客户要求办公vlan里某几个电脑不能访问外网

[复制链接]
发表于 : 2019-11-17 21:15:06 最新回复:2019-12-13 17:10:06
1458 22
210910dlfmyuevm56ivbmv.jpg


[hexin]dis cu
#
sysname hexin
#
vlan batch 10 20 100
#
cluster enable
ntdp enable
ndp enable
#
drop illegal-mac alarm
#
dhcp enable
#
diffserv domain default
#
acl number 2001
 rule 5 deny source 192.168.100.0 0.0.0.255
#
acl number 4001
 rule 5 deny source-mac 5489-98cd-1d23
#
traffic classifier tc1 operator and
 if-match acl 4001
#
traffic behavior tb1
 deny
#
traffic policy tp1
 classifier tc1 behavior tb1
#
drop-profile default
#
vlan 10
 traffic-policy tp1 outbound
#
ip pool 10
 gateway-list 192.168.10.1
 network 192.168.10.0 mask 255.255.255.0
 dns-list 1.1.1.1 2.2.2.2
#
ip pool 20
 gateway-list 192.168.20.1
 network 192.168.20.0 mask 255.255.255.0
 dns-list 1.1.1.1 2.2.2.2
#
aaa
 authentication-scheme default
 authorization-scheme default
 accounting-scheme default
 domain default
 domain default_admin
 local-user admin password simple admin
 local-user admin service-type http
#
interface Vlanif1
#
interface Vlanif10
 ip address 192.168.10.1 255.255.255.0
 dhcp select global
#
interface Vlanif20
 ip address 192.168.20.1 255.255.255.0
 dhcp select global
#
interface Vlanif100
 ip address 192.168.100.1 255.255.255.0
#
interface MEth0/0/1
#
interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 10
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 10
#
interface GigabitEthernet0/0/3
 port link-type access
 port default vlan 20
#
interface GigabitEthernet0/0/4
 port link-type access
 port default vlan 20
#
interface GigabitEthernet0/0/5
#
interface GigabitEthernet0/0/6
#
interface GigabitEthernet0/0/7
#
interface GigabitEthernet0/0/8
#
interface GigabitEthernet0/0/9
#
interface GigabitEthernet0/0/10
#
interface GigabitEthernet0/0/11
#
interface GigabitEthernet0/0/12
#
interface GigabitEthernet0/0/13
#
interface GigabitEthernet0/0/14
#
interface GigabitEthernet0/0/15
#
interface GigabitEthernet0/0/16
#
interface GigabitEthernet0/0/17
#
interface GigabitEthernet0/0/18
#
interface GigabitEthernet0/0/19
#
interface GigabitEthernet0/0/20
#
interface GigabitEthernet0/0/21
#
interface GigabitEthernet0/0/22
#
interface GigabitEthernet0/0/23
#
interface GigabitEthernet0/0/24
 port link-type access
 port default vlan 100
 traffic-policy tp1 outbound
#
interface NULL0
#
user-interface con 0
user-interface vty 0 4
#
return
[hexin]
为什么这样做不起作用呢?

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册

x
  • x
  • 常规:

点评 回复

跳转到指定楼层
cici10235
cici10235  导师 发表于 2019-11-17 22:16:24 已赞(0) 赞(0)

换个位置,你在AR的nat outbound里做deny策略
  • x
  • 常规:

点评 回复

wwjjhh1980
wwjjhh1980   发表于 2019-11-17 22:52:59 已赞(0) 赞(0)

cici10235 发表于 2019-11-17 22:16 换个位置,你在AR的nat outbound里做deny策略
那个AR实际上是一个usg6000的防火墙,我这个版本的ensp里没有那个墙,就用一个路由代替了
  • x
  • 常规:

点评 回复

wwjjhh1980
wwjjhh1980   发表于 2019-11-17 22:55:11 已赞(0) 赞(0)

还有更好的策略吗?
  • x
  • 常规:

点评 回复

guanbj
guanbj  新锐 发表于 2019-11-18 09:52:36 已赞(0) 赞(0)

wwjjhh1980 发表于 2019-11-17 22:55 还有更好的策略吗?
防火墙做不是更好吗?
  • x
  • 常规:

点评 回复

wwjjhh1980
wwjjhh1980   发表于 2019-11-19 21:13:19 已赞(0) 赞(0)

guanbj 发表于 2019-11-18 09:52 防火墙做不是更好吗?
首先先是感谢,不知道用防火墙的什么技术,感谢指点一二客户要求办公vlan里某几个电脑不能访问外网-3120580-1
  • x
  • 常规:

点评 回复

guanbj
guanbj  新锐 发表于 2019-11-20 09:54:28 已赞(1) 赞(1)

你不懂命令,防火墙也有WEB登录啊,建IP组,建策略,然后关联ip组和策略就可以禁用了
  • x
  • 常规:

点评 回复

卿哥哥V58
卿哥哥V58   发表于 2019-11-20 11:09:30 已赞(0) 赞(0)

你这个直接在交换机上面做流策略,你发的不生效,在VLAN10下应用traffic-policy tp1 inbound
  • x
  • 常规:

点评 回复

卿哥哥V58
卿哥哥V58   发表于 2019-11-20 11:23:27 已赞(0) 赞(0)

这样就连其他网段都访问不了了。如果要访问其他VLAN,traffic behavior tb1
deny ,undo deny,,在 rule 3 permit source-mac 5489-98cd-1d23 dest 192.168.0.0 0.0.255.255,如果不用交换机屏蔽,就用防火墙,加个trust到untrust的策略,把要禁止的IP加进去放到最上面
  • x
  • 常规:

点评 回复

漫悠悠
漫悠悠   发表于 2019-11-21 19:06:14 已赞(0) 赞(0)

你这样做还是什么都能访问吧?
  • x
  • 常规:

点评 回复

123
返回列表
发表回复
您需要登录后才可以回帖 登录 | 注册

警告 内容安全提示:尊敬的用户您好,为了保障您、社区及第三方的合法权益,请勿发布可能给各方带来法律风险的内容,包括但不限于政治敏感内容,涉黄赌毒内容,泄露、侵犯他人商业秘密的内容,侵犯他人商标、版本、专利等知识产权的内容,侵犯个人隐私的内容等。也请勿向他人共享您的账号及密码,通过您的账号执行的所有操作,将视同您本人的行为,由您本人承担操作后果。详情请参看“隐私声明
如果附件按钮无法使用,请将Adobe Flash Player 更新到最新版本!
登录参与交流分享

登录参与交流分享

登录