s5500si acl控制
- 1关注
- 1收藏,1127浏览
问题描述:
三层S5500划分了三个vlan vlan10 192.168.0.1 vlan20 192.168.1.1 vlan30 192.168.2.1需求是vlan10 vlan20不能互相访问但是可以同时访问vlan30这个需求如何用acl访问控制实现 我用了下面这些命令不成功啊 总是全通
组网及组网描述:
vlan 10 port g1/0/10 vlan 20 port g1/0/20 vlan 30 port g1/0/1 int vlan-interface 10 ip address 192.168.0.1 255.255.255.0 int vlan-interface 20 ip address 192.168.1.1 255.255.255.0 int vlan-interface 30 ip address 192.168.2.1 255.255.255.0 acl advanced 3000 ru 10 per ip so 192.168.0.0 0.0.255.255 des 192.168.3.0 0.0.0.255 ru 100 den ip so 192.168.0.0 0.0.255.255 des 192.168.0.0 0.0.255.255 ru 1000 per ip int vlan 10 packet-fi 3000 in int vlan 20 packet-fi 3000 in
- 2020-04-03提问
- 举报
-
(0)
最佳答案
这个得做类、行为和策略,然后应用到vlan,给你个案例参考下吧,例如:
1,建acl
acl advanced 3001 rule 1 permit ip source
192.168.0.0 0.0.0.255 destination
192.168.1.0 0.0.0.255
这里的rule一定要用permit,这个不是允许或阻断数据流,而是匹配数据流
2,建类引用acl:
traffic classifier 1
if-match acl 3001
3,建动作为阻止的行为:
traffic behavior 1
filter deny
4,建策略,关联类和行为
qos policy 1
classifier 1 behavior 1
5,应用策略:
qos vlan-policy 1 vlan 10 inbound
按照这个模板,您可以举一反三修改或添加内容,实现vlan间的访问策略 ,然后vlan 20的话,建个acl,把上边的 ACL
3001 的源和目的对调,策略应用到vlan 20 的inbound
- 2020-04-03回答
- 评论(4)
- 举报
-
(0)
我试了下还是 不行啊 vlan 10和20之间还是能通啊 哭了
这个端口要改成bridge么
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
配置发我看看460095286@qq.com