每个ssid一个VLAN,在哪个设备限制不同vlan互访

新人帖[复制链接]
发表于 : 6 天前 最新回复:2018-06-18 05:37:06
147 9
林白    

  求助帖: (未解决)

AC旁挂三层组网,本地转发,AP的IP地址由AC分发,STA的IP地址由核心交换分配;要求:vlan11可同时上内网和外网;vlan12只能上内网不能上外网;vlan13只能上外网不能上内网,怎样实现?是在核心交换机上面设置,还是在防火墙上面做安全策略来控制?初学,麻烦尽量详细点。20180614164143929.png

  • x
  • 常规:

点评 回复

跳转到指定楼层
网络管理员木头  管理员   发表于 6 天前 已赞(0) 赞(0)

  • x
  • 常规:

点评 回复

kmyd  版主   发表于 6 天前 已赞(0) 赞(0)

核心,防火墙上都要做策略!
  • x
  • 常规:

点评 回复

cici10235  新锐   发表于 6 天前 已赞(0) 赞(0)

本帖最后由 cici10235 于 2018-6-14 22:23 编辑 第一步,先解决上网与不能上网的问题:
防火墙上做策略
permit VLAN11   VLAN13
deny    VLAN12
第二步,解决内网限制问题:
核心做acl控制
禁止VLAN11 、VLAN12 与VLAN13互通
  • x
  • 常规:

点评 回复

林白     发表于 4 天前 已赞(0) 赞(0)

kmyd 发表于 2018-6-14 22:00 核心,防火墙上都要做策略!
您说的是防火墙上面做上外网的NAT策略吧,这个我知道,我的意思是vlan11、vlan12和vlan13这几个网段不能互访的策略做在哪里?这个不能互访的策略只要在一个设备上做就可以了吧?在AC上面做,还是在核心上面做,还是也可以在防火墙上面做?新人,感谢。。
  • x
  • 常规:

点评 回复

林白     发表于 4 天前 已赞(0) 赞(0)

cici10235 发表于 2018-6-14 22:21 第一步,先解决上网与不能上网的问题:防火墙上做策略permit VLAN11   VLAN13deny    VLAN12第二步, ...
请问,第二部,内网限制互访只能在核心上面做吗,可以在ac或者防火墙上面做吗,通过防火墙的安全策略来控制可以吗?
  • x
  • 常规:

点评 回复

cici10235  新锐   发表于 4 天前 已赞(0) 赞(0)

林白 发表于 2018-6-16 15:31 请问,第二部,内网限制互访只能在核心上面做吗,可以在ac或者防火墙上面做吗,通过防火墙的安全策略来控 ...
可以再防火墙上做安全策略来控制内部互访,AC因为是胖挂位置,所以在AC上做就没有意义了,建议在核心或者防火墙上做,防火墙写安全策略比较更全面一些。
  • x
  • 常规:

点评 回复

林白     发表于 3 天前 已赞(0) 赞(0)

cici10235 发表于 2018-6-16 22:04 可以再防火墙上做安全策略来控制内部互访,AC因为是胖挂位置,所以在AC上做就没有意义了,建议在核心或者 ...
好的,感谢。。。
  • x
  • 常规:

点评 回复

林白     发表于 3 天前 已赞(0) 赞(0)

cici10235 发表于 2018-6-16 22:04 可以再防火墙上做安全策略来控制内部互访,AC因为是胖挂位置,所以在AC上做就没有意义了,建议在核心或者 ...
我在模拟器里面,做安全策略 原地址。。。。 目的地址。。。。。deny,还是可以ping通,这个是不是只能在核心上面做acl了,因为数据不用到防火墙那里,直接在核心上面就可以互通了。
  • x
  • 常规:

点评 回复

cici10235  新锐   发表于 前天 05:37 已赞(0) 赞(0)

林白 发表于 2018-06-17 17:27:56 我在模拟器里面,做安全策略 原地址。。。。 目的地址。。。。。deny,还是可以ping通,这个是不是只能 ...
防火墙上做上网与不上网的策略,核心上做VLAN之间访问的策略
  • x
  • 常规:

点评 回复

发表回复
您需要登录后才可以回帖 登录 | 注册

如果附件按钮无法使用,请将Adobe Flash Player 更新到最新版本!
快速回复 返回顶部