S5560-30C-EI,如何禁止指定vlan訪問內網其他所有vlan
- 0關注
- 1收藏,1312瀏覽
問題描述:
在同一台交換機上,有vlan 100 200 300 400 500
vlan100 是二層聚合口的vlan,指定上網出去的路徑
500是來賓的WiFi,想禁止vlan500 訪問其它內網vlan
組網及組網描述:
- 2022-05-09提問
- 舉報
-
(0)
最佳答案
包過濾禁止vlan500 的網段,下發在其他VLAN下
- 2022-05-09回答
- 評論(2)
- 舉報
-
(0)
包過濾怎麼配置,還請大佬指點
參考3樓
禁止vlan 間相互訪問,看行不行,有問題在留言 其他的vlan 地址 參照下麵的寫
#
vlan 100
#
vlan 500
#
int vlan 100
ip add 192.168.10.1 24
#
int vlan 500
ip add 192.168.50.1 24
packet-filter 3999 inbound
packet-filter 3999 out
#
acl advanced 3999
rule 0 deny ip source 192.168.50.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
rule 5 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.50.0 0.0.0.255
rule 10 permit ip
- 2022-05-09回答
- 評論(8)
- 舉報
-
(0)
不行哦,我在所有vlan下都應用了acl 3000 acl number 3000 rule 0 deny ip source 10.50.3.0 0.0.0.64 destination 10.50.2.0 0.0.0.255 rule 5 deny ip source 10.50.3.0 0.0.0.64 destination 10.50.1.127 0.0.0.128 rule 10 deny ip source 10.50.3.0 0.0.0.64 destination 10.50.1.0 0.0.0.128 rule 15 permit ip interface Vlan-interface200 packet-filter 3000 inbound packet-filter 3000 outbound 還是能ping通
vlan接口下套用packet-filter
- 2022-05-09回答
- 評論(10)
- 舉報
-
(0)
acl number 3000 rule 10 deny ip source 10.50.2.0 0.0.0.255 destination 10.50.3.0 0.0.0.64 rule 15 deny ip source 10.50.1.0 0.0.0.128 destination 10.50.3.0 0.0.0.64 rule 20 deny ip source 10.50.1.127 0.0.0.128 destination 10.50.3.0 0.0.0.64 反過來寫也不行哦,直接deny source any destination 10.50.3.0 就是禁止所有IP訪問3.0這個網段了,就上不了網了。。
vlan 500 套用了不生效,還是可以ping通。。
我在所有vlan下都應用了acl 3000 acl number 3000 rule 0 deny ip source 10.50.3.0 0.0.0.64 destination 10.50.2.0 0.0.0.255 rule 5 deny ip source 10.50.3.0 0.0.0.64 destination 10.50.1.127 0.0.0.128 rule 10 deny ip source 10.50.3.0 0.0.0.64 destination 10.50.1.0 0.0.0.128 rule 15 permit ip interface Vlan-interface200 packet-filter 3000 inbound packet-filter 3000 outbound 還是能ping通
已經應用了,但是還是能ping通,有沒有可能是交換機生成了ARP表,根據ARP表轉發了,不進行三層轉發。我的網絡架構是所有vlan都在一台核心上,核心上聯一台出口路由,做的策略都是在核心上
acl number 3000 rule 10 deny ip source 10.50.2.0 0.0.0.255 destination 10.50.3.0 0.0.0.64 rule 15 deny ip source 10.50.1.0 0.0.0.128 destination 10.50.3.0 0.0.0.64 rule 20 deny ip source 10.50.1.127 0.0.0.128 destination 10.50.3.0 0.0.0.64 反過來寫也不行哦,直接deny source any destination 10.50.3.0 就是禁止所有IP訪問3.0這個網段了,就上不了網了。。
不行哦,我在所有vlan下都應用了acl 3000
acl number 3000
rule 0 deny ip source 10.50.3.0 0.0.0.64 destination 10.50.2.0 0.0.0.255
rule 5 deny ip source 10.50.3.0 0.0.0.64 destination 10.50.1.127 0.0.0.128
rule 10 deny ip source 10.50.3.0 0.0.0.64 destination 10.50.1.0 0.0.0.128
rule 15 permit ip
interface Vlan-interface200
packet-filter 3000 inbound
packet-filter 3000 outbound
還是能ping通
- 2022-05-09回答
- 評論(2)
- 舉報
-
(0)
編輯答案
親~登錄後才可以操作哦!
確定你的郵箱還未認證,請認證郵箱或綁定手機後進行當前操作
舉報
×
侵犯我的權益
×
侵犯了我企業的權益
×
- 1. 您舉報的內容是什麼?(請在郵件中列出您舉報的內容和鏈接地址)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
- 3. 是哪家企業?(營業執照,單位登記證明等證件)
- 4. 您與該企業的關係是?(您是企業法人或被授權人,需提供企業委托授權書)
抄襲了我的內容
×
原文鏈接或出處
誹謗我
×
- 1. 您舉報的內容以及侵犯了您什麼權益?(請在郵件中列出您舉報的內容、鏈接地址,並給出簡短的說明)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
對根叔社區有害的內容
×
不規範轉載
×
舉報說明
參考3樓