但是无法禁止。原来的130可以禁止

zhiliao_EgidAC 发表时间:2020-03-12

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明