多vlan alc隔离

新人帖[复制链接]
发表于 : 2019-9-21 09:32:27 最新回复:2019-10-26 12:12:04
710 12
  求助帖: (未解决)
1.核心交换机有30多vlan

2.有两个不同号段的服务器分别在2个vlan中
3.所有vlan都可以访问这2个vlan的服务器
4.只能访问服务器,所有vlan不能互访。
用acl怎么设置
  • x
  • 常规:

点评 回复

跳转到指定楼层
kmyd
kmyd  大师 发表于 2019-9-22 22:39:04 已赞(0) 赞(0)

参考下面的配置:
用ACL来控制vlan间访问。

三层的话,用ACL来实现,比如:

vlan 2:192.168.2.0/255.255.255.0
vlan 3:192.168.3.0/255.255.255.0
vlan 4:192.186.4.0/255.255.255.0

vlan2\vlan3\vlan4相互之间不能访问


acl number 3002
rule deny ip source 192.168.2.0 0.0.0.255 destination 192.168.3.0 0.0.0.255
rule deny ip source 192.168.2.0 0.0.0.255 destination 192.168.4.0 0.0.0.255


acl number 3003
rule deny ip source 192.168.3.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
rule deny ip source 192.168.3.0 0.0.0.255 destination 192.168.4.0 0.0.0.255

acl number 3004
rule deny ip source 192.168.4.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
rule deny ip source 192.168.4.0 0.0.0.255 destination 192.168.3.0 0.0.0.255

用traffic-filter在vlan下应用ACL,
traffic-filter vlan 2 inbound acl 3002
traffic-filter vlan 3 inbound acl 3003
traffic-filter vlan 4 inbound acl 3004
  • x
  • 常规:

点评 回复

小叮当1
小叮当1   发表于 2019-9-28 08:23:06 已赞(0) 赞(0)

kmyd 发表于 2019-09-22 22:39 参考下面的配置:用ACL来控制vlan间访问。三层的话,用ACL来实现,比如:vlan 2:192.168.2.0/255.255.255.0 ...
如果我有50几个vlan的话,那命令也太多了点吧。有没有简便的方法
  • x
  • 常规:

点评 回复

guanbj
guanbj  新锐 发表于 2019-9-28 08:53:19 已赞(0) 赞(0)

如果有50多,你就先允许,后禁止,就不用填那么多。如果连允许都不需要就直接deny any any
  • x
  • 常规:

点评 回复

小叮当1
小叮当1   发表于 2019-9-29 08:44:52 已赞(0) 赞(0)

guanbj 发表于 2019-09-28 08:53 如果有50多,你就先允许,后禁止,就不用填那么多。如果连允许都不需要就直接deny any any ...
假如有4段vlan,其中vlan2、vlan3是服务器vlan ;vlan4、vlan5是PC端。现在让vlan4、vlan5可以访问vlan2、vlan3 。vlan4、vlan5不可以互相访问。(50个vlanPC端vlan怎么设置不能互访)。谢谢
  • x
  • 常规:

点评 回复

小叮当1
小叮当1   发表于 2019-9-29 08:51:26 已赞(0) 赞(0)

guanbj 发表于 2019-09-28 08:53 如果有50多,你就先允许,后禁止,就不用填那么多。如果连允许都不需要就直接deny any any ...
假如有4段vlan,其中vlan2、vlan3是服务器vlan ;vlan4、vlan5是PC端。现在让vlan4、vlan5可以访问vlan2、vlan3 。vlan4、vlan5不可以互相访问。服务器vlan可以互访(50个vlanPC端vlan怎么设置不能互访)。谢谢
  • x
  • 常规:

点评 回复

guanbj
guanbj  新锐 发表于 2019-9-30 11:27:51 已赞(0) 赞(0)

小叮当1 发表于 2019-09-29 08:51 假如有4段vlan,其中vlan2、vlan3是服务器vlan ;vlan4、vlan5是PC端。现在让vlan4、vlan5可以访问vlan2 ...
不是很明。vlan4、5是PC端,后面又有个50个vlanPC端,额。。。。意思是vlan4往后50个vlan都是PC端?还是vlan4和5,有50个pc端多vlan   alc隔离-3072767-1
  • x
  • 常规:

点评 回复

guanbj
guanbj  新锐 发表于 2019-9-30 11:34:49 已赞(0) 赞(0)

如果是50个vlan,那写50个acl呗。个个都只允许访问vlan2和3,然后加一条deny any的否决其他网段
  • x
  • 常规:

点评 回复

小叮当1
小叮当1   发表于 2019-10-11 09:33:06 已赞(0) 赞(0)

guanbj 发表于 2019-09-30 11:27 不是很明。vlan4、5是PC端,后面又有个50个vlanPC端,额。。。。意思是vlan4往后50个vlan都是PC端?还是v ...
有50多个子公司,每个公司一个vlan。不想输入那么多。看看有没有省事的办法
  • x
  • 常规:

点评 回复

小叮当1
小叮当1   发表于 2019-10-11 09:43:25 已赞(0) 赞(0)

guanbj 发表于 2019-09-30 11:34 如果是50个vlan,那写50个acl呗。个个都只允许访问vlan2和3,然后加一条deny any的否决其他网段 ...
好的 谢谢咯
我看看还有没有简便点的方法。多vlan   alc隔离-3079263-1
50多个分公司vlan只允许访问总部两个服务器vlan。分公司之间不能互访。
  • x
  • 常规:

点评 回复

12
返回列表
发表回复
您需要登录后才可以回帖 登录 | 注册

警告 内容安全提示:尊敬的用户您好,为了保障您、社区及第三方的合法权益,请勿发布可能给各方带来法律风险的内容,包括但不限于政治敏感内容,涉黄赌毒内容,泄露、侵犯他人商业秘密的内容,侵犯他人商标、版本、专利等知识产权的内容,侵犯个人隐私的内容等。也请勿向他人共享您的账号及密码,通过您的账号执行的所有操作,将视同您本人的行为,由您本人承担操作后果。详情请参看“隐私声明
如果附件按钮无法使用,请将Adobe Flash Player 更新到最新版本!
登录参与交流分享

登录参与交流分享

登录